346 enquêtes contre les rançonneurs informatiques depuis janvier
AFP
Contre-attaque américaine, disparition de certains groupes, arrestations: l’univers des rançonneurs informatiques est secoué depuis quelques mois, mais les attaques par rançongiciels restent à un niveau très élevé. Le parquet de Paris, qui dispose d’une compétence nationale pour les attaques informatiques, a ouvert 346 enquêtes en lien avec des rançongiciels sur les 8 premiers mois de l’année, contre 243 sur toute l’année 2020, a-t-il expliqué à l’AFP à la veille de l’ouverture du Forum international de la cybersécurité à Lille. Ces affaires représentent désormais 85% des dossiers d’attaques informatiques qu’il traite, contre 60% l’an dernier.
Deux sociétés actives dans l’assistance aux entreprises frappées par une attaque, Wavestone et Varonis, constatent également une activité toujours très forte en 2021, avec un certain essoufflement très récemment. Sur les trois derniers mois, il y a eu « une croissance des attaques moins forte que ce qu’on avait connu » au début de l’année, indique Gérôme Billois, spécialiste en cybersécurité chez Wavestone, mais « l’ensemble de l’année restera en croissance ». « Il y a un peu moins de croissance » des attaques constatées par rapport aux « niveaux très élevés » constatés début 2021, abonde Pierre-Antoine Failly-Crawford, responsable de la réponse à incident chez Varonis.
Les autorités commencent à marquer quelques points
Ce léger ralentissement est peut-être à relier aux soubresauts qui ont agité le petit monde des rançonneurs informatiques ces derniers mois, alors que la réaction des États s’organise et devient plus vigoureuse. L’attaque spectaculaire début mai sur l’entreprise américaine Colonial Pipeline, qui a perturbé la distribution de carburant aux États-Unis, a provoqué une réaction musclée des autorités et une partie de la rançon versée, 4,4 millions de dollars, a été récupérée. Les serveurs du groupe à qui l’attaque a été attribuée, DarkSide, ont été mis hors service, et ledit groupe a disparu des écrans radars… même si certains de ses membres se retrouvent vraisemblablement aujourd’hui dans une nouvelle entité, BlackMatter.
REvil, auteur de plusieurs retentissantes attaques dont celle utilisant une version compromise d’un logiciel de la firme américaine Kaseya, semble également avoir disparu, tandis que le groupe Conti a étalé sur la place publique ses dissensions internes. Côté judiciaire, les autorités commencent à marquer quelques points. En février par exemple, des membres du groupe Egregor ont été arrêtés en Ukraine, dans une opération impliquant les polices ukrainienne et française, et le FBI.
Des perspectives d’interpellations ?
« Aujourd’hui, nous sommes beaucoup plus dans le concret judiciairement parlant » qu’il y a encore deux ans, explique la colonelle Fabienne Lopez, la cheffe du C3N, le service spécialisé en enquêtes cyber de la gendarmerie nationale. « On cible des individus, on travaille avec d’autres pays » pour parvenir à des arrestations, et, « aujourd’hui, on a des perspectives d’interpellations » dans les prochains mois, ajoute-t-elle. « Même les pays un peu complaisants » à l’égard des cybercriminels « ont compris » qu’il fallait parfois « coopérer », estime de son côté un spécialiste des rançongiciels au sein du C3N. « Mais c’est un peu comme les stupéfiants », reconnaît-il également: « vous coupez une branche et ce qui reste se restructure et revient sous un autre nom… ».
Le diagnostic est partagé par Pierre-Antoine Failly-Crawford. Les réactions des États ont probablement surpris les rançonneurs et leur compliquent un peu la tâche mais « cela ne va pas mettre un coup d’arrêt à leur activité, qui est beaucoup trop rémunératrice: récupérer 3 millions d’euros en une attaque, cela vaut le coup », fait-il valoir. « La seule chose qui pourrait avoir un effet sur le volume d’attaques, ce serait que les sociétés ne paient pas. (…) Malheureusement, on voit que ce n’est clairement pas la direction qui est prise », poursuit-il, en allusion aux débats sur la prise en charge ou non par les assurances du paiement des rançons.
Selon une estimation récente de Wavestone, environ 20% des entreprises touchées par une attaque au rançongiciel verseraient une rançon pour retrouver leurs données. « À mon avis, pour les grosses sociétés avec de grosses rançons demandées – plus d’un million d’euros -, on est plus proche d’une entreprise sur deux », estime Pierre-Antoine Failly-Crawford.