Le début de l'année 2019 a vu les attaques par rançongiciel devenir beaucoup plus sophistiquées, a averti le gardien de la sécurité informatique française, l'Anssi, en présentant lundi son rapport annuel.
Les attaques au rançongiciel cryptent les fichiers d'un système informatique grâce à un code malveillant et les rendent inutilisables, leurs auteurs réclamant une rançon pour les débloquer.
"Une partie des acteurs" des attaques par rançongiciel "a développé des moyens et des compétences analogues à ce qu'on peut retrouver dans les opérations de renseignement", a constaté François Deruty, le sous-directeur "opération" de l'Agence nationale pour la sécurité des systèmes d'information.
Ce type d'assaillant "se renseigne sur sa cible", "de préférence une grande entreprise avec un chiffre d'affaires important", a-t-il expliqué.
"Ensuite il va préparer dans la durée son attaque, s'infiltrer et se propager dans le système d'information" de la victime qui ne se doute de rien, "puis "attendre le moment opportun" pour attaquer, a-t-il expliqué.
Ce moment peut être par exemple "la veille d'un grand contrat, d'une fusion acquisition".
A ce moment là, l'agresseur "va déposer le rançongiciel sur des ressources clefs, et va rendre en quelques heures inopérant un système de plusieurs dizaines de milliers de machines", a-t-il expliqué.
En général, "quand l'Anssi intervient, 80% des serveurs sont déjà infiltrés", et les services de l'entreprise n'ont plus que les téléphones portables privés ou les réseaux sociaux pour communiquer entre eux.
"Il faut plusieurs jours, voire plusieurs semaines" pour remettre sur pied le système d'information de l'entreprise, a-t-il poursuivi.
"La rançon demandée est à la hauteur de la compromission et du chiffre d'affaires, cela peut être plusieurs centaines de milliers d'euros, voire dépasser le million d'euros", a-t-il indiqué.
L'Anssi n'a pas donné d'exemple explicite d'une telle attaque. Mais le scénario décrit ressemble aux attaques par rançongiciel menées fin janvier chez Altran, un géant français de l'ingénierie, puis chez le groupe norvégien Norsk Hydro.
Dans les deux cas, les spécialistes incriminent un rançongiciel semblable, baptisé "LockerGoga".
Dans son bilan annuel, l'Anssi relève également que "l'espionnage est le risque qui pèse le plus sur les organisations".
Elle souligne l'augmentation des attaques indirectes, dans lesquelles ce n'est pas l'entreprise cible qui est attaquée en premier, mais une entreprise ou organisation tierce qui lui est liée (sous-traitant par exemple).
L'année 2018 a vu également de "nombreuses" opérations de déstabilisation et d'influence, "une multiplicité d'attaques visant à générer des cryptomonnaies" via des systèmes de minage clandestin, et la montée en puissance de la fraude en ligne et du hameçonnage, notamment auprès de collectivités territoriales ou d'acteurs de la santé.
Au total, en 2018, l'Anssi a mené 14 "opérations de cyberdéfense", mobilisant ses experts pour contrer une attaque "compromettant les opérations d'une organisation d'importance vitale ou fortement sensible". Elle a aussi dénombré "16 incidents majeurs".
lby/tq/eb
ALTRAN TECHNOLOGIES
NORSK HYDRO