top of page

Ransomware : des balbutiements à l’industrialisation


Ransomware : des balbutiements à l'industrialisation

En 1989, lorsque Joseph Popp réalise la première version d’un rançongiciel, la dénomination contemporaine est anachronique. Pourtant tous les éléments du procédé tel que nous le connaissons sont déjà là, même dans la partie la plus psychosociale de l’attaque. En effet le logiciel créé par Popp chiffre les données de sa victime et se propose de les lui rendre (de les déchiffrer) contre une somme d’argent (ici 189 $), et cela, avec pour prétexte une expiration de licence qu’il faudrait régler à une entreprise à laquelle Popp avait même donné un nom : la PC Cyborg Corporation.


publicité

PC Cyborg Corporation : l’invention de la transaction

À l’instar de nombreux procédés d’attaque, le rançongiciel est donc bien né sous le manteau et n’est pas une invention de chercheurs : il est, dès son origine, une invention de banditisme isolé.

Mais surtout, notons qu’il est imbriqué à une dimension transactionnelle délibérée dès son invention : Popp, instinctivement, double le logiciel d’un prétexte et d’un faux-nez pour assurer le succès de son attaque. Pour tenter un parallèle, nous pourrions ainsi comparer le faux-nez produit par Popp à la pratique de la photo de l’otage avec le journal du jour.

Mais surtout, notons qu’il est imbriqué à une dimension transactionnelle délibérée dès son invention : Popp, instinctivement, double le logiciel d’un prétexte et d’un faux-nez pour assurer le succès de son attaque. Pour tenter un parallèle, nous pourrions ainsi comparer le faux-nez produit par Popp à la pratique de la photo de l’otage avec le journal du jour. Pour toute transaction réussie, il faut, c’est un principe économique, une confiance mutuelle, quitte à ce que celle-ci soit contrainte par la peur ou par la duperie.

Les ingrédients d’un rançongiciel moderne sont donc déjà réunis : criminalité détachée de l’industrie logicielle ou d’un État et composée autant de compétences techniques que de compétences sociales avec, au coeur, un projet de transaction économique.

Il y a trente ans, Popp n’avait pas accès à la technique qui est devenue essentielle à la réussite d’un rançongiciel aujourd’hui : l’absence dans le code malveillant de la clef de déchiffrement. En effet, une rétro-ingénierie permettait de trouver dans son code la clef de chiffrement qu’il se proposait de vendre. Mais à cette exception près, le rançongiciel de Popp est, trente ans plus tard, toujours théoriquement valide.

Il faut donc laisser de côté la question de la complexification technique des logiciels, car, jusqu’à peu, elle n’était pas le meilleur témoin de leur montée en puissance dans les années 2000. Encore récemment, les rançongiciels qui faisaient le plus de victimes n’étaient pas toujours les plus sophistiqués. Citons ainsi WannaCry et son kill-switch.

Comme le pressent intuitivement Popp en 1989, le coeur du rançongiciel est similaire à celui de la rançon telle que nous la connaissons dans le monde réel. Un rançongiciel, est-on tenté d’affirmer, est un processus transactionnel avant d’être un logiciel. Nous en voulons pour preuve l’apparition au début des années 2010 de « faux » rançongiciels comme Winwebsec qui, littéralement, ne sont qu’un processus transactionnel dans la mesure où le programme ne chiffre aucune donnée.

Jusqu’à l’apparition des premiers rançongiciels touchant des systèmes industriels, le meilleur témoin du succès des rançongiciels est le développement de duperies et de techniques de social-engineering particulièrement inventives comme dans le cas du Trojan Police : Reveton, le raçongiciel qui se fait passer pour les forces de l’ordre.

Un recentrage en cours

En gardant cette perspective transactionnelle et économique du rançongiciel, on débouche naturellement vers le mobile de l’attaque : la raison économique. En 1989, Popp exige 189 $ de ses victimes, aujourd’hui, les entreprises qui paient des rançons sont plus souvent obligées d’y laisser des milliers de dollars. Au dernier trimestre de 2018, pour Coveware, la rançon moyenne exigée par un rançongiciel était de 12 762 dollars. Une moyenne en constante augmentation depuis les années 2010.

Entre ces deux époques, une variété de rançons ont été exigées et diverses cibles ont été exploitées par les attaquants. Encore aujourd’hui, il existe encore des rançongiciel qui ont vocation à toucher un grand nombre de victimes quitte à exiger une rançon faible notamment sur les appareils mobiles qui, selon Symantec, dans un contexte baissier pour le rançongiciel, ont augmenté de 33 % en 2019.

Pour autant, si l’on note une véritable augmentation continue des rançons exigées, c’est bien parce que le rançongiciel s’est trouvé une cible de choix : l’entreprise. Selon le même rapport de Symantec, en 2019, cette réalité était très nette : les rançongiciels ont connu une baisse 20 % des détections au cours de l’année, mais en entreprises, la société en a détecté 12 % de plus que l’année précédente. Logiquement, on observe un recentrage du rançongiciel vers l’entreprise.

L’affinité élective du rançongiciel pour l’entreprise est à rattacher à la valeur croissante des données mises en jeu et donc potentiellement prises en otage. La criminalité s’orientant vers les cibles les plus lucratives, les données plus susceptibles d’être prises en otage sont aujourd’hui des données qui ont une valeur économique dans l’absolu.

Vers l’industrialisation

Le rançongiciel présente un avantage dont peu d’attaques informatiques peuvent se targuer : être rémunératrice et, en conséquence, auto-financée. Comme une entreprise informatique qui dégage des bénéfices, une entreprise cybercriminelle peut investir ses bénéfices dans la recherche et le développement, augmenter l’échelle de ses attaques et même, recruter. On observe bien là que la technique n’est pas première dans le succès du rançongiciel, mais secondaire, au sens où elle est permise par son économie et liée à un stade de maturité.

A contrario du hameçonnage, qui ne connaît pas véritablement d’industrialisation, à moins d’accepter une définition quantitative et non qualitative de ce processus, le rançongiciel est contraint à la sophistication pour établir une situation favorable au paiement de la rançon depuis qu’il a mis les pieds dans l’entreprise.

Car, et c’est là l’ultime condition qui permet l’essor d’une industrialisation du rançongiciel (et qui constitue l’avenir de ce dernier), celui-ci présuppose, dans le cas où l’on chercherait à rançonner un grande entreprise, une compétence technique. Uber, Saint Gobain, une PME de l’IT ou encore Altran Tech pour Locker Goga, doivent être inquiété par un attaquant à leur hauteur techniquement pour céder à la rançon.

Dans cette phase de maturité et des attaquants, et des cibles, on peut mettre en parallèle la sophistication technique d’une attaque avec sa lucrativité : toute entité disposant de données sensibles est susceptible d’être plus difficile à attaquer, mais plus simple à extorquer. Encore aujourd’hui, des cas nous contredisent comme WannaCry. Ces derniers permettent de nuancer l’idée d’un processus industrialisation terminée, mais semblent être de plus en plus relégué au passé.

Depuis 1989, toutes les conditions à la prolifération, mais surtout à la montée en puissance et en expérience, des rançongiciels sont réunies. Et contrairement à l’idée générale que l’on pourrait s’en faire, c’est moins dans le développement de la puissance de calcul que se trouve la clef d’une industrialisation de ces attaques, que dans le développement d’une raison économique favorable à cette criminalité. Le perfectionnement des attaques, à l’oeuvre depuis une quinzaine d’années, n’est qu’une conséquence de cette invention originelle.

Si aujourd’hui on considère certains groupes APT comme de véritables entreprises mafieuses, indépendantes financièrement des états et en mesure de se renouveler, d’innover et de recruter des membres, c’est bien parce que, dès 1989, Popp a mêlé à une connaissance informatique une forte dose d’intuition quant à la possibilité de s’enrichir. Il est à ce titre un triste pionnier.

On considère aujourd’hui deux types d’attaques comme en voie d’industrialisation : le logiciel espion et le rançongiciel. Dans les deux cas, ce sont des attaques qui avant d’être techniques, disposent d’un mobile et d’un financement.

Alors que les entreprises et les pouvoirs publics mûrissent et développent une connaissance des phénomènes cybercriminels, il reste essentiel d’en accepter une compréhension économique et sociale par delà l’urgence d’y opposer une forte compétence technique. En matière de prévision notamment, il n’y a qu’une lecture par ce spectre qui permet d’observer que rien ne s’oppose à un accroissement continu de la menace durant les prochaines décennies.

0 vue0 commentaire

Comments


bottom of page