Après Anvers et Grammont, pourquoi les communes deviennent-elles soudainement la proie préférée de pirates?
Les données des citoyens de Grammont (Geraardsbergen) viennent d’être publiées, et les guichets de la ville sont restés clos deux semaines durant. Précédemment, la ville d’Anvers avait également été la victime d’une vaste attaque au rançongiciel, qui avait perturbé les services pendant des semaines. Y a-t-il une explication à ce phénomène?
Les villes et communes belges misent sur les services numériques, ce qui en fait aussitôt une cible potentielle pour les cyber-attaques. C’est ce qu’a aussi découvert la ville de Grammont, dont les ordinateurs ont été verrouillés par une attaque LockBit, et qui a vu ses données publiées. Fin de l’an dernier, c’est la ville d’Anvers qui fut ciblée, cette fois par le groupe de pirates Play. Les services y furent perturbés des semaines durant. Autres communes touchées l’année dernière: Maldegem et Diest, et vous vous souviendrez peut-être aussi des attaques lancées contre Liège, Floreffe et Willebroek au cours des années précédentes.
C’est comme si les villes et les communes étaient devenues une proie préférée, alors qu’il s’agit surtout d’une question de perception. Si on prend en compte les victimes de LockBit dans l’UE, par exemple, on observe qu’elles se trouvent en général dans le secteur des services, dans le domaine financier et dans l’industrie manufacturière. Pour ce qui est des victimes belges, le secteur public figure à la deuxième place, après celui des services. Ce qui ne manque pas d’étonner, c’est que les institutions publiques sont souvent celles qui parlent ouvertement d’une attaque. ‘Les entreprises, elles, ne vont pas toujours clamer publiquement qu’elles ont été attaquées. On peut les comprendre dans la mesure où la possibilité existe alors qu’elles subissent des pertes financières’, explique Steven De Munter, business security consultant chez Orange Cyberdefense. ‘Mais quand une ville ou une commune est la victime d’une attaque, le citoyen veut en être informé, car il s’agit de ses données.’
Opportunistes
Les attaques semblent plutôt être un signe d’une politique de sécurité peut-être quelque peu plus négligente et pas tant une indication que les villes soient une cible importante. ‘Les criminels sont des opportunistes’, déclare De Munter. ‘S’ils découvrent une faille, ils décident d’attaquer, peu importe finalement de qui il est question.’ Dans le cas de LockBit, cela peut par exemple aller d’hôpitaux en passant par la poste britannique Royal Mail jusqu’à, eh oui, des communes comme Maldegem et Grammont. Le rançongiciel (ransomware) se manifeste aussi très souvent ces derniers mois et ce, dans divers secteurs. Le risque est même assez grand qu’il soit pris en location via une sorte de système de licences. ‘Ce ransomware est distribué sous la forme de service: Ransomware-as-a-Service’, affirme Simen Van der Perre, strategic adviser chez Orange Cyberdefense. ‘Une partie des attaques est alors exécutée par des… affiliés qui utilisent l’infrastructure et le logiciel de LockBit et qui, en cas d’attaque réussie, rétrocèdent un pourcentage à la bande de pirates.’
Cette infrastructure se compose non seulement du rançongiciel lui-même, mais aussi d’éventuelles failles et de la ‘leakingplatform’ aujourd’hui sinistrement connue, à savoir un site web situé dans l’internet clandestin, sur lequel sont enregistrés les noms des victimes. Un chronomètre indique à celles-ci combien de temps il leur reste pour verser la rançon exigée. Si elles ne le font pas, leurs données sont alors publiées. Dans le cas de Grammont, c’était cette semaine.
Entre-temps, on sait que parmi les données publiées de la ville, il y avait aussi des informations personnelles, mais tel n’est pas toujours le cas et de loin, selon Van der Perre: ‘Les criminels ne parlent pas nécessairement telle ou telle langue. Ils ne savent pas toujours qui ils attaquent et quelles données présentent de la valeur.’ Cela peut se comparer à un voleur qui s’introduit chez vous et qui emporte tout ce qu’il peut. ‘Un criminel vole des données, qu’il s’agisse d’un tableur Excel ou de photos. Il recherche quelque chose de personnel et espère que cela ait de la valeur’, ajoute De Munter. Et de citer l’exemple d’une autre bande, Vice Society, qui attaqua fin janvier une école à Wetteren et réclama une rançon pour ne pas divulguer des données. ‘Il apparut qu’il s’agissait de photos d’une fête scolaire, et de plans techniques du département Menuiserie. Cela n’intéresse personne’, signale-t-il.
Aujourd’hui en Europe
Il n’y a donc pas de cible spécifique, mais cela n’empêche pas que des entreprises et institutions belges soient ces derniers temps assez souvent la victime d’attaques. Cela peut être lié à la situation géopolitique. ‘On observe très clairement un glissement en provenance des Etats-Unis, parce que sous la présidence Biden, des lois ont été votées qui découragent le versement de rançons’, précise Van der Perre. Les lois en question permettent de poursuivre les entreprises et les organisations qui ont versé une rançon à des bandes de hackers. Si une bande est à un moment donné qualifiée d’organisation terroriste, par exemple après une attaque lancée contre une infrastructure critique telle un oléoduc, l’entreprise concernée est alors considérée comme un ‘sponsor du terrorisme’. Les firmes américaines sont par conséquent moins enclines à verser des rançons, ce qui fait que les criminels élargissent leur champ d’action: vers l’Amérique latine, mais aussi vers l’Europe.
Les criminels n’ont alors peut-être pas intérêt à cibler directement nos institutions publiques. De manière générale, les entreprises sont moins prêtes à verser des rançons, comme l’a déterminé Chainanalysis le mois dernier encore. Chez les institutions publiques, cela semble être encore pis. Grammmont n’a toujours pas payé, alors qu’Anvers prétend ne rien avoir versé non plus. ‘Je conseille toujours de ne pas payer, parce que il est moralement pénible de soutenir ainsi des criminels’, ajoute De Munter. ‘Une entreprise doit peut-être faire le choix entre payer ou faire faillite, mais si une institution publique accepte de payer une bande de criminels, où cela s’arrêtera-t-il?’
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici