Le transhumanisme est une approche interdisciplinaire qui nous amène à comprendre et à évaluer les avenues qui nous permettrons de surmonter nos limites biologiques par les progrès technologiques.
Vendredi 27 septembre 2024. 17 H 30, entreprise Actson
Distrait depuis quelques minutes par un reportage radiophonique sur l’usage de la « vidéosurveillance algorithmique » lors des JO1, Dylan, comptable chez Actson, une PME de services installée non loin d’Angers (Maine et Loire, France)2, constate avec stupeur qu’il n’a plus la main sur ses logiciels métiers.
Un message s’affiche en rouge sur fond noir : « All your files have been encrypted ! ». En contrepartie d’une clé de déchiffrement, une rançon de 0,3743 bitcoins (15 000 euros) est exigée. Un compte à rebours égrène le temps qui reste : 34 h 58m 40s, 34 h 58m 39s…
Nous sommes manifestement en présence d’une cyberattaque que l’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’autorité́ française en matière de cybersécurité́ et de cyberdéfense3, définit comme une attaque qui vise à « porter atteinte à un ou plusieurs systèmes informatiques dans le but de satisfaire des intérêts malveillants »4. Cette action individuelle ou collective délibérée consiste à compromettre l’intégrité, la confidentialité ou la disponibilité d’un système informatique d’une personne, d’une entreprise publique, une entreprise privée lucrative ou non (association), un État5.
Spontanément, Dylan consulte sa fiche « rançongiciel » affichée à proximité de son poste de travail6 puis déconnecte son ordinateur du réseau et d’internet afin d’éviter la propagation d’un potentiel virus malveillant et appelle son patron qui contacte à son tour le responsable informatique ainsi que l’équipe des techniciens. Muni de son plan de reprise d’activité (PRA), des procédures organisationnelles, techniques et de sécurité, misent à jour régulièrement, qui permettent de rétablir le système d’information, le chef d’entreprise, rapidement sur site, a également en main le plan de continuité d’activité (PCA) décrivant la stratégie à adopter pour maintenir l’activité durant des circonstances inhabituelles7. Il faut garder la tête froide, s’entourer de personnes de confiance, compétentes, et agir avec méthode. La tension est palpable, il règne un mélange de sidération et de colère, le tout imprégné d’un sentiment de violation. Ce ressenti persistera chez certaines personnes sous la forme d’une frustration, une perte de confiance. En cas extrême, cette expérience peut produire un syndrome post traumatique qui va se traduire par des mécanismes d’hypervigilance et de défense exacerbées8, une réminiscence ravageante pour le sujet. L’oppression est renforcée par le compte à rebours qui vise à déstabiliser les responsables de l’entreprise en vue d’obtenir le paiement9.
Dans l’immédiat, il faut appeler le prestataire informatique et l’ANSSI afin d’identifier au plus vite la nature de la souche virale.
I / Cadres législatif et réglementaire
Dans le cadre du Règlement général sur la protection des données (RGPD) (art. 33), il faut notifier l’attaque à la Commission nationale de l’informatique et des libertés (CNIL) dans les 72 heures si des données personnelles sont en jeu (le plus souvent). Lorsque les responsables de l’entreprise ont une clause cyber avec son assureur, depuis le 25 avril 2023, avec la loi d’orientation et de programmation du ministère de l’Intérieur (LOMPI) du 24 janvier 2023 (art. 5), ils doivent également déposer une plainte auprès du procureur de la République dans les 72 heures après connaissance de l’atteinte pour obtenir une indemnisation10. Si pour certains experts, la cyberassurance s’inscrit dans la résilience économique face au risque cyber11, pour d’autres, elle entre en contradiction avec l’investissement dans la sécurité qui a pour objectif de réduire la « surface de vulnérabilité » des entreprises. L’assurance cyber donnerait l’impression aux entreprises qu’elles peuvent payer la rançon, les frais étant pris en charge par l’assurance, ce qui favoriserait en retour un relâchement en matière de prévention12. La prise en charge de la rançon par l’assurance ne va-t-elle pas générer un « effet d’aubaine » chez les cyberattaquants, encourager le passage à l’acte en ayant la certitude qu’ils vont être payés ?
L’ANSSI, quant à elle, préconise de ne pas négocier avec les cyberdélinquants et a fortiori de ne pas payer la rançon13. Dans le cas d’un rançongiciel en tant que service(ransomwareas a service /RaaS), un business model dans lequel le développeur n’est pas l’attaquant, rien ne garantit en effet l’intégrité des données restituées. 40 % des entreprises ayant subi une attaque de type ransomware en 2022 n’auraient pas récupéré leurs données. Il faut préciser par ailleurs que le paiement de la rançon n’empêche pas d’être ciblé à nouveau. En 2022, 36 % des entreprises qui avaient payé la rançon avaient été frappées une deuxième fois14. S’il y a une réticence naturelle à communiquer sur une cyberattaque en raison de l’impact négatif sur le business, l’entreprise doit cependant le faire rapidement pour rassurer. Il est suggéré de prévenir dans l’ordre ses collaborateurs, les parties prenantes (actionnaires), ses partenaires économiques, les prestataires, les clients et la presse. L’objectif : couper l’herbe sous le pied aux fuites, reprendre la main, un certain contrôle15.
II / Mode opératoire
Dans le cas d’Actson, on peut faire l’hypothèse que l’intrusion dans le « système d’information » s’est faite par le biais du « facteur humain ». Il faut distinguer le système d’information du système informatique. Le système d’information est plus global et incorpore le système technique, informatique, mais aussi le structurel, c’est-à-dire l’humain dans ses dimensions individuelle (psychologique) et organisationnelle16.
Comme dans un grand nombre de cas, la cyberintrusion est associée ici à un hameçonnage ciblé d’un collaborateur grâce à des informations « blanches », c’est-à-dire disponibles sur internet.
L’action a consisté, par exemple, à usurper l’identité du chef d’entreprise, figure de confiance, puis aiguiser la curiosité d’un membre du personnel au moyen d’un mail contenant une demande intrigante enjoignant d’ouvrir une pièce jointe infectée de type Word : « Pourriez-vous prendre connaissance de ce document et le valider ? ». Au travers une technique dite d’« ingénierie sociale »17, il s’agit d’ouvrir une brèche dans le dispositif informationnel en utilisant une vulnérabilité humaine (curiosité, mais aussi conformité, biais cognitif)18. Le cybercriminel peut aussi agir de manière impersonnelle grâce à une ingénierie sociale de type « 2.0 » automatisée.Que l’attaque soit ciblée ou non, en ouvrant un courrier et en cliquant sur un fichier infecté, la personne participe à son corps défendant à l’introduction de lignes de code dans le système informatique qui vont contribuer à télécharger le rançongiciel (ransomware). Juste retour des choses, la psychologie du cybercriminelest elle-même instrumentalisée pour prédire la menace et contre-attaquer19
III / Origines des rançongiciels
Contre-intuitivement, l’extorsion numérique n’est pas historiquement associée au Web (une application d’internet née en 1989, qui a lui-même été inventé en 1983). Elle a été préfigurée par l’envoi de 20 000 disquettes aux participants de la conférence de l’Organisation mondiale de la santé sur le SIDA qui se tenait à Stockholm en 198920. Développées par Joseph Popp (1950-2006), un anthropologue et zoologue docteur de l’Université d’Harvard, ces disquettes comprenaient un logiciel contenant une base de données interactive sous forme de questionnaire sur le SIDA et une fonction cachée nommée AIDS Troyan (cheval de Troie). Après quatre-vingt-dix démarrages, ce dispositif masquait les répertoires et cryptait les noms des fichiers, rendant le système inutilisable. Un message enjoignait l’utilisateur à renouveler sa licence moyennant l’envoi de 189 dollars à la société PC Cyborg Corporation située au Panama. Interpellé à Amsterdam, relâché, puis à nouveau arrêté aux États-Unis et extradé au Royaume-Uni, Joseph Popp sera finalement reconnu inapte à suivre un procès21.
Avec l’interconnectivité généralisée, l’hypermédiatisation, l’interpénétration des systèmes d’information et informatique, le développement du télétravail, les failles techniques et humaines des entreprises et autres organisations se démultiplient et avec elles la « surface de vulnérabilité ». A cela, il faut ajouter la « démocratisation » de la cyberdélinquance avec des attaques menées par de jeunes pirates (script kiddies) qui utilisent des outils prêts à l’emploi avec des connaissances limitées (rançongiciel en tant que service) ainsi que le développement des crypto-monnaies22.
En 2021, le cumul de l’extorsion numérique, du sabotage et de l’espionnage aurait rapporté 6000 milliards de dollars. Avec une augmentation annuelle de 15 %, cette somme pourrait atteindre 10 000 milliards de dollars en 202523, soit l’équivalent de la troisième économie mondiale derrière les États-Unis – 21 000 milliards de dollars – et la Chine – 14 000 milliards de dollars24. A lui seul, l’usage des rançongiciels aurait permis de gagner 457 milliards de dollars en 202225.
Dans le cadre de l’opération « Endgame », entre le 27 et 29 mai, Europol aurait démantelé plus de 100 serveurs et procédé à quatre interpellations en Arménie et en Ukraine. L’Unité de coopération judiciaire de l’Union européenne (Eurojust), chargée de renforcer la coopération judiciaire entre les États membres (enquêtes, poursuites), précise que les suspects avaient amassé au moins 69 millions d’euros en cryptomonnaie depuis 2022 en déployant des rançongiciels26.
En écho avec le conflit russo-ukrainien, la porosité entre acteurs étatiques et cybercriminalité et l’usage de rançongiciels se recoupent à des fins de déstabilisation (ransomware Asov)27 et d’espionnage stratégique (exfiltration de données).
Entre juillet et septembre, les Jeux Olympiques et Paralympiques ont généré un regain d’attaques du fait de l’extension de la surface d’exposition pour couvrir l’évènement. Une surface d’exposition constituée de l’interconnexion d’un patchwork de systèmes d’information d’acteurs aux niveaux de sécurité hétérogènes28.
V / L’analyse forensique (J+1)
Revenons à Actson. L’analyse forensique (du latin « lieu de jugement »), autrement nommée investigation numérique, effectuée par le prestataire informatique, qui vise à rechercher et analyser des indices, a permis d’identifier la présence d’un crypto rançongiciel nommé Ryuk. Est-ce un clin d’œil au dieu de la mort (shinigami) dans le manga Death Note ? Bien qu’il ne soit plus d’actualité, c’est à dessein que nous avons utilisé Ryuk car il est emblématique et bien documenté. Depuis mars, la menace s’est renouvelée avec Eldorado29.
Utilisé contre les entreprises privées lucratives, les collectivités territoriales (communes, départements, régions), les hôpitaux, Ryuk aurait généré, entre février 2018 et octobre 2019, entre 6130 et 150 millions de dollars en 2021 selon le FBI31. Observé pour la première fois en 2018, il serait une variante d’Hermes 2.1, un logiciel d’extorsion vendu 300 dollars sur le forum exploit.in par le groupe criminel CrypoTech32. Doté d’une capacité de déplacement latéral qui lui permet de passer d’un « actif » à un autre33, Ryuk injecte des lignes de codes qui vont exécuter la « charge utile », ici un chiffrement34. Lorsque la signature virale est connue, le site No More Ransom permet parfois d’obtenir des outils de déchiffrement35.
A ce stade de l’enquête (J+1), selon le prestataire informatique, rien ne permet de dire qu’il s’agisse d’une cyberattaque de type rançongiciel en tant que service. De même, l’exfiltration de données sensibles pouvant donner lieu à un chantage par affichage sur le darknet n’a pas été constatée. Comment anticiper la menace ? L’Agence nationale de la sécurité des systèmes d’information (ANSSI) préconise l’« hygiène informatique ».
VI / Hygiènes informatique, informationnelle et intelligence artificielle
Non exhaustives, voici quelques règles simples à appliquer pour anticiper la menace36.
Réaliser une cartographie du système informatique comprenant le matériel, les logiciels et les données afin de prendre conscience de la surface de vulnérabilité
Formaliser et maintenir à jour les habilitations individuelles
Afficher des fiches réflexes du type ANSSI portant sur les rançongiciels, l’hameçonnage, le déni de service qui auront été utilisées lors d’exercices
Effectuer des sauvegardes automatiques externes des données
Mettre à jour automatiquement des correctifs logiciels
Déployer et mettre à jour automatiquement l’antivirus (messagerie), le pare feu (internet) et le VPN (chiffrement des communications)
Utiliser des mots de passe robustes (9 à 12 caractères). A cet égard, pourquoi ne pas utiliser un générateur automatique ?
Mettre en place un accès cloisonné au système informatique (avec privilèges)
Contractualiser une couverture assurantielle ; pré remplir la plainte
Anticiper une cellule de crise
Réaliser un plan de continuité d’activité (PCA) et de reprise d’activité (PRA), les mettre à jour régulièrement, les tester sous la forme d’exercices
Dans une dimension informationnelle, il faut en effet anticiper la menace en organisant des serious game permettant une confrontation directe non seulement aux failles techniques, informatiques mais aussi structurelles, psychologiques, tester les plans de reprise d’activité (PRA) et de continuité d’activité (PCA) de manière réaliste afin de travailler la perception technique et émotionnelle du risque, produire des réflexes37.
Outre « l’hygiène informatique » et informationnelle, la réplique s’incarne également avec l’intelligence artificielle et l’EDR pour Endpoint detection and response. Fonctionnant par points de référence, ce dispositif se distingue des antivirus basés sur la détection de signatures connues en repérant et contrant des activités suspectes furtives comme des « déplacements dits latéraux » liés à des « menaces persistantes avancées » (Advanced Persistent Threat/APT), c’est-à-dire des attaques discrètes qui visent à s’implanter durablement dans le système informatique pour surveiller et exfiltrer des données. Le 19 juillet dernier, une mise à jour défectueuse de l’EDR de l’éditeur Crowdstrike a provoqué une panne informatique à l’échelle planétaire sur les systèmes Microsoft Windows38. Une situation de crise immédiatement exploitée par des cyberattaquants sous la forme d’un hameçonnage, de fausses pages d’informations et d’incitations à l’installation de logiciels malveillants39.
* Bien qu’étayé par des documents émanant de sources fiables, ce scénario reste une fiction. Aussi, pour une information complémentaire, il faut consulter le site de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) : https://www.ssi.gouv.fr/
1 Reyaud Florian et Martin Untersinger, « La vidéosurveillance algorithmique à l’épreuve de la compétition olympique », Le Monde, 24 juillet 2024, p. 13.
2 La médiatisation des attaques portant sur les établissements publics (hôpitaux) les collectivités territoriales (mairies) et autres grandes entreprises (GE + de 5000 salariés) masquent celles portants sur les très petites entreprises (TPE – 0 à 9 salariés), les petites et moyennes entreprises (PME – 20 à 249) et les entreprises de taille intermédiaire (ETI- de 250 à 5000) qui représentaient 40 % des attaques en 2022, cf. ANSSI, Panorama de la cybermenace, janvier 2022.
3 Son action vise à construire et organiser la protection de la nation face aux cyberattaques. Rattachée au secrétaire général de la défense et de la sécurité́ nationale (SGDSN), l’Agence est un service du Premier ministre, ses activités sont exclusivement défensives, cf. ANSSI, CyberDico, 2024, p. 2.
5 Lehu Jean-Marc, « Cyberattaque : la gestion du risque est-elle encore possible, Analyse et enseignements du cas Sony Pictures », Direction et gestion, n° 291-292, 2018/3, p. 45 ; Bata Maria et Jason R.C. Nurse, « The social and psychological Impact of cyber-attacks » in Vladlena Benson et John Mcalaney, Emerging cyberthreats and cognitive vulnerabilities, London, Academic Press, 2020, p. 53-73.
6 L’ANSSI publie des fiches réflexes ciblées (déni de service, hameçonnage) destinées aux entreprises, associations, collectivités sur le site https://www.cybermalveillance.gouv.fr/
8 Steel Amber, « The psychological impact of cyber-attacks », Last Pass, 17 août 2022 ; Rosay-Notz Hélène, « Retentissements psychologiques des traumatismes intentionnels et organisation générale des secours », L’esprit du temps, n° 130, 2006/2, p. 117.
10 Barbry Éric et Olivier Quelin, « Cyberattaques : plaintes pénales obligatoire à compter du 25 avril 2023 », Racine Avocats, n.d., p. 1.
11 Ministère de l’Économie, des Finances et de la Souveraineté Industrielle et Numérique, Direction générale du Trésor, « Le développement de l’assurance du risque cyber », Septembre 2022.
12 Lausson Julien, « Rançongiciels : pour toucher l’assurance, il faudra d’abord déposer plainte », Numérama, 15 novembre 2022.
13 ANSSI, « Attaques par rançongiciel, tous concernés. Comment anticiper et réagir en cas d’incident ? », 4 septembre 2020, p. 29.
14 Fruchard Pierre, « Pourquoi le paiement des rançons cybers est une grave erreur ? », Journal du net, 3 mars 2023.
15 Paffumi Julien, « Cyberattaque : quand la communication devient un instrument tactique au service de la gestion de crise », Stormshield, 28 mars 2022.
16 ACISSI, Sécurité informatique. Ethical Hacking. Apprendre l’attaque pour mieux se défendre, Éditions ENI, St Herblain, 2022.
17 Forgée dans les années 1980, cette expression valise désignait initialement le piratage des lignes téléphoniques aux États-Unis.
18 Wang Zuoguang, Limin Sun et Hongsong Zhu, « Defining social engineering in cybersecurity », IEEE Access, vol. 8, 6 mai 2020, p. 85.
19 Konkov Sergei, « U.S. Intelligence Wants to use psychology to avert cyberattacks », Washington Journal, 25 janvier 2023.
20 Murthy Kelly Samantha, « The bizarre story of the inventor of ransomware » CNN Business, 16 mai 2021.
21 Casilli A. Antonio, « Dr Popp et la disquette Sida. Sociologie d’une affaire hacker », Terrain. Anthropologie & sciences humaines, n° 64, 2015, p. 14-31.
22 Outre l’écosystème cybercriminel, selon l’ANSSI, les acteurs étatiques que sont la Russie et la Chine constitueraient les trois principales menaces, cf. ANSSI, Panorama de la cybermenace 2023, 2024, p. 4.
23 Kaspersky, « Cyberattaque : quel constat en 2022 ? », 2 novembre 2022 ; Morgan Steve, « Cybercrime to cost the world 10.5 dollars trillion annually by 2025 », Cybercrime Magazine, 13 novembre 2020.
24 Bajpai Prableen, « The 5 largest economics in the world and their growth in 2020 », Nasdaq, 22 janvier 2020.
33 En cybersécurité, un « actif » peut être du matériel (ordinateur, serveur, imprimante, smartphone, clé USB), des logiciels (achetés et gratuits), des informations (bases de données, fichiers PDF, Word), une infrastructure (électricité, climatisation), des personnes ou encore un service externalisé (Dropbox, Gmail).
38 Leloup Damien, « Crowdstrike, entreprise réputée de cybersécurité, à l’origine de la panne », Le Monde, 19 juillet 2024 ; Bourguin Yoann, « La panne informatique mondiale de Windows serait liée à l’EDR de Crowdstrike », L’usine digitale, 19 juillet 2024.
39 CERT-FR, « Panne informatique affectant les systèmes Microsoft Windows disposant de l’EDR Crowdstrike Falcon », Bulletin d’actualité CERT-FR, CERTFR-2024-ACT-032, 19-22 juillet 2024.
1 Comment »