Le modèle commercial du rançongiciel
Existe-t-il encore une grande différence entre la criminalité et la cybercriminalité? Ce qui tout au début était peut-être encore l’oeuvre de quelques soi-disant ‘script kiddies’, à savoir des programmeurs inorganisés, s’est transformé peu à peu en un business brassant des milliards et allant de pair avec des modèles professionnels connexes.
Tout cela signifie que la lutte contre les cyber-délits doit aussi changer, selon Charl Vanderwalt, Chief Security Research chez Orange Cyberdefense, qui s’est confié à Data News. Il ne suffit plus que les firmes de sécurité se limitent au contrôle des réseaux et à l’enrayement des attaques, plaide-t-il, car il y a tout un écosystème sous-jacent.
Du ransomware, mais pas seulement
Si on considère par exemple les nombreuse attaques au rançongiciel qui ont eu lieu ces derniers mois, ‘c’est là une forme de racket’, affirme Charl Vanderwalt. ‘Vous subtilisez quelque chose à des gens et vous l’utilisez comme un boomerang contre eux. Jusqu’à présent, on observe régulièrement que les agresseurs empêchent l’accès aux données en les cryptant, mais toujours plus souvent, ils y ajoutent un déni de service. On constate également une tendance vers une ‘double extortion’, un double racket. Cela consiste à crypter les données d’un part, mais d’autre part aussi à menacer de rendre ces données publiques en cas de non-paiement.’
Le ‘ransomware’ pur, la partie logicielle de l’attaque, se voit de la sorte attribuer un rôle toujours plus secondaire. ‘On pourrait en principe lancer ce type d’attaque sans abandon de software chez la victime. L’IT moderne s’améliore au vu de ce genre de chose. Il est plus efficient de s’attribuer un accès et de menacer de puiser des données que de tenter de tout crypter.’
‘Il est plus efficient de s’attribuer un accès et de menacer de puiser des données que de tenter de tout crypter’
Obtenir un accès semble entre-temps faire partie de toute une économie avec un tas de rôles différents. ‘Il y a des gens qui achètent un accès aux victimes auprès de ce qu’on appelle des ‘initial access brokers’. Ces derniers ne vont pas racketter des gens, mais rechercher des manières d’entrer par intrusion sur les ordinateurs des victimes’, cite Vanderwalt en exemple. En cette ère moderne, il s’agit en outre souvent de services ‘as-a-Service’. De plus, il y a par exemple encore les opérateurs de botnets et les fournisseurs d’hameçonnage (phishing) qui appartiennent à la couche d’infrastructure du cyber-crime.
Et tout comme dans les films noirs avec leurs têtes pensantes, leurs chauffeurs et leurs perceurs de coffres forts, il y a également dans le cas du cyber-crime les blanchisseurs d’argent oh combien importants. ‘Il existe toutes sortes de services pour régler les transactions et les paiements’, explique Vanderwalt. ‘Pensons par exemple à la crypto-infrastructure, où le problème ne réside pas tant dans l’existence des monnaies numériques, mais plutôt dans le rôle des intermédiaires qui transfèrent et blanchissent l’argent. Il y a donc de nombreuses facettes, et il serait naïf de considérer ce problème comme un élément unique. On ne peut pas simplement y apposer l’étiquette ‘ransomware’, car cela donne l’impression qu’il s’agit de quelque chose d’uniforme.’
‘It’s the money, stupid’
Ce type de système professionnel complique nettement la lutte contre les vagues de ransomware, parce qu’il n’est pas question d’appréhender une ou plusieurs bandes. Mais cela ne signifie pas que ce ne soit pas possible. Pour prendre un exemple historique, on pourrait citer la vague de pourriels pharmaceutiques, ces mails sur les pilules amaigrissantes et autre viagra générique, dont on n’a plus entendu parler depuis quelque temps déjà. Ce spam pharmaceutique était omniprésent il y a une dizaines d’années et figurait dans les rapports annuels de McAfee et TrendMicro notamment au rang des menaces les plus importantes des années historiques 2010.
Si vous n’en avez pas reçu le moindre, cela peut être dû à une idée aussi simple qu’efficiente, selon Vanderwalt: ‘Des chercheurs ont observé que les paiements par cartes de crédit effectués par les victimes étaient traités par cinq portails de paiement différents et une seule banque. On mettait donc la pression sur les sociétés de cartes de crédit en vue de ne plus collaborer et ce, jusqu’à ce que le problème soit résolu.’ On pourrait tenter de faire de même avec le ransomware, suggère Vanderwalt: ‘L’infrastructure de paiements est un élément important du système.’
Opportunité
Le fait que le cyber-crime se professionnalise toujours plus, est dû à la capacité d’innover des deux côtés. ‘L’antivirus moderne est manifestement meilleur et s’avère très effectif dans la détection de ce qu’il faut découvrir. On constate par conséquent que les attaques de malware ‘spray and pray’ (où on va tenter d’exécuter de très nombreuses attaques opportunistes et souvent automatisées, ndlr.) diminuent au profit d’attaques plus sophistiquées, où on met plus de gens au travail derrière un clavier.’
‘L’antivirus moderne est manifestement meilleur et s’avère très effectif dans la détection de ce qu’il faut découvrir’
Il en résulte que ces attaques ne sont pas moins opportunistes. ‘La distribution du malware se réduit, les taux d’atteinte (‘hit rates’) diminuent, et ce qu’on obtient en lieu et place, c’est une nouvelle sorte de ‘spray and pray’, qui recherche des failles à exploiter. Pensons au scannage de serveurs non corrigés ou à la réutilisation de mots de passe et de login issus de ‘data-dumps’. On voit qu’on procède alors de manière automatisée. Le moment où un accès est découvert, est donc par exemple pour un ‘initial access broker’ une affaire d’impression digitale et d’identification de la victime. Et à partir de là, on va le lancer sur le marché.’
On observe l’aspect opportuniste aussi dans les entreprises attaquées, selon Vanderwalt: ‘Si on considère les victimes, on constate que le paiement moyen suite à une attaque au rançongiciel est relativement faible. Entre 50.000 et 150.000 dollars par victime. On évoque souvent les énormes montants exprimés en millions pour les rançons versées, mais ce sont là des exceptions. L’immense majorité des victimes n’est pas constituée par des firmes en vue, mais par de petites entreprises très dépendantes de la technologie. Ce qu’elles ont en commun, c’est leur vulnérabilité, pas leur valeur intrinsèque.’
Un méga-marché
Mais si on fait le total, on obtient une grande quantité d’argent. C’est ainsi qu’en 2020, quelque 400 millions de dollars en crypto-espèces ont été versés à divers opérateurs de ransomware, selon les chiffres d’Orange Cyberdefense. Il y a même de fortes chances que ce montant soit un minimum, du fait que tout un ensemble de versements supplémentaires n’a pas été répertorié ou rapporté. En d’autres mots, le cyber-crime représente un marché brassant des millions, voire des milliards.
Comment faire pour s’y opposer? ‘Nous commençons à comprendre le mode de fonctionnement. Il existe des tas de facteurs contributifs via différentes couches en démarrant de l’infrastructure et allant jusqu’à des éléments très simples et pratiques. Il y a d’abord l’idée des crypto exchanges et du rôle qu’ils jouent dans le traitement des paiements. Puis, il y a les brokers. Sur le plan géopolitique, il convient de réunir quelques-uns de ces états escrocs autour de la table, sous peine d’avoir du mal à lutter vraiment.’
‘Sur le plan géopolitique, il convient de réunir quelques-uns de ces états escrocs autour de la table, sous peine d’avoir du mal à lutter vraiment’
En s’inspirant d’enquêtes sur le crime ‘classique’, d’autres idées émergent aussi, comme celle de la ‘protection visible’. Pensons ici à l’effet dissuasif d’une alarme antivol sur une façade ou d’une patrouille de police en rue. ‘Cela suscite un sentiment de risque chez les criminels’, explique encore Vanderwalt. ‘Mais notre sécurité, elle, est souvent invisible. Elle tourne passivement et ne réagit que quand elle voit quelque chose. Ce qu’on observe, c’est que des choses changent. Si les entreprises se préparent à dénoncer les criminels, le phénomène stoppera plus rapidement.’ L’idée sous-jacente est que l’actuelle détection terminale est principalement passive et bloque simplement un tas d’attaques. Mais si à chaque avertissement, l’entreprise effectue une enquête et rapporte les adresses IP des agresseurs, afin qu’ils soient globalement bloqués par exemple, les coûts pour ces derniers seront directement beaucoup plus élevés. En bref, on leur compliquerait la vie. ‘On devrait donc mettre davantage l’accent non seulement sur la détection passive des menaces, mais aussi sur un partenariat dynamique, où on réagit aussi aux alertes’, conclut Vanderwalt.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici