2016, l’année où les rançongiciels s’attaquent aux infrastructures critiques

Dans sa note d’information, l’institut américain des technologies pour infrastructures critiques (ICIT), n’y va pas par quatre chemins. Pour lui, « 2016 est l’année où les rançongiciels vont semer le chaos sur la communauté américaine des infrastructures critiques ». Dès lors, « payer ou ne pas payer sera la question qui alimentera des débats enflammés dans les conseils d’administration de tout le pays et au-delà ».

Un ton aussi rigoureusement affirmatif pourrait prêter à sourire si un Locky ne se diffusait pas si largement, ou si la démonstration de l’impréparation du milieu hospitalier, face à une menace diffuse qui fait son grand retour, n’avait déjà été faite. Accessoirement, Bitdefender et Kaspersky ont déjà averti : les ransomwares devraient occuper une place de choix dans le paysage 2016 de la menace.

Dans la note d’information de l’ICIT, Brian Contos, vice-président et directeur stratégie de sécurité de Securonix, explique simplement l’attrait des cybercriminels pour les rançonsgiciels : « c’est une activité de volume. C’est simple, relativement anonyme, et rapide. Certains vont payer, d’autres pas. Et alors ? Avec un éventail de cibles suffisamment large, il y a largement de quoi permettre à ce type d’attaque de générer un flux de revenus régulier ».

Au cours des deux dernières années, les crypto-rançongiciels ont représenté les deux tiers des ransomwares binaires observés par Symantec. En moyenne, la rançon demandée est de l’ordre de 300 $, en bitcoins. Pour l’ICIT, ces rançongiciels « sont aussi simples que transformer en arme le chiffrement fort, contre des victimes, en leur empêchant d’accéder à leurs fichiers ».

L’ICIT souligne que, contrairement aux opérateurs de campagnes ciblées (APT), « les menaces motivées par le gain financier, comme les campagnes de ransomware, ne se préoccupent pas de la cible ». Des internautes en sont donc victimes, mais également des entreprises, comme on a déjà pu le voir en France, l’an passé, avec CTB-Locker.

Reste que certaines cibles sont potentiellement plus attractives que d’autres. Et cela commence par les services d’urgence, « pour qui perdre l’accès à des systèmes peut coûter des vies ». L’ICIT mentionne bien sûr le secteur de la santé, mais également celui de l’éducation, les établissements de l’enseignement supérieur « ayant plus de chances de disposer de fonds suffisants pour payer une rançon significative ».

Pour l’heure, relève l’institut, « les ordinateurs personnels sont la principale cible des campagnes de ransomware parce qu’ils sont nombreux et aisément compromis ». En outre, « les utilisateurs tendent à avoir une cyber-hygiène médiocre ». Mais les rançongiciels pour Android existent déjà – pour iOS, les perspectives de retour sur investissement sont trop limitées.

Mais l’ICIT soulève le risque pour les serveurs, qui « stockent toutes les informations critiques » des entreprises. Et malgré cette valeur, « les organisations échouent régulièrement à sécuriser, mettre à jour leur systèmes, et à y appliquer les correctifs ». Et ceux-ci sont hélas susceptibles d’être attaqués à l’occasion d’un mouvement latéral. « Lorsqu’un serveur est compromis, l’organisation panique […] même si l’organisation dispose d’un plan de continuité de l’activité ou d’un plan de reprise d’activité, le temps nécessaire pour basculer sur un système de reprise peut être inacceptable ». Alors, malgré des demandes de rançon « 10 à 50 fois plus élevées que pour les individus  […] les organisations tendent à payer ».

L’institut se penche enfin sur des systèmes plus spécialisés, comme des terminaux de point de vente. Prenant l’exemple d’une grande chaîne de magasins, il estime qu’une attaque par rançongiciel « pourrait résulter en des pertes de ventes significatives ». Et d’estimer qu’il n’est pas exagéré d’imaginer ce type d’évolution.