S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
Dossier
Technos
par Antoine Champagne - kitetoa

Ransomwares : une menace qui bénéficie surtout aux sociétés de sécurité informatique

L'agitation médiatique masque des chiffres ridicules

Le département de la justice aux USA vient d'annoncer avoir récupéré une partie de la rançon en Bitcoin demandée lors de l'attaque contre Colonial Pipeline. Les chiffres montrent que les cyber malfaiteurs sont encore des petits joueurs.

Le site de leaks du groupe Clop

Au cours d'une conférence de presse en « live », lundi 7 juin, le département de la justice a annoncé avoir saisi un portefeuille en Bitcoin pour un montant de 63,7 Bitcoins. Au cours du jour, cela représente à peu près 1,8 million d'euros. Le groupe DarkSide, avait, début mai, paralysé une partie des activité de Colonial Pipeline, une entreprise exploitant un important oléoduc transportant des hydrocarbures depuis Houston au Texas jusqu'au port de New York aux États-Unis. Le ransomware a même causé une légère pénurie d'essence sur la côte Est des États-Unis. De quoi relancer dans la presse et au sein du gouvernement le discours sur la nécessaire « protection des infrastructures essentielles du pays ». Impossible de ne pas réagir...

« Il n'existe aucun endroit hors de portée du FBI pour dissimuler des fonds illicites qui nous empêchera d'imposer des risques et des conséquences aux cyberacteurs malveillants. » a indiqué le vice-directeur du FBI, Paul Abbate. Une menace précise : nous n'avons pas de limites lorsque l'on touche à nos infrastructures essentielles. Le FBI a par ailleurs précisé être en possession de la clef privée permettant d'avoir accès aux fonds contenus dans ce portefeuille. Les experts se perdent cependant en conjectures sur la manière dont cette clef a été récupérée par les agents. Le FBI se retranche derrière un secret nécessaires pour protéger ses futures enquêtes pour éviter de répondre à cette question qui fâche. Ce qui est certain, c'est qu'un tel foin médiatique n'avait pas été organisé pour les centaines ou les milliers de toutes petites entreprises touchées quotidiennement par des ransomwares.

Les malfaiteurs qui contrôlent ces ransomwares ont généralement la même démarche : une fois la cible touchée, ils attendent un paiement dans un délai fixé d'avance. Si le paiement n'intervient pas, ils publient des documents internes qui ont été exfiltrés au préalable. Du coup, les publications de « leaks » de ces groupes commencent à constituer une base conséquente qui viendrait presque concurrencer Wikileaks, comme le note Wired. Le groupe avait par exemple publié des documents internes de l'une des entreprises les plus connues du monde de la sécurité informatique, Qualys, « fondée » par le groupe ADM. Un sujet passionnant pour la presse mais qui est pourtant étrangement passé complètement sous les radars des journalistes.

Doué pour les relations publiques, le groupe DarkSide, responsable de l'attaque contre Colonial Pipeline avait fait des dons à deux ONG. Qui jetterait la pierre à Robin des Bois...? C'est un peu la même démarche que celle de Phineas Fisher lorsqu'il a donné à la commune du Rojava. Le groupe avait également annoncé publiquement qu'il ne s'attaquerait pas à des hôpitaux, des écoles, des universités, des associations et les institutions publiques.

La prolifération des ransomware a toutefois poussé la presse à faire des choux gras de cette activité illégale. Mais avec un angle catastrophiste, appuyant sur les « cyber-attaques », beaucoup plus que sur les contenus des leaks. Selon les articles, le cybercrime serait en pleine explosion. L'avenir serait sombre. Quand aux entreprises, comme l'a rappelé Lisa O. Monaco, Deputy Attorney General pendant la conférence de presse, il leur faut se préparer aujourd'hui, ou être une victime demain. Mais qui donc pour les préparer ?

Vous reprendrez bien un flacon de mon fameux Snake Oil ?

Aucun problème de ce côté-là : des milliers d'entreprises proposent leurs services.

Logo du groupe Pysa
Logo du groupe Pysa

Il faut bien cela parce que les groupes opérant ces ransomware sont également nombreux : Nefilim, Conti, Clop, Avaddon, Pysa, Netwalker, DoppelPaymer, Egregor, Maze, Sodinokibi, Conti...

Et les responsables de la sécurité informatique dans les entreprises et autres organisations croulent sous les mails les plus farfelus de tous ces experts qui vont les sauver. On est revenu vingt ans en arrière lorsque le FUD (Fear, uncertainty and doubt - peur, incertitude et doute) était l'arme marketing ultime pour « vendre » tout et n'importe quoi. Notamment des lois abracadabrantes contre les hackers et autres pirates, des outils miracles qui protègent contre les virus connus ET inconnus, des budgets mirifiques pour toutes sortes de services, on en passe.

Au total, les spécialistes estiment à 90 millions de dollars la somme récoltée par le groupe DarkSide. La somme récupérée par le FBI et très lourdement médiatisée représente à peu près 1,8 million de dollars. A titre de comparaison, la valeur en dollars d'aujourd'hui de la fortune amassée par le fameux trafiquant de drogue Pablo Escobar début des années 90 était de 64 milliards de dollars. Le cybercrime, c'est ennuyeux, surtout pour les victimes, mais cela reste toujours une goutte d'eau dans l'océan du crime. La surmédiatisation, la dramatisation du sujet profite aux vendeurs de snake oil, aux policiers chargés de lutter contre ces crimes et aux criminels. Bref, l'écosystème se nourrit de toute la publicité orchestrée autour des attaques. Lundi 7 juin, le ministère de la justice américain a organisé un « live » pour expliquer aux foules ébahies qu'il avait récupéré... un peu moins de 2 millions d'euros... Les annonces du lendemain étaient plus intéressantes.

Dans la série des mails alarmants, anxiogènes et porteurs d'une solution miracle, voici quelques exemples :

Dépêchez-vous, offre limitée...
Dépêchez-vous, offre limitée...

Sans vouloir être alarmistes, les attaques sont sournoises !
Sans vouloir être alarmistes, les attaques sont sournoises !

Chez NeoBe, on sauvegarde français !
Chez NeoBe, on sauvegarde français !

Chez Tibco, on active une cellule de crise...
Chez Tibco, on active une cellule de crise...

Mais le meilleur reste à venir.

Le RSSI de la construction du Pentagone à la française nous parle ! Il a développé Oops... C'est un nom bien choisi.
Le RSSI de la construction du Pentagone à la française nous parle ! Il a développé Oops... C'est un nom bien choisi.

« Le RSSI de la construction du pentagone à la française, l'hexagone Ballard » s'adresse aux responsables de la sécurité dans des organisations qui pourraient être victimes d'attaques par ransomware. Voilà qui crédibilise un homme.

Mais il y a un hic. Lorsque l'on visite le site de Cyber4U (Cyber pour toi en français), certains répertoires ne sont pas protégés en lecture. Rien de grave bien sûr, mais on est clairement en dehors des bonnes pratiques. Oups Oops ?

All your base are belong to us for you
All your base are belong to us for you

Deux extensions de Wordpress installées sur le site ne sont pas à jour et présentent des vulnérabilités.

Cela n'empêche pas la société, bien entendu, d'avoir une très grande expertise en matière de sécurité informatique. A tel point d'ailleurs qu'elle égraine une liste impressionnante de clients prestigieux :

Cyber pour toi : je crois la question elle est vite répondue
Cyber pour toi : je crois la question elle est vite répondue

2 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée