Généalogie du ransomware
Il fête ses 35 ans d’existence, le 12 décembre 2024. Le premier ransomware ou rançongiciel date de la fin des années 80. Son but, par chiffrement de données : extorquer de l’argent. Le premier à se faire connaître est PC Cyborg Trojan, codé par Joseph Popp. Depuis les cyberattaques ne cessent de faire la une des journaux print ou web. Il n’est pas une société qui soit épargnée. Si l’année 2023 vit le paiement de un milliard en rançon, ce montant pourrait devenir astronomique dans le futur.
La population mondiale découvre depuis quelques années, vers 2008, un phénomène : les ransomwares ou rançongiciels. Depuis l’avènement des réseaux sociaux, tout est dit est son contraire. La première affaire internationale parlant de clef de déchiffrage moyennant une somme d’argent date du 11 décembre 1989.
Voyage dans le passé
Le virus du SIDA découvert par le Professeur Montagnier fait des ravages à travers le monde. Les années 80 voient une recrudescence de contamination par ce virus mortel. Pour comprendre l’étendue d’une contamination, il faut trouver le patient zéro, puis effectuer de la rétro-ingénierie. En 1989 éclate le scandale des disquettes connues sous le nom « AIDs Trojan ». Ce cheval de Troie est considéré comme le premier ransomware.
La Ketema & Associates distribue par voie postale, des disquettes (5 pouces 1/4) contiennent le code source d’un programme d’information et de prévention contre le sida.
Mais elle contenait également un autre programme. Ce dernier s’installe silencieusement. Il se met en ordre de marche après 90 redémarrages. Il chiffrait des informations sur le système d’information, et les données personnelles.
Puis un message exige 189 dollars pour obtenir la clef de déchiffrement. Elle est à régler sur un compte au Panama pour la société PC Cyborg. L’enquête nécessite l’intervention d’Interpol. Après plusieurs pistent, les inspecteurs s’orientent vers le Panama. Mais l’armée des États-Unis envahit le pays le 20 décembre 1989.
Le hasard n’existe pas. Les autorités aéroportuaires douillent les bagages d’une personne en transit à Amsterdam pour du Kenya se rendre aux États-Unis. La police saisit un tampon de la société PC Cyborg. Sans élément, le citoyen américain Joseph Popp poursuit son voyage.
(Crédits : Walter Koch/Wikipedia)
Il est arrêté le 2 février 1990 par le FBI près de Cleveland, puis extradé vers le Royaume-Uni où il est incarcéré à la prison de Brixton. Déclaré « public disgrace », il est inapte à être traduit devant la justice britannique. Il ne sera pas inquiété par la justice américaine, mais condamné par contumace en Italie. L’étude des disquettes et du chiffrement donnent lieu à des critiques. L’utilisation du chiffrement symétrique par le Dr Joseph Popp donnera naissance à la cryptographie asymétrique.
La naissance des programmes
La technologie célèbre ses 35 ans le 12 décembre 2024. Les balbutiements apparaissent dès 2004. Un individu cible les citoyens russes avec un programme connu sous « GPCode ». Il est le premier programme informatique nommé désormais « phishing ». L’arnaque à la promesse de carrière, ou offre d’emploi est née.
Puis les variants tels Archiveus, Krotten, Cryzip, MayArchive usent de clés de chiffrement de plus en plus grandes. Ensuite Reveton en 2012 et Cryptolocker en 2013. Sur les quatre derniers mois de l’année, CryptoLocker amasse plus de 4 millions de dollars. L’opération Tovar stoppe son déploiement. Evgeniy Bogachev, alias « lucky12345 » et « Slavik », est chargé par le FBI d’être le meneur de Gameover_Zeus et Cryptolocker.
Depuis des rançongiciels fleurissent ici et là. Mais différents types existent. Le chiffrant qui affecte l’ensemble des systèmes d’information contaminés. Les utilisateurs découvrent un fichier texte avec des instructions relatives au paiement en Bitcoins. Il existe également les bloquants, ceux qui sont dits de Master Boot Record (MBR), mais les chiffrements sont le plus courants.
Certains sont célèbres : WannaCry, Petya,
(Crédits : Mohamed Hassan/Pixabay)
Les ransomwares, dans une liste non exhaustive, sont au nombre de 231. Certains stoppent leur activité, d’autres sont arrêtés par les forces de l’ordre et certains perdurent : Omega, 8Base, BlackLock, Akira, alphalocker, BianLian, blacksuit, BrainCipher, Ciphbit, Cl0p, Daixin Team, DarkVault, Dunghill, Arcus, Basta News, DragonForce, Embargo, Play News, RA World, RansomEXX v2, RansomHouse, Space Bears, ThreeAM, RanomHub, Medusa, KillSec, Cicada3301… et bien sûr LockBit 3.0 (annonçant la version 4.0).