Rancongiciels, cryptovirus, ransomwares … Ces termes que l’on retrouve presque quotidiennement dans les médias désignent tous une même menace : un programme ou un amas de programme (un « kit ») dont le seul but est de prendre en otages des données ayant une valeur pécuniaire ou sentimentale pour leurs malheureuses victimes.

Mais comment un logiciel peut-il prendre en « otages » des données ?

Depuis maintenant environ dix ans, des individus malveillants créent des programmes qui lorsqu’ils parviennent à infecter un poste de travail, sont capables de se propager sur tout un réseau, infectant ainsi tout ordinateur ou tout serveur vulnérable. Après s’être propagé de manière « optimale », l’attaque est alors déclenchée, cryptant les données des machines infectées.

Le cryptage dans ce cas consiste à bloquer tout fichier à l’aide d’une clé de chiffrement (un très long mot de passe de 256 caractères au minimum) connue uniquement des criminels. Bien évidemment, il est impossible de deviner cette clé et le seul moyen de l’obtenir pour décrypter les données est de satisfaire leur demande de rançon.

Plus le chiffre d’affaires de l’entreprise attaquée est élevé, plus la demande de rançons est importante. Ainsi, l’extorsion peut aller de quelques centaines de dollars pour une petite PME à plusieurs millions de dollars pour les plus grandes entreprises. Durant le mois de mars 2021, Acer a par exemple dû s’acquitter d’une somme de 50 millions de dollars pour obtenir la précieuse clé de chiffrement permettant de décrypter ses données.

Des pirates très bien organisés

Exit le cliché du pirate esseulé, ce sont maintenant des organisations de relativement grandes tailles qui dirigent les attaques. Comme pour toute entreprise, lorsque la croissance et le chiffre d’affaires sont bons 📈, de nouveaux employés sont engagés ou débauchés.
La réussite d’une extorsion permet donc à ces groupes de s’agrandir, et qui dit salaires (ou prime) plus élevés, dit aussi engagement de personnel mieux formé et donc plus compétent.

Comme les salaires des développeurs informatiques dans l’économie traditionnelle sont relativement bas dans certains pays (Russie, Ukraine…), l’appât du gain est très fort pour les jeunes informaticiens fraîchement diplômés. Sans pour autant dire que ces groupes malveillants ont pignon sur rue, il est très aisé pour toute personne ayant de bonnes connaissances en informatique d’aller parcourir leurs « offres d’emploi » via des forums ou des plateformes dédiés sur le Dark Web.

La plus connue de ces plateformes est sans aucun doute le forum russe XSS sur laquelle une centaine de nouvelles inscriptions sont faites quotidiennement depuis le début 2021.

Partenariats franchisés

Afin de maximiser les gains, l’obtention de logiciels malveillants permettant de s’introduire dans des parcs informatiques et d’en crypter les données fait maintenant l’objet de commerces franchisés.
Le système du RaaS (ransomware as a service) est désormais plus que commun, singeant le modèle économique mis en place par les plus grandes entreprises, le SaaS (software as a service – logiciel en tant que service), que Microsoft et bien d’autres utilisent depuis maintenant plusieurs années.

La pratique est simple : un groupe de pirates crée un kit de logiciels malveillants puis le propose via le DarkWeb, soit depuis un forum spécialisé, soit directement depuis son site.
Certains de ces groupes vont jusqu’à mettre un service de support sur pied, une notice d’utilisation des logiciels et proposent même de rembourser partiellement leurs éventuels « clients » mécontents : satisfait ou remboursé 💸 !

D’autres groupes mettent à disposition leurs logiciels et négocient l’obtention d’un pourcentage si leurs partenaires obtiennent une rançon. Les individus à l’origine de la création d’un kit de logiciels diminuent ainsi les risques de se faire arrêter et obtiennent tout de même des gains conséquents.

Un nouveau danger

Bien qu’efficaces, ces méthodes de propagation ont encore un défaut : compromettre un réseau pour l’infecter peut prendre énormément de temps et d’argent. En effet, s’introduire dans un parc informatique en obtenant des mots de passe, en cherchant une faille systémique ou simplement en s’y rendant physiquement peut prendre des mois. Les risques de se faire prendre ou qu’un logiciel du kit d’intrusion se fasse remarquer augmentent avec le temps et c’est alors un long investissement qui est réduit à néant.

Afin d’éviter ces désagréments, une nouvelle forme de compromission est apparue aux environs de la fin du printemps 2021 : la corruption d’employés possédants des accès privilégiés.

Deux méthodes sont usuellement utilisées pour ça, les annonces visibles sur les sites et forums spécialisés sur le DarkWeb ou …le contact direct !!!

Par téléphone ou par mails, de telles propositions commencent à pulluler dans le monde occidental et comme les sommes proposées sont plus qu’importantes, jusqu’à 120 000$ pour une entreprise avec un chiffre d’affaires suffisant, il est malheureusement à parier que le nombre d’infections va encore largement augmenter ces prochains mois.