Est-il possible de lancer une cyberattaque sans développer le logiciel malveillant nécessaire soi-même ? Ce qui semblait impossible il y a quelques années encore, est désormais une réalité avec l’apparition du modèle Ransomware as a Service (RaaS). Ce modèle commercial apparu en 2019 permet à tout le monde d’acheter et de louer des rançongiciels « prêt à l’emploi » en quelques clics.
RaaS – la prise d’otage numérique « prêt à l’emploi »
Apparue pour la première fois en 1989 sous la dénomination de AIDS Trojan et communément appelée « PC Cyborg Virus », la première attaque par rançongiciel documentée a été développée par le père du ransomware Joseph L. Popp, un biologiste de l’évolution formé à Harvard. A l’époque il avait envoyé 20 000 disquettes infectées étiquetées aux participants de la conférence internationale sur le SIDA à Stockholm. Ces disquettes contenaient un code malveillant qui masquait et verrouillait les fichiers et demandait aux victimes d’envoyer 189 dollars à une boîte postale au Panama si elles voulaient récupérer leurs données. Bien que le Trojan du SIDA ait été relativement facile à surmonter, il a posé les bases des rançongiciels d’aujourd’hui.
Aujourd’hui l’Agence nationale de la sécurité des systèmes d’informations (ANSSI) qualifie les attaques de rançongiciel comme « une attaque courante de la cybercriminalité qui consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement. » Il est donc généralement admis que les rançongiciels verrouillent, chiffrent, suppriment ou volent des données et impactent directement l’intégrité, la disponibilité et la confidentialité de celles-ci.
Ce modèle économique florissant n’est pas resté inaperçu longtemps par l’écosystème criminel. C’est ainsi qu’en 2019 le groupe de rançongiciels Revil, également connu sous la dénomination « Sodinokibi » vend pour la première fois des outils de rançon. Depuis, de nombreux autres rançongiciels comme Lockbit, Hive ou Jigsaw ont suivi et contribuent activement à l’élaboration d’un véritable modèle de service communément appelé RaaS.
En 2022, d’après le rapport sur le paysage des cybermenaces de l’agence de l’Union européenne pour la cybersécurité (ENISA), les attaques par rançongiciel constituent la cybermenace principale au niveau européen avec les autres attaques à finalité lucrative. C’est ainsi qu’entre mai 2021 et juin 2022, 623 incidents de ransomwares ont été repérés dans l’Union européenne, au Royaume-Uni et aux États-Unis.
Bien qu’une baisse des attaques par rançongiciels ait été constatée en France au premier semestre 2022 d’après l’ANSSI, cet ennemi public semble de retour depuis l’été 2022 ciblant particulièrement les collectivités territoriales et les établissements de santé. Ceci n’empêche que les créateurs de ces outils peuvent être victimes de leur propre création.
Un modèle de service incontrôlable de par sa conception
L’exemple de l’attaque par le groupe spécialiste du ransomware as a service « Lockbit » suite à une attaque sur le plus grand hôpital pédiatrique au Canada par un de ces affiliés en atteste. Tournementé par la culpabilité, Lockbit a mis à disposition de l’hôpital gratuitement un logiciel pour déchiffrer les données. Malgré cette prise de conscience, les attaques perpétrées principalement sur les systèmes hospitaliers mettent en danger la vie des patients. Cela ne fait donc que souligner l’importance de la lutte contre cet outil par tous les moyens.
Les conséquences légales d’une attaque par rançongiciel
Toute attaque par rançongiciel, de par sa nature se caractérise par le blocage de l’ordinateur ou de fichiers obligeant une remise de fonds non volontaire et relève donc de l’extorsion de fonds. Conformément à l’article 321-1 du code pénal, l’extorsion est passible de sept ans d’emprisonnement et de 100.000 euros d’amende.
Par ailleurs, les atteintes aux systèmes de traitement automatisé de données, communément appelées infractions aux STAD, peuvent être retenues conformément aux articles 323-1 à 323-7 du Code pénal. Ces infractions sont passibles de trois à sept ans d’emprisonnement et de 100 000 à 300 000 euros d’amende.
Une difficulté supplémentaire s’ajoute avec le modèle RaaS au niveau de l’imputation de la responsabilité suite à la multiplication des acteurs.
La nouvelle croissance des attaques par rançongiciels et la dispersion des auteurs à travers le monde soulignent davantage la nécessité d’une coopération internationale efficace.
Un fléau international nécessitant une réponse globale
L’office européen de la police ( Europol ) a apporté son soutien aux autorités allemandes, néerlandaises et américaines pour démanteler l’infrastructure du ransomware HIVE. Les forces de l’ordre de 13 pays ont participé à cette opération internationale. Les clés de déchiffrement ont été identifiées et partagées avec les victimes leur permettant de récupérer leurs données sans payer de rançon. Depuis juin 2021, plus de 1 500 entreprises dans plus de 80 pays ont été touchées. Grâce à la coordination et aux efforts de mitigation d’Europol, environ 120 millions d’euros ont été économisés en empêchant les entreprises de payer les rançons. Les affiliés ont utilisé le modèle classique de double extorsion du «ransomware-as-a-service » en copiant les données et en cryptant les fichiers. Mais comment se prémunir de cette menace ?
Les mesures de sécurité : vers un environnement plus sécurisé
La mise en place de pare-feu, de logiciels antivirus et de sauvegardes et mises à jour régulières permettent de faire face à ces attaques. La sensibilisation des utilisateurs et une formation complémentaire par le MOOC de l’ANSSI constituent un atout supplémentaire. Pour les entreprises, il est également intéressant de s’informer des produits d’assurances relatifs aux risques cyber. La devise reste de ne pas céder à la demande de rançon et de débrancher la machine d’Internet ou du réseau informatique immédiatement.
Delija Talevic
M2 Cyberjustice – Promotion 2022/2023
Sources :
ENISA – Threat Landscape 2022 ( July 2021 to July 2022)
https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-001.pdf
https://cms.law/fr/fra/news-information/attaque-par-rancongiciel
https://secnumacademie.gouv.fr/
