Ransomware : les chiffres d’un phénomène explosif

Les boules de cristal des acteurs de l’industrie de la cybersécurité étaient formelles : 2020 promettait d’être pire que 2 019 sur le front des rançongiciels. Cette prévision se retrouvait aussi bien chez Centrify, que chez Check Point, CyberArk, Darktrace, FireEye, Kaspersky, McAfee, Netwrix, RSA, ou encore Sophos. Le temps leur a donné raison : courant 2020, les attaques publiquement connues se sont multipliées, jusqu’à atteindre des sommets sans précédent. Mais le phénomène n’en est pas resté là.

En 2020, nous avions recensé près de 1 700 attaques avec ransomware à travers le monde. Ce nombre a été dépassé, pour 2021, au mois de juillet. À ce jour, nous en avons compté près de 3 200, soit un peu moins du double que l’année précédente.

En France, la situation n’est pas brillante. Nous avons compté près de 130 attaques avec rançongiciel en 2020. Aujourd’hui, nous en avons recensé près de 270 pour 2021. De manière remarquable, la tendance est identique à l’échelle mondiale : il y a 50 % d’attaques connues de plus qu’en 2020 à fin octobre 2021.

Et encore, ce n’est là que la partie visible de l’iceberg, car les victimes peinent encore à informer ouvertement de la situation dans laquelle elles se trouvent. L’Agence nationale pour la sécurité des systèmes d’information (Anssi), indiquait déjà en 2021, être intervenue sur 192 attaques en 2020, contre 54 en 2019. Pour Guillaume Poupard, directeur général de l’agence, « c’est fois 4. Il y a véritablement une explosion ». Et encore, ces chiffres ne recouvrent que les cas sur lesquels l’Anssi a été amenée à intervenir. Pour mémoire, le périmètre d’intervention nominal de l’agence se limite à l’État, aux administrations, et aux opérateurs d’importance vitale (OIV).

De son côté, Jérôme Notin, directeur général du GIP Acyma qui opère le portail Cybermalveillance.gouv.fr, faisait état au même moment de 159 collectivités touchées en 2020 contre 103 en 2019, et de 837 entreprises contre 667. Soit une progression de l’ordre de 50 % pour les premières, sur un an, contre environ 30 % pour les secondes. 

Au 31 décembre 2021, Cybermalveillance.gouv.fr avait reçu 1 851 demandes d’assistance associations, entreprises, administrations et collectivités confondues. Mais à la fin du mois de septembre dernier, les chiffres de 2020 étaient déjà largement dépassés.

Ces chiffres suggèrent plusieurs choses. Tout d’abord, l’ampleur du phénomène n’est que très partiellement quantifiable : au mieux, environ 10 % des cas sont connus, au moins pour la France. À l’échelle planétaire, la part des cyberattaques connues est encore probablement plus faible. La médiatisation des incidents, dans certains pays, tend à le suggérer : en Inde, par exemple, les cas de cyberattaques relayés par les médias sont extrêmement rares ; ce qui ne permet pas de conclure que le pays est épargné par le phénomène, loin de là.

En outre, les cas connus publiquement en France, et ceux recensés par Cybermalveillance.gouv.fr ont tous peu ou prou doublé entre 2020 et 2021 : il apparaît raisonnable d’estimer que ce doublement s’approche, à tout le moins, de la réalité. Car si le portail du GIP Acyma a gagné en popularité, la propension des organisations victimes à l’évoquer ouvertement ne s’est pas améliorée de manière significative.

Les données publiées à l’automne dernier par le service statistique ministériel de la sécurité intérieure tendent à conforter cette analyse : selon celles-ci, le nombre de plaintes pour cyberattaque avec ransomware a progressé d’environ 30 % entre 2019 et 2020. Sur la même période, les demandes d’assistance enregistrées par Cybermalveillance.gouv.fr ont quant à elles crû de plus de 25 %.    

En septembre 2020, la limitation des ressources disponibles pouvait donner l’espoir d’une stabilisation du niveau de la menace. Car la capacité des cyberdélinquants à exploiter toutes les pistes qu’ils obtiennent n’est pas illimitée. Les appels à « partenaires » étaient alors réguliers sur les forums qu’ils fréquentent. Et les profils recherchés étaient d’un niveau de compétence élevé : même si les outils librement accessibles ne manquent pas, la phase de reconnaissance manuelle préalable au déploiement et à la détonation du rançongiciel nécessite une expertise certaine.

L’histoire aura montré que ces espoirs d’accalmie ou à tout le moins de stabilisation étaient vains. Surtout, une fuite a montré, durant l’été 2021, que le groupe Conti n’hésitait pas à former des profils « junior », voire même à attirer les recrues en proposant un revenu fixe assorti d’un intéressement aux résultats.

À moyen terme, cette approche de la franchise Conti pourrait contribuer à renforcer la menace, lorsque les nouveaux venus formés par ses soins, forts de leurs faits d’armes, décideront d’aller voir ailleurs, soit en rejoignant un autre groupe de malfaiteurs, soit en mettant à profit d’autres rançongiciels proposés en mode service par des développeurs indépendants.