1989, c'est l'année au cours de laquelle s'est produite la première attaque par " rançongiciel " (ransomware) dans le monde. Le cheval de Troie AIDS avait alors surpris le monde entier. Distribué sous la forme de disquettes envoyées par voie postale, il contraignait les utilisateurs victimes à envoyer la somme de 189 $ à une boîte postale située au Panama. Cependant, l'ampleur réelle de l'attaque fut mineure à l'époque, dans la mesure où seul un nombre limité de personnes avait accès à un ordinateur et où Internet était essentiellement confiné entre les mains d'experts scientifiques et technologiques.
La pratique du rançongiciel est ensuite restée relativement dans l'ombre au cours des années 90 et jusqu'au début des années 2000, avant de refaire surface sous la forme d'applications et de logiciels escrocs. La première vague a été repérée aux alentours de l'année 2005, sous la forme d'attaques dissimulées derrière l'apparence d'un logiciel légitime, notamment des programmes d'optimisation de PC et des nettoyeurs de disques. Ces derniers ont été suivis par de faux logiciels antivirus, les cybercriminels imitant alors les produits les plus populaires sur le marché. Sont ensuite apparus le rançongiciel Locker et sa variante la plus connue, CryptoLocker.
Le rançongiciel CryptoLocker (qui a fait les gros titres de l'actualité) a fait son apparition en 2012, lorsque des pirates ont désactivé le contrôle d'accès à une machine contre le versement d'une " amende ", autrement dit d'une rançon. Dans un contexte professionnel, les dommages encourus peuvent être particulièrement importants. En effet, le volume de données susceptibles d'être perdues est plus élevé et va provoquer toutes sortes de problèmes en matière de continuité de l'activité. Des premières attaques ciblées à la nouvelle vague de cybermenaces nécessitant des compétences informatiques minimes, toutes ces attaques forment un ensemble qui façonne le modèle économique du rançongiciel.
Viabilité financière
Un récent rapport de SentinelOne, montre que près de la moitié (48 %) des entreprises dans le monde ont subi une attaque par rançongiciel au cours de l'année écoulée, et 65 % d'entre elles indiquent avoir payé la rançon, pour une moyenne établie à 600 €. Partant de ce constat, il est aisé de voir pourquoi le rançongiciel est une affaire qui marche. En effet, sur la base de ces chiffres, si un attaquant cible 1 000 entreprises à hauteur de 600 € chacune et que 65 % d'entre elles payent la rançon, cela équivaut à un retour supérieur à 390 000 €. Tout ceci en quelques minutes seulement.
Ransomware-as-a-service
À mesure que les entreprises progressent dans le décryptage des données, les créateurs de rançongiciels doivent redoubler de créativité. Le secteur du rançongiciel est aujourd'hui en pleine mutation, le rançongiciel lui-même devenant de plus en plus la marchandise finale, échangée dans le cadre du modèle " as-a-service " ou bien sous la forme d'un kit DIY (Do It Yourself : faites-le vous-même) personnalisable pour répondre aux besoins de l'attaquant. Les pirates l'ont bien compris : il y a là une opportunité commerciale à ne pas manquer. Un crypto-rançongiciel baptisé Stampado (vendu sur le Dark Net pour la somme de 39 $) a même bénéficié d'une vidéo YouTube faisant la promotion du modèle ransomware-as-a-service (RaaS).
La possibilité d'acheter des rançongiciels à un prix extrêmement compétitif signifie que l'envoi d'une demande de rançon à une entreprise est désormais à la portée de tous les utilisateurs, y compris de ceux disposant d'un bagage informatique faible voire nul. Une chose est claire : les avantages commerciaux juteux à la clé, via l'exploitation de modèles de franchise, n'ont certainement pas échappé aux développeurs de rançongiciels. Ces derniers peuvent ainsi atteindre une échelle bien plus importante tout en minimisant les risques encourus. Dès lors qu'ils parviennent à un équilibre financier entre la récompense demandée et le pourcentage retenu par leur franchisé, ils s'assurent des bénéfices toujours plus confortables.
Le rançongiciel de demain
Prédire les prochaines cibles des rançongiciels et l'évolution des technologies n'est pas une science exacte, loin s'en faut. Cependant, nous pouvons nous pencher sur les modèles du passé pour avancer des hypothèses sur ce qui pourrait arriver à l'avenir.
Par exemple, une année ou deux après avoir atteint un pic, on observe généralement que les cybercriminels tournent leur attention vers une variante différente de programme malveillant. Cependant, au vu de l'explosion du nombre d'appareils intelligents et connectés, il n'est guère surprenant que ceux-ci soient mis en avant comme une cible potentielle. Tous sont susceptibles d'être piratés et verrouillés jusqu'au versement d'une rançon par l'utilisateur.
Imaginez la scène : vous vous retrouvez bloqué à l'extérieur de votre maison intelligente ou coincé dans votre voiture intelligente pour un détour non planifié. Selon les prévisions des analystes, il est raisonnable de tabler sur l'existence de 20,8 milliards d'objets connectés d'ici 2020. Les opportunités qui s'ouvrent aux hackers sont illimitées.
Le rançongiciel s'inscrit comme une tendance durable car il offre un modèle économique rentable aux cybercriminels. Il ne s'agit pas pour autant de dire que nous allons tous devenir des victimes. Une entreprise peut tout à fait se prémunir des risques, et ce de plusieurs façons :
- Utilisez un produit offrant une garantie relative à sa technologie de protection. SentinelOne, par exemple, s'engage à rembourser ses clients en cas d'incapacité à bloquer une attaque par rançongiciel ou à remédier aux effets d'une telle attaque.
- Allez au-delà de la simple détection basée sur signature. Les concepteurs de programmes malveillants le savent parfaitement : leur code est très souvent identifié par sa structure. Ils vont donc ajuster leur " produit final " en conséquence. Investissez plutôt dans un dispositif de détection basée sur le comportement, qui identifiera le parcours et les actions du logiciel malveillant avant de mettre en place des mesures de protection.
- Mettez en œuvre un processus de sauvegardes régulières. Le recours fréquent aux sauvegardes (définies à des intervalles adéquats par rapport aux mécanismes utilisés) peut faire office de garantie en cas d'attaque.
- Sensibilisez les utilisateurs au modèle économique du rançongiciel, en particulier au RaaS. Nous continuerons à observer des attaques par rançongiciel au cours de l'année 2017. Une main-d'œuvre bien informée constitue notre première ligne de défense face à cette menace.
Le rançongiciel représente un problème à l'échelle mondiale et ne fait aucune discrimination parmi ses victimes. Tant que nous n'aurons pas bousculé ce modèle éprouvé, nous continuerons à être les témoins de véritables prises en otage d'entreprises.