Ransomware : doit-on payer la rançon ?
Le dernier bulletin faisait état de la menace provoquée par les ransomwares : nous indiquions que, au-delà de rendre les données inutilisables, les pirates menaçaient de publier celles-ci pour accentuer la pression sur les victimes et inciter à payer la rançon.
Dès lors, il est légitime de s’interroger sur le bénéfice que les entreprises ont à payer la rançon : cette pratique, bien que formellement déconseillée, peut parfois être considérée comme un recours acceptable, notamment lorsqu’un retour à l’activité est urgent, ou que les sauvegardes réalisées ne permettent pas de revenir à un fonctionnement nominal. Un récent rapport indique toutefois qu’il n’en est rien : la plupart des entreprises qui paient la somme exigée voient, par la suite, des informations sensibles fuiter. Plus encore, certains groupes criminels créeraient de fausses preuves de suppression des données une fois la rançon payée ; ainsi, ces pirates pourraient chercher à financiariser deux fois leurs exactions, puisqu’ils revendraient les données volées à d’autres pirates, pour une exploitation ultérieure. Non contentes de payer une fois donc, les entreprises victimes pourraient être visées de plus belles. Enfin, et comme le signale l’ANSSI, le paiement ne garantit en rien le déchiffrement de vos données et peut également compromettre le moyen de paiement utilisé, notamment carte bancaire.
Cybercriminalité : les différents types d’attaques sur Internet
Piratage de compte et vol d’identifiants
Les identifiants de connexion sont une matière première primordiale dans l’écosystème cyber criminel : ils permettent d’accéder à un service en usurpant l’identité du propriétaire légitime, et d’accéder à ses informations personnelles ou financières, et de les exploiter pour créer de nouvelles arnaques. Ils permettent aussi, parfois, de compromettre d’autres services légitimes, notamment lorsqu’un internaute utilise le même mot de passe d’une plateforme à une autre.
Certains pirates se spécialisent même dans la récupération et la vente de ces identifiants : au travers de campagnes de phishing, un hacker va, par exemple, proposer une fausse page de connexion à un service de streaming de musique connu, et récupérer les identifiants de connexion d’un internaute trop crédule.
Ainsi, très récemment, une base de données de près de 380 000 identifiants pour un service de streaming a été découverte, ou encore plus de 100 000 comptes d’un réseau social connu ont été exposés. Pire encore, les données du site Cit0Day.in ont été récemment compromises. Cit0Day.in était une plateforme où les cybercriminels pouvaient accéder à des milliers d’identifiants, contre un abonnement hebdomadaire ou mensuel. Ce service commercialisait les identifiants de près de 23 000 sites piratés, et ce sont donc près de 13 milliards d’identifiants qui seraient aujourd’hui accessibles facilement.
Il n’est jamais possible de considérer qu’un site est totalement sécurisé, mais certaines règles de sécurité permettent de limiter l’impact d’une éventuelle compromission :
- Eviter les mots de passe trop simples
- Ne jamais utiliser le même mot de passe sur plusieurs services
- Toujours rester méfiant quand un mail de réinitialisation de mot de passe est reçu : il pourrait s’agir d’un leurre
- Ne jamais entrer ses identifiants de connexion en cas de doute
- Le recours à un gestionnaire de mot de passe est facile, et est la meilleure solution pour s’épargner bien des tracas.
Virements bancaires frauduleux
Le FBI a récemment publié un rapport signalant de nouvelles techniques d’arnaques aux faux virements bancaires. Ces arnaques consistent, par le biais de techniques d’ingénierie sociale, de phishing ou de compromission de comptes de messagerie, à modifier les destinataires des virements internes ou internationaux, en mettant les coordonnées d’un compte détenu par le pirate. Ces techniques ont mené à des versements très considérables par les entreprises victimes, parfois de plusieurs millions d’euros. L’IC3 (Internet Crime Complaint Center) indiquait même que les sommes dérobées entre juin 2016 et juillet 2019 pouvaient s’élever à 26 milliards de dollars.
Dans sa notice, le FBI indique que la nouvelle technique privilégiée par les pirates consiste à exploiter l’usage du webmail : les pirates compromettent un compte visé, activent le transfert automatique des mails et reçoivent ainsi tous les messages sur une boite mail qu’ils maîtrisent. Ainsi, ils évitent de se connecter aux clients mails des victimes et contournent les règles de détection des administrateurs. Les pirates ont alors usurpé l’identité d’un vendeur pour ordonner l’exécution d’un virement vers un compte géré par eux. Au moins deux victimes ont été identifiées, et ce phénomène pourrait se généraliser.
Menaces sectorielles
Santé
Nous l’évoquions dans le dernier Bulletin Cyber : le secteur de la santé fait face à de nombreuses menaces. Le mois dernier, de nombreux hôpitaux faisaient état de campagnes de ransomwares, visant leurs systèmes d’informations. Cette menace, bien que toujours prégnante, est toujours associée à d’autres attaques : une entreprise de services pharmaceutiques a récemment vu sa base de données-clients dérobée, et de nombreux acteurs institutionnels alertent sur les risques qui pèsent sur les laboratoires, notamment ceux impliqués dans le développement du vaccin contre la COVID-19. Une interruption de la production pourrait être dramatique et inciter les entreprises victimes à payer de lourdes rançons.
Sécurité des systèmes d’information
Les entreprises de services numériques pourraient sembler les mieux armées contre les attaques informatiques : il n’en est malheureusement rien. Les sociétés de sécurité manipulent des informations sensibles, parfois critiques, de leurs clients, et connaissent les vulnérabilités de ceux-ci : dès lors, elles sont des cibles de choix pour les pirates. De nombreux cas de campagnes d’attaques très ciblées ont récemment été identifiées et, par rebond, les clients de ces sociétés pourraient être à leur tour les victimes de ces groupes cybercriminels.
Secteur bancaire et financier
Le recours massif aux solutions de télétravail durant l’épidémie a permis à de nombreuses sociétés de continuer leurs activités et de réduire l’impact business de cette période. Ces solutions ont aussi parfois ouvert des brèches de sécurité : un pirate a récemment publié une liste de près de 49 000 sociétés exposées, où l’exploitation d’une vulnérabilité pourrait permettre l’accès aux réseaux internes. Les identifiants volés ainsi publiés pourraient être utilisés pour déployer des malwares, ou des ransomwares. Dans cette liste, de nombreuses banques et institutions financières sont spécifiquement mentionnées. L’application des correctifs des éditeurs permet, bien souvent, de combler ces vulnérabilités.
Pour aller plus loin
Les dirigeants, les conseils d'administration et les responsables de la cybersécurité ne sont pas toujours informés des menaces que suscitent les nouvelles formes émergentes de cybercriminalité. Ce bulletin propose une vision claire de ces menaces, qu’elles soient sectorielles, informatiques ou mobiles. Il présente les dernières tendances ainsi qu’une version synthétique des rapports proposés chaque semaine à nos clients. N’hésitez pas à nous contacter pour plus d’informations
Nos atouts
- Le Lab : 600m2 dédiés à la recherche et au développement à l’innovation et à la transformation numérique.
- War Room : Un environnement hautement sécurisé exploitant des solutions collaboratives et des technologies propriétaires innovantes.
- Cyber Teams : L’équipe EY France cybersécurité est composée d’experts pluridisciplinaires, proposant des solutions nouvelles pour résoudre des problématiques stratégiques pour nos clients.
- CyberEye : Une solution leader de Cyber Threat Intelligence solution, apportant une connaissance précise des cybermenaces pouvant toucher les entreprises.
- ASC and CTI : Nos 63 Advanced Security Centers, situés dans de nombreux pays, partagent des renseignements opérationnels et centrés vers les entreprises pour notre Cyber Threat Intelligence.
Ce qu’il faut retenir :
A l’ère du digital, les entreprises sont de plus exposées à de nouveaux risques cyber. Dans cette nouvelle édition du bulletin, nos experts décryptent les différentes techniques de rançonnage ainsi que les types d’attaques possibles (piratage de comptes, vol d’identifiants de connexion, faux virements bancaires, etc.) et reviennent également sur les dernières menaces sectorielles.