Brève histoire économique du rançongiciel

Mille neuf cent quatre-vingt-neuf. C’est l’année au cours de laquelle s’est produite ce qui est considéré comme la première attaque par rançongiciel, un logiciel malveillant qui recueille et crypte les données d’un ordinateur et demande le paiement d’une rançon.

Distribué sous la forme de 20.000 disquettes envoyées par voie postale dans 90 pays, Aids Trojan[le cheval de Troie Sida, en français] obligeait les utilisateurs victimes à envoyer la somme de 189 dollars à une boîte postale située au Panama.

Cependant, l’ampleur réelle de l’attaque fut mineure à l’époque, dans la mesure où seul un nombre limité de personnes avait accès à un ordinateur et où internet était essentiellement confiné entre les mains d’experts scientifiques et technologiques.

De la disquette aux faux logiciels

La pratique du rançongiciel est ensuite restée relativement dans l’ombre au cours des années 1990 et jusqu’au début des années 2000, avant de refaire surface sous la forme d’applications et de logiciels escrocs.

La première vague a été repérée aux alentours de l’année 2005, sous la forme d’attaques dissimulées derrière l’apparence d’un logiciel légitime, notamment des programmes d’optimisation de PC et des nettoyeurs de disques.

Ces derniers ont été suivis par de faux logiciels anti-virus, les cybercriminels imitant alors les produits les plus populaires sur le marché. Sont ensuite apparus le rançongiciel Locker et sa variante la plus connue, CryptoLocker.

Le rançongiciel CryptoLocker a fait son apparition en 2012, lorsque des pirates ont désactivé le contrôle d’accès à une machine contre le versement d’une « amende », autrement dit d’une rançon.

Lire aussi :WannaCry : il faut enseigner les bonnes pratiques de la sécurité informatique

Dans un contexte professionnel, les dommages encourus peuvent être particulièrement importants. En effet, le volume de données susceptibles d’être perdues est plus élevé et va provoquer toutes sortes de problèmes en matière de continuité de l’activité.

Mi-mai 2017, le rançongiciel WannyCry paralysait des entreprises et administrations du monde entier. En quelques heures, il aurait infecté 300.000 ordinateurs, réclamant une rançon de 300 dollars.Heureusement, un anglais de 22 ans, une rançon de 300 dollars.est rapidement parvenu à trouver la parade, évitant ainsi une contamination plus large.

Des premières attaques ciblées à la nouvelle vague de cybermenaces, nécessitant des compétences informatiques minimes, toutes ces attaques forment un ensemble qui façonne le modèle économique du rançongiciel.

Un business juteux

Selon de récentes études de SentinelOne, dont je suis le directeur France, Suisse et Benelux, près de la moitié (48 %) des entreprises dans le monde ont subi une attaque par rançongiciel au cours de l’année écoulée, et 65 % d’entre elles indiquent avoir payé la rançon, pour une moyenne établie à près de 600 euros.

Partant de ce constat, il est aisé de voir pourquoi le rançongiciel est une affaire qui marche. En effet, sur la base de ces chiffres, si un attaquant cible 1.000 entreprises à hauteur de 600 euros chacune et que 65 % d’entre elles payent la rançon, cela équivaut à un retour supérieur à 390.000 euros. Tout ceci en quelques minutes seulement.

À mesure que les entreprises progressent dans le décryptage des données, les créateurs de rançongiciels doivent redoubler de créativité. Le secteur du rançongiciel est aujourd’hui en pleine mutation, le rançongiciel lui-même devenant de plus en plus la marchandise finale, échangée dans le cadre du modèle « as-a-service » ou bien sous la forme d’un kit Do It Yourself (faites-le vous-même, en français) personnalisable pour répondre aux besoins de l’attaquant.

Cyberattaques : les 10 commandements pour les éviter en entreprise

Les pirates l’ont bien compris : il y a là une opportunité commerciale à ne pas manquer. Un crypto-rançongiciel baptisé Stampado (vendu sur le Dark web pour la somme de 39 dollars) a même bénéficié d’une vidéo YouTube faisant la promotion du modèle ransomware-as-a-service (RaaS)...

La possibilité d’acheter des rançongiciels à un prix extrêmement compétitif signifie que l’envoi d’une demande de rançon à une entreprise est désormais à la portée de tous les utilisateurs, y compris de ceux disposant d’un bagage informatique faible voire nul.

Une chose est claire : les avantages commerciaux juteux à la clé, via l’exploitation de modèles de franchise, n’ont certainement pas échappé aux développeurs de rançongiciels. Ces derniers peuvent ainsi atteindre une échelle bien plus importante tout en minimisant les risques encourus. Dès lors qu’ils parviennent à un équilibre financier entre la récompense demandée et le pourcentage retenu par leur franchisé, ils s’assurent des bénéfices toujours plus confortables.

Bloqué dans sa maison intelligente

Prédire les prochaines cibles des rançongiciels et l’évolution des technologies n’est pas une science exacte, loin s’en faut. Cependant, nous pouvons nous pencher sur les modèles du passé pour avancer des hypothèses sur ce qui pourrait arriver à l’avenir.

Par exemple, une année ou deux après avoir atteint un pic, on observe généralement que les cybercriminels tournent leur attention vers une variante différente de programme malveillant. Cependant, au vu de l’explosion du nombre d’appareils intelligents et connectés, il n’est guère surprenant que ceux-ci soient mis en avant comme une cible potentielle. Tous sont susceptibles d’être piratés et verrouillés jusqu’au versement d’une rançon par l’utilisateur.

Imaginez la scène : vous vous retrouvez bloqué à l’extérieur de votre maison intelligente ou coincé dans votre voiture intelligente pour un détour non planifié. Selon les prévisions des analystes, il est raisonnable de tabler sur l’existence de 20,8 milliards d’objets connectés d’ici 2020. Les opportunités qui s’ouvrent aux hackers sont illimitées.

Le rançongiciel s’inscrit comme une tendance durable car il offre un modèle économique rentable aux cybercriminels. Problème d'envergure mondiale, il ne fait aucune discrimination parmi ses victimes et tant que nous n’aurons pas bousculé ce modèle éprouvé, nous continuerons à être les témoins de véritables prises en otage d’entreprises.

Lionel Goussard est directeur France, Suisse et Benelux de SentinelOne