Rançongiciels : la première croisade

Par Alexis Rapin
Chroniques des nouvelles conflictualités - Chaire Raoul-Dandurand

Pour lire la version PDF

Dans les dernières semaines, différents pays ont déployé des mesures choc pour freiner la prolifération des opérations de cyberextorsion. La boite à outils anti-rançongiciels des États s’agrandit et voit notamment croître le rôle des appareils de sécurité nationale.

Pour qui s’intéresse un peu aux enjeux de cybersécurité, les rançongiciels (ou ransomwares en anglais)[1] auront incontestablement été le sujet fétiche de 2021. Des hôpitaux aux oléoducs en passant par l’industrie agroalimentaire, les opérations de cyberextorsion n’ont cessé de faire la une cette année, transformant ce qui fut longtemps perçu comme une préoccupation de techniciens informatiques en un véritable enjeu de sécurité internationale. Alors que les sommes exigées explosent et que les impacts sur les chaines d’approvisionnement s’accentuent, les gouvernements commencent à serrer le poing. L’actualité des dernières semaines a consacré plusieurs coups d’éclat en la matière.

Début octobre, une opération policière conjointe de la France, l’Ukraine et les États-Unis a mené à l’arrestation de deux importants cybercriminels, et à la saisie d’un butin de 1,6 million de dollars. À la mi-octobre, les États-Unis ont tenu un premier sommet diplomatique de haut niveau sur l’enjeu des rançongiciels, rassemblant pas moins de 30 pays, dont le Canada. Une semaine plus tard, le FBI et le US Cyber Command ont coordonné avec plusieurs partenaires étrangers une importante cyberattaque contre le groupe cybercriminel REvil, mettant celui-ci hors-jeu jusqu’à nouvel avis. La semaine dernière, enfin, c’est le Royaume-Uni qui annonçait son intention de prochainement employer sa National Cyber Force contre des groupes auteurs de rançongiciels.

Un constat s’esquisse : de plus en plus d’États considèrent les cyberattaques par rançongiciel non plus comme une simple nuisance d’ordre criminel, mais comme une menace à leur sécurité nationale. Au terme de deux années de pandémie marquées par la prolifération de ces larcins numériques, plusieurs gouvernements, et notamment celui des États-Unis, semblent maintenant engagés dans une première grande croisade contre les acteurs de la cyberextorsion.

Une vertigineuse escalade

Réaction démesurée ou judicieuse ? Tout indique que les États ne pouvaient plus s’en tenir au « business as usual » face aux auteurs de rançongiciels, qui ont opéré une escalade spectaculaire depuis 2020. Un simple coup d’œil à l’évolution des chiffres donne le vertige. Le gouvernement américain estime déjà à 590 millions de dollars le total de fonds extorqués par rançongiciel pour la première moitié de 2021 — contre 416 millions pour toute l’année 2020. Selon la firme de cybersécurité Palo Alto Network, le paiement moyen consenti lors d’une attaque a plus que doublé entre 2019 et 2020, passant de 115 000 à 312 000 dollars. Pendant ce temps, les records de rançons payées tombent les uns après les autres : un nouveau sommet a été atteint en mai dernier, lorsque la société d’assurance américaine CNA a versé 40 millions de dollars au groupe criminel Phoenix.

En marge de l’aspect purement financier, l’audace (et dans certains cas la cruauté) des pirates informatiques est elle aussi allée crescendo, perturbant des secteurs d’activité critiques et scandalisant les opinions publiques. Le ciblage de nombreux hôpitaux au plus fort d’une pandémie mondiale, particulièrement, a valu l’opprobre aux cybercriminels. Selon la firme Emsisoft, rien qu’aux États-Unis, près de 560 établissements de soins ont été victimes de rançongiciels en 2020. De plus, si les opérations de cyberextorsion ont longtemps fait parler les simples citoyens sans nécessairement troubler leur quotidien, la donne a maintenant assurément changé. En mai, l’attaque de l’entreprise opératrice d’oléoducs Colonial Pipeline a perturbé l’approvisionnement en carburant de plusieurs grandes villes de la côte Est américaine pendant plusieurs jours. En juillet, la chaine de supermarchés suédoise Coop a dû fermer quelque 800 magasins du fait d’une attaque par rançongiciel.

Plus prosaïquement, les rançongiciels sont donc passés d’un « problème de quelques individus » à un problème de toutes et tous, appelant une action gouvernementale forte. Symbole de cette « sécuritisation » de l’enjeu : en juin, le département de la Justice conférait formellement aux investigations concernant les attaques par rançongiciels un statut de priorité équivalent à celles en matière de terrorisme.

Élargir la boite à outils

Quelle forme prend désormais la première grande croisade étatique contre le phénomène des rançongiciels ? Celle-ci se déploie à différents niveaux, et mobilise des ressources et prérogatives gouvernementales très diverses, qui varient d’un État à un autre.

À l’échelon domestique d’abord, différents pays ont adopté dans les derniers mois des mesures visant à mieux gérer le phénomène. L’Australie a par exemple dévoilé à la mi-octobre un nouveau plan d’action qui contient entre autres une obligation pour les entreprises d’une certaine taille à notifier les autorités qu’elles ont été prises pour cible. En apparence anodine, cette réglementation s’attaque à un problème majeur : pour préserver leur image et leur crédibilité sur les marchés, de nombreuses entreprises dissimulent les cyberattaques qu’elles subissent, rendant difficile pour les autorités de mesurer, analyser et répondre aux vagues de rançongiciels dans leur véritable ampleur. Un autre domaine clé dans lequel les États s’efforcent d’agir est celui des cryptomonnaies, devises privilégiées par des pirates informatiques en quête d’opacité financière. Depuis septembre, le département américain du Trésor est par exemple habilité à geler des « cryptocapitaux » et à adopter des sanctions contre des services de transfert de devises numériques. Beaucoup d’observateurs estiment que la mesure est appelée à faire école dans de nombreux pays.

La menace des rançongiciels est toutefois largement transnationale. Comme en témoigne le sommet organisé par l’administration Biden en octobre, de plus en plus d’initiatives diplomatiques voient également le jour pour resserrer les mailles du filet anti-cyberextorsion. Un des épineux chantiers en la matière est celui des « États sanctuaires » : une large part des groupes cybercriminels auteurs de rançongiciels opèrent depuis une poignée de pays dont les autorités échouent à s’attaquer à leurs activités, ou choisissent sciemment de ne pas le faire, dans l’optique de nuire à des pays adverses. C’est notamment le cas de la Russie, où sont vraisemblablement terrés les gangs REvil (qui a piégé le géant agroalimentaire JBS en mai dernier) et DarkSide (le groupe derrière l’attaque de Colonial Pipeline). Il s’agit donc entre autres de former des alliances diplomatiques capables d’exercer suffisamment de pression sur ces pays pour les forcer à serrer la vis aux cybercriminels.

Militariser la lutte ?

Une autre idée, plus radicale, commence également à essaimer : mobiliser des agences de sécurité nationale et des cybercapacités offensives contre les groupes cybercriminels. L’objectif est notamment de localiser et espionner ces groupes, anticiper leurs opérations et potentiellement pirater les infrastructures qu’ils emploient. C’est vraisemblablement la dernière option qui aurait été employée contre REvil par les États-Unis et leurs partenaires il y a quelques jours. En avril 2020, l’Australie annonçait avoir fait de même contre des cybercriminels exploitant la pandémie pour des opérations de fraude en ligne. Avec sa récente annonce, le Royaume-Uni devient donc le troisième membre des Five Eyes à manifester son intention de déployer des moyens offensifs contre les auteurs de rançongiciels. Le Canada, qui a subi son lot d’attaques par rançongiciel, et qui s’est doté depuis 2018 de ressources cyber offensives, sera donc probablement amené à plancher sur l’idée à brève échéance.

Ces opérations coup de poing, si elles ont le mérite d’envoyer des signaux forts, ne semblent toutefois livrer que des résultats éphémères : le réseau Trickbot, ciblé par une opération de l’US Cyber Command en octobre 2020, était de retour aux affaires quelques jours seulement après l’assaut américain. Pour cette raison et bien d’autres, le bien-fondé et la manière de mener de telles attaques font l’objet de nombreux débats. Stefan Soesanto (chercheur au Center for Security Studies de l’École polytechnique fédérale de Zurich) soulève par exemple le problème de la coordination internationale et de la « déconfliction » des opérations : une action offensive inopinée d’un pays X détruisant les données d’un groupe criminel peut porter atteinte à une longue et discrète investigation policière d’un pays Y sur ce même groupe. Perturber temporairement les activités des pirates pourrait ainsi sacrifier des preuves et des arrestations (peut-être plus susceptibles de produire des résultats à long terme).

Autre problème majeur, selon Erica Borghard (de la Carnegie Endowment for International Peace) et Lauren Zabierek (du Belfer Center de l’Université Harvard) : définir la finalité, et ce qui serait considéré comme un succès, pour les opérations offensives contre des réseaux cybercriminels par essence fugaces. Les deux expertes préviennent que l’appareil militaire américain risque d’être happé par la lutte anti-cyberextorsion comme il le fut par la lutte antiterroriste, multipliant les opérations, accumulant les prérogatives et dispersant ses efforts sans bien savoir vers quoi il doit en définitive courir. Si la lutte désormais engagée contre les auteurs de rançongiciels s’esquisse donc comme une première croisade, reste à voir combien d’autres seront nécessaires à produire les résultats espérés… par des États toujours certains de quand sortir l’épée, mais bien souvent incapables de savoir à quel moment la ranger.

[1] Le terme rançongiciel désigne un logiciel malveillant qui crypte les données stockées sur un ordinateur, les rendant inaccessibles à son utilisateur. Une rançon est alors demandée par les pirates informatiques en échange de la clé de décryptage.

 

 

Pour lire la version PDF

2 novembre 2021
En savoir plus