En 2020, les cyberattaques par rançongiciels, ces logiciels malveillants visant à extorquer des fonds en échange du déblocage d’un système informatique ou du décryptage de données, ont augmenté de manière considérable. Leur nombre devrait encore doubler en 2021.
Une explosion des cyberattaques par rançongiciels en 2020
En 2020, ces cyberattaques ont donné lieu à 397 saisines au parquet de Paris, soit une augmentation de 543 % par rapport à 2019. Les cyberattaques par rançongiciels pourraient, selon les spécialistes, encore doubler en 2021.
En 2017, le rançongiciel WannaCry a été utilisé pour organiser une cyberattaque mondiale, considérée comme la plus grande cyberattaque par rançongiciel de l’histoire d’Internet. Plus de 300 000 ordinateurs ont été ciblés, à travers plus de 150 pays.
De nombreuses entreprises et administrations ont été touchées, comme Renault, Vodafone, le ministère de l’Intérieur russe, FedEx, 50 hôpitaux du National Health Service, le système de santé publique au Royaume-Uni, ou encore la Deutsche Bahn, l’entreprise ferroviaire publique allemande.
D’après l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les cyberattaques par rançongiciels sont très rentables pour les pirates, ce qui laisse présager une multiplication de ces attaques dans les prochaines années.
Le cabinet Wavestone et l’Institut Montaigne ont publié une étude révélant qu’il suffisait de 150 000 euros sur 3 mois pour permettre à des pirates de récolter entre 500 000 et 1,5 million de dollars, en attaquant 20 grandes entreprises.
Les pirates n’agissent pas de manière isolée, mais de façon coordonnée au sein de la filière du cybercrime. Plusieurs intermédiaires techniques sont nécessaires pour opérer, et une organisation est mise en place pour blanchir l’argent sale extorqué aux cibles de ces cyberattaques.
Ces demandes de rançon sont d’autant plus nombreuses qu’à l’échelle nationale, les moyens mis à disposition pour lutter contre ces cyberattaques sont limités. Ainsi, on ne compte en France que 10 enquêteurs de police et 3 magistrats spécialisés.
Les assureurs accusés d’encourager ces pratiques
Le 15 avril 2021, Johanna Brousse, la vice-procureur chargée des dossiers de cybersécurité au parquet de Paris, et Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information, ont pointé du doigt les assureurs à l’occasion d’une audition au Sénat.
D’après Johanna Brousse et Guillaume Poupard, les assureurs, pour éviter d’avoir à payer des indemnités liées à la perte des données et au préjudice subi, inciteraient les entreprises ciblées par de telles cyberattaques à verser les sommes demandées aux pirates. Or, répondre à ces demandes de rançon aurait pour effet d’inciter les cybercriminels à multiplier les extorsions.
Cette accusation a fait réagir les assureurs, qui se défendent d’inciter systématiquement au paiement de ces rançons. Pour eux, il s’agit d’une solution de dernier recours, lorsque les données cryptées sont essentielles, voire vitales, pour les entreprises.
Qu’est-ce qu’un rançongiciel ?
Les rançongiciels, ou ransomwares en anglais, sont des logiciels malveillants élaborés pour bloquer l’accès à un système informatique, qu’il s’agisse d’un smartphone ou d’un ordinateur, ou encore pour crypter des données.
Une fois ces cyberattaques menées, les pirates exigent une rançon en échange de la clé de décryptage des données ou du déblocage de l’appareil. Les rançongiciels infectent les ordinateurs et les smartphones en utilisant les mêmes techniques que tous les virus informatiques : ils se dissimulent généralement dans une pièce jointe de mail frauduleux ou dans un lien corrompu.
Une fois la machine infectée, l’utilisateur n’y a plus accès, ou ses données sont rendues illisibles. Il est alors informé du montant réclamé et de la procédure à suivre pour verser les fonds, parfois par simple virement, ou par des systèmes de paiement comme PayPal.
Dans la plupart des cas, une fois l’argent versé, l’appareil est débloqué et les données sont décryptées, même si rien ne garantit que les pirates ne feront pas monter les enchères. Ceux-ci s’attaquent généralement à des entreprises, et les sommes demandées peuvent être colossales.