Quoiqu’il arrive, ne payez pas la rançon : le conseil a été martelé depuis les débuts des premières grandes épidémies de 2016. Cette recommandation part d’un bon sentiment : payer les cybercriminels, c’est bien évidemment financer leur activité et rien ne garantit qu’en échange du paiement, vous obtiendrez effectivement un accès à vos données. En contrepartie, les attaquants qui sont parvenus à pénétrer le système d’une entreprise et à prendre en otage les données ont tout intérêt à ce que la victime paye.
C’est ce qui est arrivé en début d’année 2017 à une petite entreprise de location d’équipement de sonorisation basée en Auvergne Rhône-Alpes. Le directeur préfère rester anonyme, mais confie à ZDNet.fr avoir été victime d’un ransomware connu sous le nom de maykolin1234.
Ce ransomware actif dans le début de l’année 2017 n’a pas fait les gros titres de la presse et est parvenu à rester sous le radar. Il a en revanche fait des victimes : « On a commencé à se douter d’un problème en constatant des problèmes d’accès à notre serveur et à nos fichiers. Le processus était progressif, mais au bout de quelques jours je me suis rendu compte que l’ensemble des fichiers présents sur le serveur était chiffré, l’extension avait été changée et une note de rançon nous indiquait la marche à suivre. »
publicité
Quatre jours de négociations
Pour la petite entreprise, qui compte moins de 10 employés, le coup est rude : « On est restés 10 jours sans pouvoir accéder à nos fichiers. Pour nous c’est énorme : on ne peut plus faire ni devis ni factures ni accéder à nos documents de travail, donc ça a été un peu la panique. On a fait patienter nos clients, ça a été compliqué, mais ils ont été compréhensifs. » C’est aussi à cette occasion que le dirigeant découvre que son prestataire informatique chargé des sauvegardes n’est pas exactement aussi efficace que souhaité et que la dernière sauvegarde complète date de 2015.
Pour résoudre la crise, le dirigeant se résigne et contacte donc les pirates via l’adresse indiquée dans la note de rançon. S’ensuivent quatre jours de négociations, pas toujours évidentes au vu du contexte : « Les premiers contacts ont été houleux. J’ai essayé de comprendre leur démarche, puis je leur ai expliqué qu’on était une petite boîte et qu’on faisait travailler des gens. Puis la négociation a commencé : je lui ai expliqué qu’on n’avait pas les moyens de payer la rançon, il m’a proposé d’avancer un prix. Il a refusé ma première offre, j’ai fait mine de partir et puis il m’a recontacté et on est parvenus à s’entendre. »
Une fois le prix arrêté et la somme payée, les pirates envoient un exécutable à l’entreprise, un outil de déchiffrement qui permet de récupérer l’accès aux fichiers. « Ça a été long pour en arriver là, au total on a du échanger un peu plus de trente mails avec eux », explique le dirigeant. Avec l’avenir de l’entreprise sur le fil, difficile de négocier sereinement, surtout en l’absence de soutien vers qui se tourner. « Le seul accompagnement que l’on a trouvé, c’est une connaissance à l’aise avec l’informatique qui nous a aidés pour trouver des solutions, comprendre le problème avec nos sauvegardes, etc. On a préféré éviter de perdre trop de temps et aller au plus vite. Et puis dans ce cas de figure, la première chose que le prestataire nous propose, c’est un devis. Donc c’est un peu décourageant, on préférerait d’abord régler le problème. »
Le décrypteur envoyé par les attaquants fonctionne à peu près, mais le processus est long et demande parfois de s’y reprendre à deux fois pour récupérer des fichiers déchiffrés.
D’un point de vue sécurité, le risque est grand : non seulement rien ne garantit que les données seront bien récupérées, mais rien ne garantit non plus que le décrypter transmis par les attaquants ne met pas en place une porte dérobée sur le système afin que les attaquants puissent revenir par la suite sous une nouvelle identité.
La tentation de payer
Les petites entreprises sont des cibles de choix pour les cybercriminels qui utilisent des ransomware : certes, la rançon sera forcement moindre qu’en visant un grand compte mais les petites entreprises, souvent mal équipées et mal formées pour faire face à la menace, ont aussi beaucoup à perdre. Dans ce contexte, la tentation de payer est grande et les cybercriminels l’ont bien compris.
En France, la question de la protection des petites et moyennes entreprises a été notamment confiée au GIP Acyma, qui anime le portail cybermalveillance.gouv.fr. L’idée est de proposer un portail visant à orienter et conseiller les petites entreprises affectées par ce type d’attaques, en les redirigeant notamment vers des prestataires qualifiés en région capable d’accompagner les victimes. Bien évidemment, se tourner vers un spécialiste informatique n’est pas gratuit et cela peut décourager les victimes. Dans les deux cas, il faudra donc payer, une somme qui s’ajoutera au temps perdu pour résoudre la crise.
Si la tentation de payer la rançon est grande, elle est parfois également encouragée par des acteurs que l’on n’attendait pas : en mai, une enquête du site ProPublica a ainsi révélé que plusieurs sociétés d’assurances américaines arrangeaient parfois les paiements entre victimes et cybercriminels.
Pour l’assureur, c’est en effet une opération rentable : en permettant à la victime de récupérer facilement les accès aux fichiers, elles simplifient le processus de remise en route des systèmes et limitent donc le montant des dédommagements que l’assureur devra verser au final. La pratique resterait l’apanage de quelques acteurs américains et n’a rien de généralisé, mais elle montre la façon dont le ransomware est parvenu, au fil des années, à se construire un modèle économique solide et à persister malgré les efforts de sensibilisation. Et sur le long terme, la banalisation du phénomène ne profite malheureusement qu’aux attaquants.
Comments