Le fléau des Ransomwares

Les ransomwares font la part belle à l’actualité, Egregor, RansomExx, Clop, NetWalker, Revil… Comme le Sars-CoV-2, rebaptisé Covid-19, les attaques par « virus informatiques » sont légion, et ne connaissent pas des frontières. Les virus infectent l’être humain comme les lignes de code malveillant corrompent les systèmes d’information. Les plus usités sont le phishing et le rançongiciel.

Il ne se passe pas une journée sans qu’une attaque ait lieu, quel que soit l’endroit. Or, comme le rappelait dès janvier, dans le Parisien, Guillaume Poupard, directeur général de l’agence nationale de la sécurité des systèmes d’information (ANSSI), en prophétisant : « les attaquants n’ont pas d’éthique, donc ils seraient capables d’attaquer les CHU au moment d’une crise quand nous avons besoin d’eux pour être sûr de récupérer une rançon. »

Le Phishing, ou hameçonnage reste l’un des principaux vecteurs de la cybercriminalité. Ce type d’attaque vise à obtenir du destinataire, d’un courriel d’apparence légitime, qu’il transmette ses coordonnées bancaires, ou mieux encore, ses identifiants de connexion à des services financiers, afin de lui dérober de l’argent. L’hameçonnage peut être utilisé dans des attaques plus ciblées pour tenter d’obtenir d’un employé ses identifiants d’accès aux différents réseaux professionnels. Le rançongiciel, ou ransomware, consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre la majeure partie des données accessibles et lui demande une rançon en échange du mot de passe de déchiffrement.

Extorquer de l’argent !

Les définitions posées, l’un des objectifs de ces programmes informatiques est d’utiliser les failles et faiblesses de vos systèmes à des fins pécuniaires. De nombreuses entreprises, associations, ministères, pays… sont victimes chaque instant de tentatives d’intrusions. En France, l’entreprise Dedalus avait été victime d’une attaque le 2 décembre 2020, relate Ticsanté. L’éditeur spécialisé dans l’informatique hospitalière rassurait par un communiqué de presse, dès le 4 décembre 2020 : « Seuls quelques serveurs de partage de fichiers et quelques machines internes au groupe Dedalus ont été touchés. Aucune donnée de clients de Dedalus n’a été perdue, volée ou compromise. De même la sécurité des accès réseaux aux clients n’a pas été compromise. » La société avait été prévenue par un de ses anciens employés, qui fut licencié pour faute grave, explique Nextinpact.

Le groupe SIPA-Ouest-France dans la nuit du 20 au 21 novembre 2020 a été victime d’un Rançongiciel. Pourtant la communication du groupe parlait d’une cyberattaque sans mentionner une demande de rançon. Secret de polichinelle qui vole en éclats après la revendication de l’attaque par le groupe Egregor qu’explique très justement LeMagIT. Quelques jours auparavant, le 14 novembre 2020, c’est au Chili, et en Argentine que ce même groupe œuvrait. À travers les imprimantes, c’est la multinationale Censosud qui en faisait les frais, relate Segu-info. Cencosud est une autre cible de marque. L’entreprise de distribution chilienne a dégagé l’équivalent d’environ 10 milliards d’euros de chiffre d’affaires en 2019, année de son entrée en Bourse. Son effectif avoisine les 125 000 collaborateurs. Son activité en Amérique latine englobe des supermarchés comme Disco, Jumbo, Métro et Vea.

France, Israël, Brésil, Argentine, USA, Chili…

En Israël, consigné le 1er décembre 2020 par « The Times of Israël », le groupe BlackShadow revendiquait l’attaque contre la compagnie d’assurance israélienne Shirbit. Ils se seraient emparés d’un vaste trésor de données personnelles sur ses clients, dont beaucoup sont fonctionnaires. « Dans cette action, en plus de graves dommages causés aux centres de données, des informations concernant une partie importante des abonnés de l’entreprise ont été divulguées », a poursuivi le groupe, affirmant avoir présenté « des documents d’identité des abonnés, des états financiers et d’autres documents liés à l’entreprise » disponible pour le téléchargement. Des détails personnels, y compris l’adresse du domicile et les numéros de téléphone, du président du tribunal de district de Tel-Aviv, le juge Gilad Neuthal ont été ainsi divulgués.

En France, Angers, Houilles, Marseille ont été attaquées. La Nouvelle-République, dans un article du 23 janvier 2021, informe que le conseil départemental de la Vienne avait été victime dans la journée du 21 janvier 2021 d’une attaque des systèmes d’information. Fin janvier 2021, les opérateurs derrière le ransomware « Revil » revendiquaient une attaque contre un groupe américain E. & j. Gallo winery (Gallo.com), mais aussi la société française UCAR (ucar.fr) et diffusent des échantillons de données relatives aux clients.

Au Brésil, plusieurs attaques sans précédent eurent lieu. La première, le 3 novembre 2020 sur le tribunal supérieur de justice du Brésil (STJ) : « L’attaque de pirate informatique menée mardi dernier sur le système de la Cour supérieure de justice (STJ) a bloqué la base de données des affaires en cours devant le tribunal et a complètement paralysé les travaux jusqu’à la semaine prochaine », souligne O. Globo. Puis, un des opérateurs portugais de « Cyber Team », dirigé par le hacker portugais connu sous le pseudonyme de « Zambrius », a admis avoir attaqué au moins 61 pages Internet en 2020. Parmi les cyberattaques, le groupe a également revendiqué l’invasion de portails électroniques du ministère brésilien de la Santé, mais pas seulement. Selon le journal Estadao de São Paulo, plusieurs mairies, chambres, petites entreprises, cabinets d’avocats et un service de la circulation sont parmi les victimes des attentats. Le même journal affirmait qu’une fuite du mot de passe du ministère de la Santé a exposé 16 millions de patients « Covid » : « […] parmi les personnes qui ont vu leur vie privée violée, avec la divulgation d’informations telles que le CPF, l’adresse, le téléphone et les maladies préexistantes, sont le président Jair Bolsonaro et les membres de la famille ; le ministre de la Santé, Eduardo Pazuello ; six autres ministères, comme Onyx Lorenzoni et Damares Alves ; le gouverneur de São Paulo, João Doria (PSDB), et 16 autres gouverneurs, en plus des maires de la Chambre, Rodrigo Maia (DEM-RJ), et du Sénat, Davi Alcolumbre (DEM-AP). »

Un grand coup porté à Emotet

Le 27 janvier 2021, Europol indiquait le résultat d’une collaboration entre les autorités, qu’elles soient de Police ou de Justice, aux Pays-Bas, en Allemagne, aux États-Unis, au Royaume-Uni, en France, en Lituanie, au Canada et en Ukraine, avec une activité internationale coordonnée par Europol et Eurojust. La finalité perturber et détruire l’infrastructure du botnet connu sous le nom d’Emotet. Ainsi les différents acteurs de cette lutte affichent leur volonté d’éradiquer par la communication des actions menées. « Du fait de ces activités, les banques et institutions financières étrangères ont subi des pertes de 2,5 milliards de dollars. Les auteurs risquent jusqu’à douze ans de prison », martèle sur son site, la police nationale ukrainienne.

L’infrastructure EMOTET comprenait des serveurs situés dans le monde entier et était un réseau agent logiciel, ou bot informatique. Le code malveillant s’est propagé via les spams, des systèmes de bureautique tels Word, Excel, etc. Les e-mails ressemblaient à un avertissement sur la sécurité du compte, une invitation à une fête et même un avertissement contre la propagation du COVID-19.

D’autant que notre vie réelle comme numérique tient, pour la plupart, dans notre smartphone, ou ordiphone. C’est pourquoi, la protection de vos systèmes d’information et des terminaux, que cela soit votre ordinateur, votre smartphone, tablette, et cætera, doit être régulièrement mis à jour. En fonction de votre utilisation desdits « objets informatiques » professionnelle ou privée, le niveau de sécurité souhaitée à un véritable coût. Une porte blindée ralentie, voire désespère le voleur, mais n’empêche pas l’intention de vous voler, ou d’utiliser votre terminal de façon malveillante. « […] ceux qui sont versés dans l’art de la guerre peuvent se rendre invincibles, mais [ils] ne peuvent rendre à coup sûr l’ennemi vulnérable. » Sun Tzu, dans l’art de la guerre, souligne ainsi qu’il ne faut pas sous-estimer l’ennemi.

La clef est sous le paillasson !

Comme le rappelait en préambule Guillaume Poupard, directeur général de l’ANSSI, « les attaquants n’ont pas d’éthique ». Un ordinateur, ses périphériques, les objets connectés (une box internet, un assistant vocal, le WIFI, les imprimantes…) sont autant d’entrées possibles pour toute personne malintentionnée. Il ne faut cependant pas verser dans la paranoïa, mais juste se prémunir, en modifiant régulièrement les mots de passe, ou passphrase. Car, il est courant de constater qu’Admin soit l’identifiant et le mot de passe pour accéder aux systèmes d’information. Les mots de passe restent inchangés depuis l’installation, plus par confort que par paresse. Pourtant, cela revient à laisser sa clef de domicile sous le paillasson avec un mot visible de tous : « la clef est sous le paillasson ! »

Ainsi, après que Publihebdos, appartenant à SIPA-Ouest-France, fut attaqué dans la nuit du 20 au 21 novembre 2020, des journalistes indiquaient sur la page web de leur journal : « si vous nous avez envoyé des communiqués ou autres rendez-vous, merci de nous les renvoyer à l’adresse… » fort heureusement ôté rapidement. Plus que de l’incompétence ou de l’inconscience, c’est une non-connaissance de ce milieu dit vulgairement « informatique ». C’est pourquoi un apprentissage semble nécessaire. Comme de filmer un moniteur d’ordinateur, ou écran, pour illustrer les dégâts occasionnés par une attaque, avec en toutes les informations pour en produire une autre.

Au sein de votre domicile, une porte blindée n’empêche pas la tentative de cambriolage, mais retarde, et décourage le malfaiteur. Il ne sert à rien d’installer une porte blindée sécurisant votre domicile et de laisser fenêtres et portes ouvertes à tous, il en va de même pour les systèmes d’information que nous possédons tous.