On entre dans l’ère de l’industrialisation du rançongiciel
Denis Lalonde|Édition de la mi‑octobre 2020Damien Bancal dirige le pôle Cyber intelligence au sein de l’entreprise québécoise de cybersécurité 8Brains. (Photo courtoisie)
Q&R. Qu’ont en commun le fabricant de montres connectées Garmin, le géant des centres de données Equinix, la chaîne américaine d’hôpitaux UHS et l’entreprise canadienne Groupe Santé Medisys? Toutes ces entreprises ont été victimes d’un rançongiciel au cours des derniers mois. Grâce à ces logiciels malveillants, les cybercriminels parviennent à chiffrer les disques durs d’entreprises et exigent des rançons pour en rendre le contenu à leur propriétaire. Est-ce que cette pratique est en progression ? Oui, et les outils pour lancer des attaques sont de plus en plus sophistiqués, selon Damien Bancal, directeur du pôle Cyber intelligence à 8Brains.
Les Affaires – Comment pensent les opérateurs de rançongiciels ?
Damien Bancal – Ce qui est terrible, c’est qu’ils utilisent exactement les mêmes techniques que pour du marketing. Ils peuvent tenter de se faire passer pour IGA, La Source ou Walmart, pour une boîte d’avocats ou pour un assureur. Il faut comprendre que pour les pirates, le principal point faible qui leur permettra de prendre le contrôle de bases de données se situe entre la chaise et le clavier. Ils vont jouer sur la corde sensible de l’humain, la curiosité, dans le but de le faire cliquer sur un fichier piégé.
L.A. – Quelles sont leurs capacités ?
D.B. – Pour faire une métaphore avec la pêche, on ne parle pas d’un individu dans sa chaloupe qui taquine le poisson. On parle d’un chalutier qui lance son filet à la mer et où tous les poissons qui tomberont dans le filet seront piégés.
Par exemple, Sodinokibi, un groupe d’opérateurs de rançongiciels, a caché de faux fichiers correspondant à de petits livrets destinés aux étudiants dans le secteur bancaire. Tout ce qu’espère Sodinokibi, c’est qu’un étudiant tape « Livret études bancaires » dans les moteurs de recherche. Il y a encore des sites qui permettent de télécharger des fichiers piégés.
L’important est que le piège soit le plus réaliste possible. On parle alors d’hameçonnage ciblé. Il ne s’agit pas simplement de subtiliser des noms d’utilisateurs et des mots de passe, mais surtout d’inciter les gens à cliquer sur des fichiers piégés. C’est un filet de pêche qui doit être le plus large possible. Lorsque les disques durs sont chiffrés, le chantage commence. Il peut s’agir de chantage au déchiffrement, de chantage à la non-divulgation de données, mais aussi de chantage à la non-vente aux enchères de données.
L.A. – Les entreprises qui sont prises au piège doivent-elles payer les rançons ?
D.B. – Jamais. À moins de croire au père Noël, on ne peut pas faire confiance à des cybercriminels. Avant même le chiffrement des disques durs d’une entreprise, les pirates auront analysé tous les documents et récupéré toutes les adresses de courriel de tous les partenaires. Par la suite, ils vont usurper l’identité de cette même entreprise pour communiquer avec les partenaires et espérer que les cibles en face mordent à l’hameçon.
L.A. – Le monde de la cybercriminalité possède donc son propre univers économique ?
D.B. – Il y a même des transactions financières et des groupes de cybercriminels qui fusionnent entre eux. Par exemple, le groupe Maze a récemment absorbé les groupes Ragnar Locker et Lock Bit pour former le cartel Maze. Ils ont compris comment réduire les coûts. Dans certains groupes, il y a même du service après-vente ! On est dans une économie parallèle qui s’est industrialisée.
L.A. – Est-il facile pour les pirates de se procurer des bases de données ?
D.B. – Aujourd’hui, sur le Web, il n’y a qu’à se pencher pour trouver des bases de données par dizaines. Il peut s’agir de serveurs non protégés ou de gens pensent que leur WordPress est un lieu où ils vont pouvoir sauvegarder leurs données, ce qui n’est pas le cas.
L.A. – Quelles sont les solutions à mettre en place pour éviter le plus possible de tomber dans le piège des cybercriminels ?
D.B. – S’il y avait une recette secrète pour se protéger d’eux, ça se saurait. Mais le meilleur moyen est la sensibilisation du personnel. L’identification à double facteur est aussi un élément clé à mettre en place, tout comme le chiffrement des informations qui ne doivent pas être lues par le personnel non autorisé. Il faut aussi cloisonner les données. Ce n’est pas normal que des gens aient accès à 100 % des données d’une entreprise parce qu’ils sont comptables ou directeur des ressources humaines. Un cybercriminel qui veut obtenir quelque chose finira par l’obtenir, mais cela n’empêche pas les entreprises de leur mettre des bâtons dans les roues et de leur faire comprendre qu’il sera plus facile d’aller voir ailleurs.
L.A. – Quelle est la porte d’entrée favorite des cybercriminels dans les entreprises ?
D.B. – Les géants commencent enfin à se rendre compte que tout peut constituer une brèche informatique. Une brèche, c’est moi derrière mon clavier, c’est l’ordinateur pas mis à jour, c’est l’entreprise qui ne se sécurise pas correctement et qui permet à n’importe qui de recevoir n’importe quel type de courriel, c’est la carte SD du téléphone mobile ou la clé USB qu’on laisse traîner dans les ascenseurs. Les gens se demandent souvent pourquoi ils seraient ciblés par des cybercriminels. Tout le monde est une cible potentielle. La question n’est pas de savoir si vous serez ciblé, mais bien de savoir quand.
Beaucoup de gens sont de gros fainéants. Le problème, c’est qu’en informatique, quand tu es fainéant, dans la seconde qui suit, le pirate ne t’aura pas loupé.