Cinq navires sont ainsi capturés et de nombreux citoyens de la ville pris en otage, jusqu’à ce qu’une rançon soit versée, au bout de six jours.
Les cyberrançonneurs ne sont pas si différents du Barbe Noire d’autrefois; il s’agit encore aujourd’hui de perturber le commerce sur l’océan qu’est Internet, pour ensuite offrir de se retirer en échange de paiement.
Dans un monde où l’information est devenue une ressource stratégique à haute valeur ajoutée, frégates et caravelles ont cédé la place aux rançongiciels — programmes malveillants chiffrant à l’insu des organisations les données dont elles dépendent, les rendant illisibles (et donc prises en otage) par suite d’une manipulation mathématique complexe dont seul l’attaquant possède la «clé» et qu’il vend à prix d’or à ses victimes.
Pour autant, les méthodes ont fort peu changé : lorsqu’il ne s’agit pas d’une faille technologique exploitée par opportunisme, le rançongiciel s’introduit dans un réseau cible au moyen d’un courriel piégé aux allures légitimes —ce que l’on désigne sous le terme d’hameçonnage ou harponnage— profitant ainsi d’un subterfuge qui n’est pas sans rappeler celui d’Howell Davis, lorsqu’en 1718 il se saisit d’un fort de la compagnie Royale d’Afrique en Gambie en s’y faisant inviter… sous l’identité usurpée d’un marchand d’esclaves.
Or le Québec n’y échappe pas, comme en témoigne la récente condamnation du Gatinois Sébastien Vachon-Desjardins à 20 ans de prison par un juge de Floride, pour ses nombreuses attaques au rançongiciel — dont plusieurs ont ciblé des organisations d’ici.
Un véritable «modèle d’affaires»
Afin de mieux garantir un paiement, les cyberrançonneurs ont progressivement affiné leurs stratégies d’extorsion. Outre le chiffrement des données, celles-ci sont au préalable exfiltrées, de façon à menacer l’entreprise de les rendre publiques; si la victime n’obtempère toujours pas, l’attaquant entreprend alors de contacter ses clients, partenaires et fournisseurs, ou lance des attaques volumétriques pour saturer ses systèmes.
La plupart du temps, le montant exigé en cryptomonnaie, de dizaines de milliers à millions de dollars, s’avère adapté à la capacité de payer du rançonné; la compromission des données peut notamment renseigner le pirate sur les états financiers de l’entreprise, voire sur la couverture de la cyberassurance elle-même!
En outre, la «clé» est dument livrée après paiement, car tels les pirates d’autrefois et leur «code de conduite», les cyberrançonneurs ont aussi leurs propres règles, destinées à protéger un véritable modèle d’affaires. Ne pas fournir la clé de déchiffrement après rançon inciterait forcément à ne plus faire confiance et à ne plus payer.
Selon les données recueillies par KPMG, trois de ces rançongiciels ont particulièrement sévi au Canada depuis le début de 2022, à savoir Lockbit, BlackCat et Conti — qui tous ont en commun d’opérer désormais comme service vendu à des tiers. Dès lors, en plus des groupes organisés qui produisent ces logiciels malveillants, il faut désormais compter des affiliés qui en usent en mode locatif.
Des relations d’affaires qui se déploient dans ce qu’on désigne généralement comme le dark Web, lieu virtuel où se pratiquent assez librement des activités criminelles, un peu à l’image du Nassau de jadis — république pirate et capitale pivot des marchés illicites où se réfugiaient anciens corsaires et flibustiers.
Bons baisers de Russie
:quality(95)/cloudfront-us-east-1.images.arcpublishing.com/lescoopsdelinformation/IA3WWPM62NEQHPGDE4TMJZSADE.jpg)
Lockbit, BlackCat et Conti ont en commun leur origine présumée ou avérée : la Russie. Sébastien Vachon-Desjardins était en outre un affilié du groupe NetWalker, d’origine russe également.
Les cybercriminels derrière Conti — le groupe Wizard Spider — ont déclaré leur soutien aux politiques du Kremlin et auraient programmé leurs logiciels malveillants de façon à s’autoéliminer, s’ils détectent que le système d’exploitation est en langue russe ou que l’adresse réseau de la machine est géolocalisée en territoire d’ex-Union soviétique.
D’aucuns en concluent que de tels groupes seraient en réalité tolérés en Russie, tant et aussi longtemps qu’ils n’attaquent pas de cibles situées au pays ou dont dépendent des intérêts russes; un peu à la manière dont des corsaires comme le capitaine Henry Morgan — à qui l’on doit aujourd’hui le nom d’une marque de rhum bien connue — pouvaient autrefois s’attaquer, en leur nom propre, aux navires de puissances ennemies sans être inquiétés par les autorités de leur propre nation.
Ceci bien qu’un autre groupe basé lui aussi en Russie, REvil, ait pour sa part été démantelé en janvier 2022 par le FSB — successeur du KGB soviétique — à la suite de pressions diplomatiques exercées par Washington.
Agir rapidement, jamais seul
Selon l’étude internationale CEO Outlook 2022 de KPMG, menée entre juillet et août 2022 auprès de 1325 dirigeants internationaux, 24 % des entreprises canadiennes n’ont aucun plan de contingence pour faire face à une attaque par rançongiciel.
En outre, une erreur commune consiste à vouloir gérer seul la situation; certaines organisations prennent ainsi contact directement avec le rançonneur pour négocier.
Mais dans un climat forcément tendu, les échanges peuvent vite dégénérer. Sans compter qu’il existe des négociateurs à cette fin, et qui sont beaucoup mieux outillés.
Vous aurez avantage à impliquer le plus vite possible des spécialistes en cybersécurité, premiers répondants pouvant déterminer si l’attaque est toujours en cours et pouvant contenir la menace par un assainissement des systèmes, avant que ne soit lancée une investigation poussée sur le vecteur d’attaque initial afin de colmater les failles, le cas échéant.
Ces spécialistes sauront vérifier si le pirate s’est doté d’accès lui permettant de revisiter à volonté le réseau corporatif (des «portes dérobées»), et assureront au besoin une veille d’information sur le dark Web dans les semaines suivant l’incident, au cas où des données volées y circuleraient.
Au nombre des autres intervenants essentiels, on compte généralement un avocat spécialisé; l’assureur de l’entreprise; une firme externe mandatée pour rebâtir l’infrastructure réseau; ainsi que le négociateur, habilité à communiquer avec le rançonneur et qui saura le plus souvent réduire le montant exigé de 50% à 80%.
Ceci bien qu’il ne soit jamais encouragé de verser ladite rançon —toujours considérée comme dernier recours.
La facture liée à un rançongiciel peut être très salée, de quelques dizaines —voire centaines— de milliers de dollars, en plus des pertes liées à l’interruption de la production, les liens d’affaires fragilisés ou encore les impacts réputationnels.
D’où l’importance de toujours agir en amont, à titre préventif, en procédant à des simulations d’attaques, identification des vulnérabilités et application des correctifs, sensibilisation des employés à l’hameçonnage et à la sécurité des données en général, etc. Même si, à l’approche d’une possible récession, on pourrait être tenté de réduire les dépenses associées à ces mesures de prévention.