Introduction
Au cours des derniers mois, la Suisse a été la cible d’une série de cyberattaques de type ransomware. Ces attaques ont notamment visé des collectivités publiques (Commune de Rolle, Curatelle de Saxon)1« Cyberattaque à Rolle: un signal d’alarme pour les communes suisses – Le Temps », 24 août 2021. Consulté le: 30 juillet 2023. [En ligne]. Disponible sur: https://www.letemps.ch/opinions/editoriaux/cyberattaque-rolle-un-signal-dalarme-communes-suisses., 2« Cyberattaque contre la curatelle de Saxon: les données volées diffusées sur le darknet », https://www.lenouvelliste.ch/valais/bas-valais/martigny-district/saxon/cyberattaque-contre-la-curatelle-de-saxon-les-donnees-volees-diffusees-sur-le-darknet-1287866 (consulté le 30 juillet 2023)., des entreprises industrielles (Bobst)3« Contrairement à ce qu’il affirmait, Bobst s’est fait voler des données – Le Temps », 9 juin 2023. Consulté le: 30 juillet 2023. [En ligne]. Disponible sur: https://www.letemps.ch/economie/contrairement-quil-affirmait-bobst-sest-voler-donnees., des prestataires de services informatiques (Xplain, Infopro)4« Cyberattaque contre l’entreprise Xplain: l’administration fédérale est également touchée ». https://www.ncsc.admin.ch/ncsc/fr/home/dokumentation/medienmitteilungen/newslist.msg-id-95605.html#:~:text=Xplain2C%20une%20entreprise%20suisse%20qui%20fournit%20des%20logiciels,une%20partie%20de%20ces%20donn%C3%A9es%20sur%20le%20darknet. (consulté le 30 juillet 2023)., 5« Des dizaines de milliers d’entreprises suisses victimes indirectes d’une cyberattaque », rts.ch, 24 novembre 2022. https://www.rts.ch/info/economie/13570369-des-dizaines-de-milliers-dentreprises-suisses-victimes-indirectes-dune-cyberattaque.html (consulté le 30 juillet 2023)., des groupes de presse (CH Media)6« Plusieurs médias suisses touchés par une cyberattaque – Le Temps », 24 mars 2023. Consulté le: 30 juillet 2023. [En ligne]. Disponible sur: https://www.letemps.ch/economie/plusieurs-medias-suisses-touches-une-cyberattaque..
D’aucuns prétendent que la question n’est pas de savoir « si » mais « quand » vous subirez une cyberattaque !
L’objectif de cet article est d’expliquer le déroulement d’une cyberattaque de type ransomware, d’identifier les auteurs, de comprendre leur mode opératoire, de mesurer les impacts sur les victimes et de faire en sorte que l’organisation soit cyber-résiliente.
In fine, le but est d’inciter les lectrices et les lecteurs à prendre des mesures afin de réduire le risque d’être la prochaine victime.
Qu’est-ce qu’un ransomware ?
Un ransomware (rançongiciel en français) est un code malveillant qui bloque l’accès à votre ordinateur ou à des fichiers en les chiffrant et qui vous réclame le paiement d’une rançon pour obtenir le déchiffrement de vos données7« Qu’est-ce qu’un ransomware ou rançongiciel ? », Assistance aux victimes de cybermalveillance. https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/ransomware-rancongiciel-definition (consulté le 2 août 2023)..
Le Centre national pour la cybersécurité (NCSC)8D. fédéral des finances DFF, « Page d’accueil NCSC ». https://www.ncsc.admin.ch/ncsc/fr/home.html (consulté le 2 août 2023). publie chaque semestre un rapport de situation sur la sécurité de l’information. En 2020, 76 annonces9D. fédéral des finances DFF, « Rapport semestriel 2020/1 ». https://www.ncsc.admin.ch/ncsc/fr/home/dokumentation/berichte/lageberichte/halbjahresbericht-2020-1.html (consulté le 6 août 2023), p. 16., 10D. fédéral des financ es DFF, « Rapport semestriel 2020/2 ». https://www.ncsc.admin.ch/ncsc/fr/home/dokumentation/berichte/lageberichte/halbjahresbericht-2020-2.html (consulté le 6 août 2023), p. 11. concernant des ransomwares ont été faites au NCSC par des particuliers et des organisations. En 2022, les annonces ont doublé pour atteindre les 159 cas11« Rapport semestriel du NCSC: la cybertechnologie dans les conflits armés ». https://www.ncsc.admin.ch/ncsc/fr/home/dokumentation/medienmitteilungen/newslist.msg-id-91127.html (consulté le 6 août 2023)., 12« Rapport semestriel du NCSC: la cybersécurité dans les PME ». https://www.ncsc.admin.ch/ncsc/fr/home/dokumentation/medienmitteilungen/newslist.msg-id-95071.html (consulté le 6 août 2023).. Ces statistiques ne sont pas exhaustives, seuls les cas annoncés y figurent car il n’y a pas d’obligation d’annoncer les attaques en Suisse.
Qui sont les auteurs des attaques ?
Un véritable écosystème cybercriminel existe sur le darknet avec des prestataires qui proposent leurs services. La répartition des actes malveillants se fait sur des forums de cyber-délinquants en fonction de leurs compétences : création de malware, intrusion, négociation avec la victime. Les auteurs des attaques par ransomware sont le plus souvent des groupes criminels organisés dont la motivation principale est financière. Ils ciblent aussi bien les particuliers que les entreprises et les Etats13Cybercriminalité, des attaques bien réelles | ARTE, (14 mai 2023). Consulté le: 6 août 2023. [En ligne Vidéo]. Disponible sur: https://www.youtube.com/watch?v=XQi6aO2CSgY..
Les groupes actifs comme Play, BlackCat, Vice Society publient les données volées sur le darknet. BlackCat publie les données sur un site web normal, ce qui les rend accessibles sans aller sur le darknet et augmente ainsi le nombre de consultations des données volées14D. fédéral des finances DFF, « Rapport semestriel 2022/2 ». https://www.ncsc.admin.ch/ncsc/fr/home/dokumentation/berichte/lageberichte/halbjahresbericht-2022-2.html (consulté le 6 août 2023), p. 25..
Quel est le mode opératoire ?
La première étape pour le cybercriminel consiste à trouver des informations sur la cible et les vulnérabilités de celle-ci15S. Ghernaouti, Cybersécurité – Analyser les risques – Mettre en oeuvre les solutions. Dunod, 2022, pp. 43-45.. Pour se faire, il va recourir à l’ingénierie sociale (social engineering) qui vise à manipuler psychologiquement la personne ou l’organisation ciblée pour lui faire prendre une mauvaise décision, comme par exemple ouvrir un mail et télécharger un fichier qui va introduire le malware dans le système informatique16D. fédéral des finances DFF, « Ingénierie sociale: ne vous laissez pas questionner ». https://www.ncsc.admin.ch/ncsc/fr/home/dokumentation/bundesinterne-kampagnen/social_engineering.html (consulté le 2 août 2023)..
La pratique couramment utilisée est le phishing (hameçonnage en français) qui consiste à envoyer un grand nombre de courriels frauduleux en espérant que quelqu’un télécharge le fichier contenant le code malveillant17Réf. 15, p. 34.. L’essor de l’intelligence artificielle va accentuer la menace car elle va considérablement aider les auteurs de cyberattaques, notamment dans l’ingénierie sociale en facilitant les recherches d’informations personnelles sur les individus et les organisations ainsi que la rédaction de courriels ciblés18Réf. 13..
Une autre manière est de profiter d’une brèche dans la sécurité du système pour y pénétrer, notamment si l’administrateur n’a pas effectué les dernières mises à jour. Le télétravail qui s’est répandu après la COVID-19 facilite la vie des cybercriminels car le niveau de la sécurité informatique n’est pas aussi élevé au domicile que sur la place de travail19Réf. 15, p. 267..
Une fois que l’attaquant est entré dans le système de la cible, il va chercher à élever ses privilèges de manière à prendre le contrôle de la machine voire du réseau informatique. Dans le cas du ransomware, il va chiffrer les données et exiger le paiement d’une rançon généralement en bitcoin20V. Ducommun-Dit-Verron, « Ransomware (cryptolockage) », Votre Police – Conseils et prestations des polices vaudoises, 18 juillet 2023. https://votrepolice.ch/entreprises/rancongiciels/ (consulté le 30 juillet 2023)..
Faut-il payer la rançon ?
Le NCSC et les polices cantonales déconseillent de payer la rançon21D. fédéral des finances DFF, « Rançongiciels – que faire? » https://www.ncsc.admin.ch/ncsc/fr/home/infos-fuer/infos-unternehmen/vorfall-was-nun/ransomware.html (consulté le 6 août 2023).. Le paiement de la rançon finance le groupe criminel et lui permet de lancer de nouvelles attaques. Selon la revue ITnation, la revue des professionnels de l’IT au Luxembourg, chaque rançon payée finance neuf nouvelles attaques22« Chaque rançon de ransomware finance neuf nouvelles attaques – ITnation | L’actualité des professionnels de l’IT au Luxembourg », 28 février 2023. https://itnation.lu/news/chaque-rancon-payee-aux-auteurs-de-ransomware-finance-au-moins-neuf-nouvelles-attaques/ (consulté le 6 août 2023).. D’autre part, il n’y a aucune certitude de récupérer les données ou que la clé de déchiffrement soit remise. Les données peuvent être revendues à d’autres criminels sur le darknet.
Toutefois, il me paraît difficile de dissuader une organisation de payer la rançon si le coût de celle-ci est inférieur au coût du dommage subi par le non-accès aux données ou au système informatique.
Quelles sont les conséquences pour la victime ?
Les impacts d’une attaque par ransomware pour une organisation sont de plusieurs ordres :
- Impacts financiers : perte de clients, baisse de la valeur des actions, coûts extraordinaires (gestion de crise, rétablissement du système informatique).
- Impacts opérationnels : interruption partielle ou totale de l’activité, focus sur la gestion de la crise et la communication au détriment de la gestion ordinaire de l’entreprise23Réf. 15, p. 117..
- Les impacts sociaux et psychologiques ne doivent pas être négligés. La perception négative de l’organisation par le public, la dégradation de la relation avec les clients et les fournisseurs, l’arrêt de la production, le fait de ne pas savoir comment rétablir rapidement les services, le renvoi des collaborateurs chez eux ont forcément un impact négatif sur le moral et la motivation du personnel de l’organisation ciblée24J. Le Roy et O. Meier, « L’impact social et psychologique des cyber-attaques », Manag. Datascience, vol. 6, no 2, mai 2022, Consulté le: 6 août 2023. [En ligne]. Disponible sur: https://management-datascience.org/articles/20015/.. Par ailleurs, les personnes qui ont vu leurs données personnelles divulguées sur internet évoquent fréquemment le sentiment de violation de leur intimité25Réf. 13..
Quelles sont les infractions selon le Code pénal suisse ?
En Suisse, les auteurs d’attaque par ransomware commettent notamment les infractions suivantes26Code pénal suisse du 21 décembre 1937 (état le 1er août 2023) (CP; RS 311.0)., 27Y. Benhamou et L. Wang, « Cyberattaque et ransomware : risques juridiques à payer et assurabilité des rançons », Schweiz. Z. Für Wirtsch.- Finanz., vol. 95, no 1, p. 80‑90, 2023. :
- Accès indu à un système informatique (art. 143bis CP) : en prenant le contrôle à distance du système informatique de la victime qui est protégé par un mot de passe.
- Détérioration de données (art. 144bis CP) : en modifiant, effaçant, rendant inutilisables les données ou lorsque celles-ci ne sont plus accessibles même temporairement.
- Extorsion (art. 156 CP) : lorsque la victime paie la rançon en échange de la clé pour déchiffrer les données.
Toutefois, les cybercriminels échappent souvent aux poursuites car les attaques s’opèrent à distance, souvent depuis l’étranger, ce qui implique de multiples juridictions et des législations divergentes entre les Etats. Le sentiment d’impunité prévaut car la prise de risque est souvent minimale au regard de la profitabilité des actions28Réf. 15, p. 32..
La cyber-résilience
Selon Solange Ghernaouti29Réf. 15, p. 15., « Que ce soit dans le domaine de l’écologie, de la psychologie, du management, de l’informatique ou de l’économie, la résilience est relative à la capacité d’un système à pouvoir continuer à opérer si possible normalement, ou au moins en mode dégradé, après un incident, un choc, une perturbation, une panne. Parler de cyber-résilience aujourd’hui revient à admettre qu’il est impossible d’empêcher des cyber-incidents d’advenir, que le cyberespace est un environnement fragile, instable et potentiellement hostile ».
L’organisation doit apprendre à fonctionner en mode dégradé, c’est-à-dire sans utilisation de l’informatique pendant une période indéfinie. Il faut veiller à déterminer les fonctions vitales qui doivent être rétablies en priorité. Ces situations doivent êtres entrainées et optimisées régulièrement30« Cyberattaques : apprendre à travailler sans ordinateurs », Les Echos, 30 mars 2018. https://www.lesechos.fr/2018/03/cyberattaques-apprendre-a-travailler-sans-ordinateurs-987877 (consulté le 30 juillet 2023)..
Je souhaite illustrer le fonctionnement en mode dégradé par le témoignage de la directrice d’un EMS de 226 résidents qui a subi une cyberattaque par ransomware. A la suite de l’attaque, 19 serveurs sont cryptés, 55’000 fichiers sont inaccessibles. Les données médicales des 10 jours précédents l’intrusion ont été reconstituées en prenant contact avec les pharmacies et les médecins par téléphone et par téléfax. Ce fut le retour du crayon et du papier !31« Masterclass Heidi.news à Genève le 08.12.2022. Témoignage de Florence Moine, directrice générale de l’EMS Maison de Vessy ».
La cyber-résilience doit être intégrée dans la gestion des risques de l’organisation. Des plans de crise existent pour les incendies, les tremblements de terre mais souvent pas encore pour les événements liés à la cybersécurité. Lors d’une attaque, l’organisation doit se mettre en mode gestion de crise avec une cellule dédiée32Réf. 30..
Deux types de mesures sont préconisées33Réf. 15, pp. 114-115. :
- Des mesures préventives qui visent à empêcher l’attaque, notamment des mesures de protection (détecteurs d’intrusion, firewall), des mesures de dissuasion visant à décourager les agresseurs et des mesures structurelles (organisation optimale du système d’information, mise en place de sauvegardes, stockage des données, recours à des prestataires externes). Il faut sensibiliser les utilisateurs aux cyber risques et mettre en place une formation à la cybersécurité.
- Des mesures de réaction, intervenant après l’incident, qui visent à pallier ou à réparer les dégâts causés par l’attaque et qui permettent la continuité des activités.
Généralement, en mode de gestion de crise, les intervenants appliquent des procédures formelles de résolutions d’incidents préalablement définies. L’organisation doit absolument mettre en place une marche à suivre en cas d’attaque. Si elle n’a pas les compétences pour le faire, elle devrait demander l’assistance d’une entreprise spécialisée. Attention toutefois à la dépendance excessive à ces check-lists, la souplesse et la réactivité sont de mise face aux surprises rencontrées lors d’une attaque réelle34B. Dupont, « La cyber-résilience en pratiques : sensemaking, préparation et adaptation », Manag. Datascience, vol. 7, no 1, nov. 2022. https://management-datascience.org/articles/21908/ (consulté le 30 juillet 2023)..
La phase de communication interne et externe est capitale car elle démontre que l’entreprise maîtrise la crise. Il faut paraître transparent, crédible et maintenir la confiance des acteurs concernés35Réf. 15, p. 124.. La société Xplain a, par exemple, communiqué sur son site internet qu’elle avait fait l’objet d’une cyberattaque36« Hackerangriff », Xplain AG. https://www.xplain.ch/fr/hackerangriff/ (consulté le 8 août 2023). en précisant que des clients de l’entreprise étaient également concernés, notamment des autorités fédérales et cantonales.
Le cas de Xplain soulève la question du lieu de stockage des données. Les données peuvent être dans l’organisation mais aussi chez des tiers (prestaires informatiques, cloud) et ceux-ci sont des cibles de choix. La perte de maîtrise des données et la dépendance à l’égard de prestataires externes est un enjeu pour l’organisation. Il ne faut pas se focaliser uniquement sur les aspects économiques au détriment de la sécurité37Réf. 15, p. 214., 38« Des dizaines de milliers d’entreprises suisses victimes indirectes d’une cyberattaque », rts.ch, 24 novembre 2022. https://www.rts.ch/info/economie/13570369-des-dizaines-de-milliers-dentreprises-suisses-victimes-indirectes-dune-cyberattaque.html (consulté le 30 juillet 2023)..
Conclusion
Chaque organisation, chaque entreprise, chacun-e d’entre nous devrait se préparer à affronter une cyberattaque de type ransomware ou autre.
A mon avis, les points d’attention ci-après ainsi que les solutions préconisées par l’organisation pour répondre aux questions posées contribueront à réduire les risques d’être la prochaine victime :
- Mettre en place et respecter et faire respecter les best practices39« Dix règles pour assurer votre sécurité informatique », pme. https://www.pme.ch/entreprises/2019/02/11/dix-regles-assurer-securite-informatique (consulté le 8 août 2023)., en se souvenant que « le point faible se trouve entre la chaise et le clavier ».
- S’assurer que les programmes informatiques soient mis à jour régulièrement et que les sauvegardes soient faites de manière à pouvoir restaurer rapidement les données en cas d’incident.
- Se poser la question du lieu de stockage des données. Sont-elles dans l’organisation, chez un prestataire ou dans un cloud ? Dans le cas où elles sont stockées à l’externe, toutes les mesures de sécurité ont-elles été prises par les prestataires concernés ?
- Sommes-nous prêts à fonctionner en mode dégradé ? Si demain nous n’avons plus accès à nos données, comment pouvons-nous poursuivre l’activité ? Sommes-nous cyber-résilients ? Avons-nous constitué une cellule de crise qui a déjà testé un scénario de cyberattaque ?
L’intelligence artificielle va modifier nos comportements, elle va aider les cybercriminels dans la commission de leurs actes malveillants mais elle va également nous offrir des opportunités de lutter contre cette criminalité.
Restons vigilants !