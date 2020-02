Les attaques par rançongiciels sont en augmentation et se « professionnalisent » pour l'ANSSI. Les conséquences peuvent être catastrophiques, aussi bien financièrement qu’humainement. L'Agence dresse un vaste état des lieux de cette menace, précisant au passage être intervenue sur 69 incidents majeurs en France.

Commençons par une définition, donnée par l'ANSSI, qui sera utile pour la suite : « un rançongiciel est un code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent ».

Big Game Hunting, Ransomware-As-A-Service, sous-traitant…

Il en existe des centaines de variantes, avec même principe : le chiffrement des données, les rendant illisible à l'utilisateur. Ce dernier doit alors payer une rançon en espérant que cela lui permettra d'obtenir une clé de déchiffrement. Un type d'attaque qui a le vent en poupe, car elles peuvent rapporter gros aux pirates.

« Alors que les montants de rançons habituels s’élèvent à quelques centaines ou milliers de dollars, celles demandées lors des attaques "Big Game Hunting" [très sophistiquées, parfois au niveau de ce que peut produire un service d’espionnage étatique] sont à la mesure de la cible et peuvent atteindre des dizaines de millions de dollars », explique l’ANSSI.

À la fin de son rapport (page 18 à 26), l’Agence revient en détail sur une dizaine de rançongiciels de cas de « Big Game Hunting » : SamSam, BitPaymer, Ryuk, LockerGoga, Dharma, GandCrab, Sodinokibi, MegaCortex, RobinHood, Maze et Clop.

Certains d’entre eux, comme GandCrab, Sodinokibi, Dharma et Maze, sont considérés comme des « Ransomware-As-A-Service », car ils sont proposés par des pirates à d’autres pirates via un système d’affiliation. Un système bien rôdé : « Il permet aux attaquants de sous-traiter une grande partie des actions pour mener à bien leurs opérations d’extorsion et d’y acheter les ressources nécessaires (données personnelles, accès légitimes compromis, codes malveillants) ».

... un écosystème très lucratif

L’attaque Cryptolocker aurait rapporté 3 millions de dollars en 2013, contre 6 et 7 millions pour SamSam et Ryuk. On passe à 150 millions de dollars avec GrandCrab grâce à son modèle de Ransomware-As-A-Service permettant de « louer » le rançongiciel contre un pourcentage des gains, et enfin entre 18 et 320 millions de dollars pour Cryptowall.

Au total, cet écosystème générerait « deux milliards de dollars de bénéfices annuels », à mettre en perspective avec les 1 500 milliards de dollars en 2018 pour l’ensemble des activités cybercriminelles.

De l‘autre côté, les coûts sont limités et, pour une attaque de type « Big Game Hunting », ne dépasseraient pas en moyenne « les dizaines de milliers de dollars sur l’ensemble de la période d’activité » selon l’ANSSI. « Dans tous les cas, il est très peu probable que le coût pour l’attaquant approche ses revenus potentiels », ajoute-t-elle.

Des attaques coûteuses… même si vous avez des sauvegardes