eyetronic - Fotolia

Ransomware : AIG confirme la tendance à des opérations ciblées

Ils se sont fait souffler la première marche du podium des demandes d’indemnisation par les détournements de comptes de messagerie professionnelle. Mais la menace demeure très sérieuse.

Les ransomwares représentaient la première cause de demande d’indemnisation des assurés cyber d’AIG en 2017, pour 26 % d’entre elles. Mais un an plus tard, cette part est tombée à 18 %. Pour l’assureur, ce recul qualifié de « marginal » ne doit pas masquer une réalité douloureuse : les « attaques de type rançongiciel ou extorsion deviennent plus ciblées ». Cette tendance était marquée ; elle est ici une nouvelle fois confirmée. Dans son rapport, AIG prend pour exemple du phénomène Norsk Hydro, attribuant l’incident au maliciel Lockergoga.

Parallèlement, AIG relève une inflation des montants demandés pour les rançons, évoquant « des cas où les cyber-criminels ont demandé des dizaines de millions de dollars ». Et pourtant, certains paient. Une décision « qui continue d’être influencée par la qualité des sauvegardes ». Mais elle n’est pas nécessairement gage de coûts significativement réduits – comme tend à le montrer le récent exemple d’Eurofins. Et pour cause, relève AIG : même si le paiement permet d’obtenir le déchiffrement des fichiers, il convient de rétablir la confiance dans le système d’information, « en isolant les données pour s’assurer de ne pas être infecté à nouveau, et en nettoyant ses fichiers avant de tout réinstaller ».

En attendant, l’assureur s’attend à ce que le ciblage des attaques se poursuive. Et d’anticiper, dans le même temps, « une croissance des demandes » d’indemnisation.

Mais les statistiques d’AIG font monter sur la première marche du podium une autre menace : le détournement de comptes de messagerie professionnelle (BEC, ou Business email compromise). L’assureur relève là que « les attaquants visent souvent les personnes responsables pour l’envoi de paiements, en utilisant des comptes de façade afin d’usurper l’identité d’un dirigeant, ou d’un fournisseur ». L’an dernier, les incidents de type BEC comptaient pour 23 % des demandes d’indemnisation. En 2017, ces incidents étaient classés dans la catégorie « autre défaut de sécurité/accès non autorisé », qui arrivait en troisième position des demandes, à 11 %.

Ces chiffres n’ont pas manqué d’interpeler Félix Aimé, analyste chez Kaspersky. Il relève que « la fraude au président est toujours sous-estimée par rapport à la cybercriminalité toute venante ». Alors que la prévention et l’investigation sont possibles. Alexandre Archambault souligne d’ailleurs « qu’il existe tout un tas de procédures, aussi bien au pénal qu’au civil, permettant d’obtenir de précieux éléments d’identification et relatifs aux modes opératoires pour des retours d’expériences utiles ». Pour lui, « le vide juridique n’existe pas sur ce sujet ».

Mais pour Mark Camillo, patron de l’activité cyber d’AIG pour la région EMEA, « enquêter sur ces incidents est de plus en plus coûteux ». Car il convient désormais de tenir égal compte d’effets de bord : « lorsqu’un acteur malicieux accède à une boîte de messagerie, il faut enquêter en profondeur, comprendre quelles informations ont pu être consultées, et si des exigences du RGPD ont été déclenchées ».

Et il peut y avoir plus, car la sophistication des attaques ne manque pas d’aller croissante. Déjà, en début d’année, des délinquants ont utilisé des outils d’intelligence artificielle pour reproduire la voix d’un dirigeant d’entreprise afin de mieux en usurper l’identité. Il s’agissait du PDG d’un énergéticien britannique. Un transfert frauduleux de 220 000 € a ainsi été obtenu.

Relevant l’accessibilité croissante de ce qu’il convient désormais d’appeler des deep fakes, Jake Williams, fondateur de Rendition Infosec, s’inquiétait d’ailleurs tout récemment de l’explosion prévisible des coûts associés aux procédures judiciaires en impliquant, ne serait-ce qu’en expertises.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close