Pourquoi le démantèlement de Lockbit n’aura que peu d’impact dans la lutte contre les rançongiciels

Bonne nouvelle en matière de lutte contre la cybercriminalité: le groupe d’extorsion Lockbit a été démantelé. Mais cela ne fera pas grande différence, estime Simen Van der Perre, strategic advisor chez Orange Cyberdefense.

L’organisation a fait de nombreuses victimes, dont la ville de Grammont. L’année dernière, elle a déversé un total de 7 Go de données (de citoyens) sur internet. La commune de Maldegem, la province de Namur, TVH et le groupe hospitalier Vivalia figurent également sur la liste des victimes du Lockbit. La fédération néerlandaise de football KNVB a tenté, elle, d’y échapper en payant plus d’un million d’euros de rançon. Pourtant, le démantèlement de Lockbit n’est guère plus qu’une bataille gagnée. La guerre fait rage, et le groupe derrière Lockbit reviendra sans aucun doute.

La cybercriminalité est un problème mondial qui ne connaît pas de frontières. La combattre nécessite par conséquent aussi une approche globale. Il est donc certainement positif que le démantèlement de Lockbit soit le résultat d’une opération conjointe entre le FBI, la National Crime Agency britannique et des services au Japon, en France, en Suisse, au Canada, en Australie, en Suède, aux Pays-Bas, en Finlande et en Allemagne. Au total, deux personnes ont été arrêtées, et trois mandats d’arrêt internationaux ont été émis. Europol a également bloqué 200 crypto-comptes. Malheureusement, cela ne veut pas dire que Lockbit a disparu pour de bon…

Le démantèlement d’un vaste cyber-groupe et de ses infrastructures constitue certainement une victoire importante dans la lutte contre la cybercriminalité. Cela perturbe temporairement les activités de ce genre de groupe, alors que, on peut l’espérer, d’autres criminels considéreront cette nouvelle comme un avertissement. Cependant, la présence décentralisée et mondiale de ces groupes rend peu probable qu’ils cessent complètement leurs activités. C’est ainsi que nous avons souvent vu des hackers se regrouper par le passé. De plus, ils ont tiré les leçons du démantèlement de leur organisation, ce qui les rendra mieux armés contre de futures interventions.

Tant qu’aucune arrestation n’est effectuée, les cyber-escrocs peuvent continuer à opérer sans être dérangés.

Tant qu’aucune arrestation n’est effectuée, les cyber-escrocs peuvent continuer à opérer sans être dérangés. Cela ne les dissuade généralement pas non plus. Ils rejettent souvent la responsabilité de leurs actes sur leurs victimes: pour eux, les entreprises concernées auraient dû mieux se protéger. Il y a donc de fortes chances que les membres du groupe derrière Lockbit réapparaissent sous un autre nom.

La moitié des groupes ‘disparaissent’ après 6 mois

Un tel rebranding (changement d’appellation) ne se produit pas seulement après une intervention de la police. Les groupes le font en permanence, par exemple lorsqu’ils constatent des vulnérabilités dans leur propre organisation. Dans ce cas, ils ferment leurs activités et reviennent sous une autre appellation et parfois avec une configuration différente (par exemple une nouvelle équipe de développeurs). C’est aussi la raison pour laquelle le travail des services de police n’est pas encore suffisamment efficace aujourd’hui. Chaque fois qu’ils identifient un groupe qui fait des victimes à l’échelle mondiale, le risque est grand que les membres du gang poursuivent déjà leurs activités sous une nouvelle appellation et créent ainsi encore plus de victimes.

Deux personnes ont été arrêtées lors du démantèlement de Lockbit, en Pologne et en Ukraine. Le risque est grand que d’autres membres du gang réapparaissent à court terme

Un exemple bien connu d’un tel rebranding est DarkSide, un groupe qui était actif en 2020. Peu de temps après que les membres aient suspendu leurs activités en juillet 2021, ils sont revenus sous l’appellation BlackMatter. Après quelques mois seulement, ce groupe s’est également arrêté et a commencé à extorquer des victimes sous le nom d’ALPHV ou BlackCat. Plus de la moitié des organisations n’existent plus depuis plus de six mois, et 75 pour cent disparaissent dans l’année. Seule une poignée de groupes atteignent la barre des deux ans. Le groupe le plus âgé encore actif est CI0p (43 mois au moment de rédiger ces lignes). Le deuxième plus ancien était RagnarLocker, qui a été démantelé en octobre 2023.

Le nombre de groupes augmente

Les données du Security Navigator d’Orange Cyberdefense montrent que les interventions policières comme chez Lockbit n’ont généralement guère d’impact. Ces dernières années, malgré les succès remportés dans la lutte contre la cybercriminalité, on a vu le nombre de victimes continuer d’augmenter. La plupart des groupes sont si résilients qu’ils se remettent rapidement sur pied et redeviennent actifs au bout de trois mois. L’année dernière, on a recensé beaucoup plus de nouveaux groupes que de groupes connus (âgés de plus de douze mois). Cela signifie que le nombre de cyber-groupes augmente même de manière significative.

Deux personnes ont été arrêtées lors du démantèlement de Lockbit, en Pologne et en Ukraine. Il y a un risque réel que d’autres membres du gang réapparaissent à court terme. Ils disposent de ressources pour reprendre leurs activités, et les actions policières réussies comme chez Lockbit ne semblent pas non plus les décourager. Tant qu’on n’aura pas procédé à des arrestations physiques et qu’on n’aura pas mis l’ensemble du groupe hors d’état de nuire, il ne sera pas possible de neutraliser une organisation et il faudra partir du principe qu’elle continuera d’exister sous une autre appellation. Bref, on ne peut pas se reposer sur ses lauriers après Lockbit. Les professionnels de la cybersécurité et les forces de l’ordre doivent continuer à s’adapter au paysage dynamique des menaces.