Les ransomwares : une menace persistante

Actualité Cybersécurité

Les ransomwares (rançongiciels) sont des malwares (logiciels malveillants) permettant aux attaquants d’accéder à des informations sensibles qu’ils cryptent ou rendent publiques si la rançon n’est pas payée. Concrètement, les cybercriminels prennent ces données en otage et exigent un paiement pour restituer l’accès.

Ransomware

Cette méthode d’attaque reste une menace majeure pour les organisations à travers le monde. Après un 2023 marqué par un nombre record de dossiers judiciaires liés aux attaques par rançongiciel, 2024 semble apporter un répit. La section cyber du parquet de Paris a ouvert 375 nouveaux dossiers de ransomware, une diminution d’environ 30 % par rapport aux 550 dossiers enregistrés l’année précédente. Cependant, cette baisse soulève une question : est-ce une accalmie ou un réel retournement de tendance ?

Malgré cette baisse, les ransomwares restent une menace sophistiquée. Ils s’adaptent aux nouvelles technologies pour extorquer des sommes astronomiques. Quels sont leurs mécanismes, et pourquoi cette menace persiste-t-elle ?

Que sont les ransomwares et pourquoi représentent-ils une menace croissante ?

Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend les données de la victime en otage. Concrètement, les cybercriminels chiffrent ces données et envoient une demande de rançon. En échange du paiement de cette rançon, ils promettent de fournir une clé de sécurité permettant à la victime de décrypter ses fichiers. En 2024, cette menace a augmenté avec des rançons médianes atteignant 1,5 million de dollars à mi-juin, contre 200 000 dollars l’année précédente.

Un record de 75 millions de dollars a même été enregistré, lié au groupe “Dark Angels”. Cette évolution souligne l’importance de renforcer les mesures de cybersécurité. Les cybercriminels préfèrent les paiements en cryptomonnaies, comme le Bitcoin, qui préservent leur anonymat. Des technologies comme Monero et Zcash, offrant des transactions difficiles à tracer, compliquent la lutte contre ces attaques.

Certaines menaces vont au-delà des ransomwares. Elles infiltrent les réseaux furtivement et y restent longtemps. Ces attaques persistantes avancées (APT) ciblent les grandes organisations pour un gain financier maximal.

Que sont les APT et pourquoi sont-elles si dangereuses ?

Certains types de ransomwares sont particulièrement graves, car ils sont considérés comme des menaces persistantes avancées. Une menace persistante avancée (APT : Advanced Persistent Threat) est un type de cyberattaque sophistiquée. L’attaquant va utiliser des techniques de piratage innovantes pour accéder à un système et y rester pendant une longue période. Le temps passé au sein de ce système est appelé “temps d’arrêt”. Ce type d’attaque vise avant tout les organisations et les grandes entreprises. L’objectif principal étant le gain financier, les cibles sont souvent des acteurs de grande valeur. 

Les menaces persistantes avancées (APT) sont déjà des attaques sophistiquées, mais l’évolution technologique, notamment dans des domaines comme l’intelligence artificielle (IA), augmente leur puissance et leur complexité.

Des techniques de plus en plus sophistiquées 

Les ransomwares présentent une menace croissante, parce que le nombre de tentatives de piratage est en hausse, mais aussi parce que les techniques d’ingénierie sociale utilisées par les pirates informatiques sont de plus en plus sophistiquées. Les attaquants utilisent des technologies comme l’Intelligence Artificielle (notamment l’IA générative) pour créer des emails et messages de phishing sont de plus en plus réalistes. Les attaques sont désormais hautement personnalisées en fonction des données de la victime, ce qui complique l’adoption de mesures de prévention mais aussi la rapidité des réponses.  

L’IA analyse également des données pour cibler précisément les victimes. Elle facilite la création d’attaques de spear-phishing et de deepfake convaincantes. Les deepfakes, imitant parfaitement des voix ou visages, rendent ces attaques plus difficiles à identifier. L’IA est aussi exploitée pour manipuler les modèles de langage (LLM) et créer des malwares adaptatifs.

Des attaques par ransomware sophistiquées peuvent faire des dégâts importants en débloquant des accès avancés et en envahissant l’ensemble d’un système. Ce fut le cas de l’attaque Colonial Pipeline, en 2021. La fuite d’un mot de passe a permis à des pirates informatiques de pénétrer le système de la plus grande société de pipelines pétroliers aux États-Unis. L’entreprise a été obligée de verser plus de 5 millions de dollars sous forme de cryptomonnaies afin de récupérer l’accès à ses systèmes.

​Les infrastructures critiques de plus en plus ciblées

Depuis leur création dans les années 80, les ransomwares n’ont cessé d’évoluer et leur impact s’est alourdi. Désormais, les attaquants visent d’abord les infrastructures critiques, c’est-à-dire les organisations dont le rôle est vital au fonctionnement de la société, comme les hôpitaux, les réseaux électriques, le système de transport, les réseaux financiers…

En 2024, la France a subi plusieurs cyberattaques majeures. En janvier, EDF a été ciblé par un ransomware, révélant des failles dans ses systèmes. En mars, France Travail a vu les données de 43 millions de personnes compromises. L’hôpital Simone Veil a été attaqué par LockBit en avril, perturbant ses services médicaux. D’autres attaques ont touché des institutions gouvernementales et entreprises privées telles que le principal fournisseur d’accès Internet de Nouvelle-Calédonie par exemple.

Ce type d’attaque présente un risque important pour la sécurité publique, car il peut provoquer d’importantes perturbations au niveau national. Avec la hausse des attaques par ransomware, et surtout des menaces persistantes avancées, qui restent indétectées pendant longtemps, les infrastructures critiques doivent se doter de moyens de protection avancés. Elles doivent constamment ajuster leurs mesures de cybersécurité afin de se protéger contre les attaques de plus en plus sophistiquées. 

​Des conséquences de plus en plus lourdes

Non seulement le nombre d’attaques par rançongiciel est en hausse constante, mais les conséquences de ces attaques sont de plus en plus lourdes, quelle que soit la cible visée. La tendance est aujourd’hui à la double extorsion. Les cybercriminels ne se contentent plus de chiffrer les données de la victime et de demander une rançon en échange du déchiffrement des données ; ils vont aussi la menacer de publier les informations volées en cas de non-paiement. Cette menace est particulièrement lourde de conséquences dans le secteur bancaire et financier, qui manie des informations sensibles. Il est donc plus que jamais important, pour les organisations publiques comme pour les organisations privées, de mettre au point des méthodes de détection et de défense efficaces et évolutives. 

Bien que les ransomwares aient diminué en nombre, ils restent la technique privilégiée des attaquants, d’autant plus redoutable avec l’utilisation des nouvelles technologies, et leurs conséquences peuvent être extrêmement graves pour les organisations ciblées.

NOS ACTUALITÉS