Les pirates informatiques qui ont attaqué l’éditeur américain de logiciels de gestion des systèmes d’informations Kaseya, demandent une rançon. Une attaque qui a paralysé plus de 1 500 entreprises à travers le monde. Ce modèle d’attaque qui se nomme aussi « double extorsion » est devenu l’arme préférée des cyber-pirates, analyse Damien Bancal, journaliste expert en cybercriminalité et auteur du site Web Zataz.
RFI : La société informatique américaine Kaseya espère redémarrer ses serveurs aujourd’hui pour permettre à ses milliers de clients d’accéder « au plus vite » à leurs services en ligne, mais cette cyberattaque, Damien Bancal, ce n’est pas une surprise, en réalité…
Damien Bancal : Non, ce n’est vraiment pas une surprise. Pourquoi ? Parce qu’il y en a une centaine par semaine, et je pèse mes mots. Ce type de cyberattaque, par ransomware [ou rançongiciel], on en parle beaucoup depuis deux ans car les pirates informatiques font du « marketing de la malveillance » comme je l’appelle. Je m’explique : ils en parlent, ils affichent ce qu’ils veulent, ils affichent les rançons, bref, ils veulent faire chanter les entreprises en face. On pourrait se dire qu’on commence à comprendre, on commence à s’en protéger, mais pas du tout ! Les pirates informatiques ont toujours un pas d’avance, et ce pas d’avance est en train de faire d’énormes dégâts.
Ça s’adresse à un intermédiaire qui fournit des solutions logicielles pour de nombreuses entreprises. Est-ce que ce n’est pas un peu le problème de ces cyberattaques : on attaque qu’une seule entreprise qui en paralyse plein d’autres ?
C’est le problème des cyberattaques : en face, on a des malveillants qui sont de plus en plus intelligents, et que font-ils ? Ils ne vont pas s’attaquer directement à l’entreprise, non, mais ils utiliseront ce qu’on appelle un « cheval de Troie ». Et si on a une entreprise qui propose et fournit des logiciels que d’autres partenaires utilisent, c’est du pain béni pour le pirate informatique. Il a une porte d’entrée, et cette porte c’est en quelque sorte « tous les chemins qui mènent à Rome » ! Le problème, c’est que cette porte mène droit aux disques durs des autres entreprises, et là, les pirates n’ont plus qu’à se servir.
Selon plusieurs experts, cette cyberattaque a été menée par un affilié au groupe de hackers russophones connu sous le nom de REvil. Une revendication publiée sur le blog du darknet « Happy Blog », associé dans le passé à REvil, réclame d’ailleurs le paiement d’une rançon de 70 millions de dollars en bitcoins. Mais dans les faits, on sait très peu de choses sur les commanditaires et le profil des attaquants…
Les pirates informatiques aujourd’hui, encore plus quand ce sont des utilisateurs de ransomware, font tout simplement une veille. En face de nous, on a clairement des gens qui recherchent leur cible, qui vont l’étudier avant d’attaquer son informatique. Une fois qu’ils ont trouvé la porte d’entrée, et malheureusement cette porte est souvent humaine – soit par des courriels électroniques, soit tout simplement par des logiciels qui sont mal protégés, avec un mot de passe complètement idiot comme « 12345 », on en voit malheureusement très souvent – les pirates se chronomètrent. Ils disent clairement : « On va attaquer vendredi soir, parce qu’on sait qu’il y aura peu de répondant, on sait que ça va attaquer énormément de monde, et qu’au moins pendant ce week-end, ça va mettre une panique totale. Et comme il y aura panique totale, on pourra peut-être faire payer plus facilement l’entreprise qu’on vient de rançonner. »
La panique gagne aussi l’agence de cybersécurité des infrastructures américaines qui dit surveiller la situation de près, mais apparemment, sans vraiment de possibilités de contrer ce type d’attaques.
C’est simple, on voit le FBI, on voit notre forte Anssi [l’Agence nationale de sécurité des systèmes d’information, ndlr] qui passent leur temps à alerter, qui disent « Attention, prenez soin de votre informatique, formez, éduquez… ». Mais on se rend compte qu’il y a encore trop peu d’entreprises qui écoutent, car elles se disent qu’elles ont mis leur budget dans la cybersécurité, donc qu’elles sont protégées. Le problème, c’est qu’elles ne forment pas leurs équipes. Ensuite, il y a beaucoup d’équipes qui n’écoutent pas parce qu’elles se disent que ça n’arrive qu’aux autres. Le problème, c’est que le jour où on voit le compte à rebours sur l’écran, il est trop tard.
Est-ce qu’on n’a pas été trop loin dans la mise à disposition, dans le nuage informatique, de logiciels qui sont, somme toute, assez fragiles ?
C’est simple, aujourd’hui on a décidé de tout centraliser dans des endroits qu’on ne maîtrise pas du tout. Vous faites confiance à une entreprise qui est à des milliers de kilomètres de chez vous, car elle vous a dit que pour quelques dollars, quelques euros, vous allez avoir le super logiciel et que vous allez pouvoir tout contrôler à distance. Oui, mais alors vous ne formez pas les gens, vous ne leur expliquez pas qu’il peut y avoir un problème de cybersécurité derrière, ou vous ne mettez pas un bon mot de passe… Comme dans le dessin animé de Disney, quand le serpent vous regarde et vous dit « Aie confiance », voilà le problème : à faire trop confiance, on peut malheureusement s’y casser les dents.
On est obligé de parler de résilience à un moment donné. Comment se reconstitue-t-on après ce type de cyberattaque ?
Le problème, après ce genre de cyberattaque, c’est que pour remonter toute une structure informatique, remettre le pied à l’étrier du commerce de son entreprise, c’est très long, c’est très compliqué. C’est pour cela que beaucoup d’entreprises disparaissent aussi, parce que quand vous avez perdu l’intégralité de vos clients par exemple, quand vous avez perdu toutes vos informations, il est compliqué de se relever. Certes, là par exemple en Suède, ça a fait fermer des milliers de magasins, mais on a oublié un tout petit détail : c’est que les pirates avant de tout chiffrer, ils ont volé, ils ont surveillé, ils ont tout exfiltré, et souvent il y a aussi des données des employés, de la RH, des services commerciaux … Et là c’est très compliqué, parce que ces données aujourd’hui sont entre les mains de pirates.
Dans tous les cas, je pense qu’ils vont payer. Pour moi, c’est simple, selon mes chiffres, sept entreprises sur dix payent, et ce sont des entreprises que je côtoie, que je vois, etc. Pas plus tard que ce week-end, une société m’a appelé via son avocat en me disant : « De toute façon, on n’a pas le choix, on doit payer, on a tout perdu. » Ils veulent récupérer, eux, l’usufruit de leur travail, pouvoir utiliser le jour même tous leurs systèmes.
Le problème c’est que ces entreprises vont payer des pirates qui leur disent, main sur le cœur, qu’ils vont tout effacer mais ils ne vont rien effacer du tout.
Oui, ils vont vendre …
J’expliquais en 2016 que les pirates allaient utiliser le double-effet RGPD [le Règlement général sur la protection des données, ndlr] : ils vont prévenir l’entreprise en disant « Tu me payes, sinon j’en parle à la CNIL [la Commission nationale de l’informatique et des libertés], et la CNIL te fera payer ». À présent, il y a même des pirates qui vont piller d’autres pirates pour ouvrir des boutiques afin de revendre les données que les primo-accédants ont volées. C’est hallucinant.
L’article «Les pirates informatiques ont toujours un pas d’avance» est apparu en premier sur zimo news.