Une attaque par ransomware est une cyberattaque au cours de laquelle les pirates cryptent les données de leurs victimes et demandent une rançon.montage: watson
Analyse
Dans l'ombre de la pandémie de Covid-19, la cybercriminalité fait rage. Chaque jour, des entreprises suisses sont piratées et font l'objet de chantage. Si elles ne coopèrent pas, leurs données sont échangées sur le Darknet.
30.01.2022, 08:1431.01.2022, 12:54
Suivez-moi
Suivez-moi
«Ceci est un hold-up!»
Voilà comment débute généralement un braquage de banque.
Pour les hackers, une attaque numérique qui vise des entreprises, des administrations et des hôpitaux est beaucoup moins risquée et surtout plus lucrative qu'un braquage de banque. En 2021, près d'une cyberattaque sur deux était liée à des ransomwares, c'est-à-dire à des attaques de hackers qui recourent au chantage. Voici comment ça fonctionne: les données sont volées, cryptées, donc des systèmes informatiques entiers sont paralysés et les malfaiteurs exigent une rançon. Si la victime refuse de coopérer, les données récupérées seront vendues ou publiées.
Les premières attaques de chevaux de Troie (ou Trojan horse en anglais), il y a un peu plus de dix ans, étaient encore relativement inoffensives. Entre temps, les ransomwares sont devenus l'une des cybermenaces les plus dangereuses.
L'année 2022 vient à peine de commencer. Pourtant, il y a déjà des victimes de taille:
- 20.01.2022: la Croix-Rouge (CICR) à Genève
- 19.01.2022: la pharmacie par correspondance Zur Rose
- 13.01.2022: la municipalité d'Yverdon-les-Bains
- 12.01. 2022: Le concessionnaire automobile Emil Frey, le plus important dans le domaine en Suisse et en Europe
- 10.01.2022: le groupe CPH, seule usine de papier journal en Suisse
A cela s'ajoute une grave faille de sécurité dans le registre suisse des dons d'organes de Swisstransplant et la fuite des données Swisspass chez les CFF.
Quelles entreprises, organisations et communes suisses ont été piratées en 2021? Notre longue liste en donne un aperçu. Aussi impressionnante soit-elle, elle ne montre que la pointe de l'iceberg. En effet, à ce jour, il n'y a pas d'obligation de déclarer une cyberattaque en Suisse.
Les victimes suisses du piratage informatique en 2021
- Février: des criminels ont crypté les systèmes informatiques de la commune de Bottmingen (BL). Pendant deux semaines, l'administration ne peut offrir ses services que de façon limitée.
- Mars: une attaque de pirates informatiques contre la commune de Bad Zurzach (AG) paralyse tous les services de l'administration communale. Les maîtres chanteurs exigent une rançon sous forme de bitcoins.
- Mars: une groupe de criminels du web crypte les données de la commune de Bubendorf (BL) et exige deux bitcoins comme rançon (l'équivalent d'environ 110 000 francs à l'époque).
- Avril: le malware Ryuk paralyse tous les serveurs de l'école des métiers de Bâle (Allgemeine Gewerbeschule Basel). Le cheval de Troie s'est probablement introduit dans les serveurs grâce à une pièce jointe malveillante dans un courriel.
Ruag Space a été victime de piratage. Il s'agit de la division spatiale du groupe technologique suisse Ruag.image: keystone
- Avril: des pirates informatiques s'introduisent dans le réseau de Ruag International, selon un rapport de «Rundschau». L'entreprise spécialisée dans l'aéronautique et l'aérospatiale civiles dément, mais admet par la suite «de sérieuses failles dans la sécurité». En 2016 déjà, une cyberattaque de grande ampleur visant des secrets militaires de Ruag avait été rendue publique.
- Avril: le groupe de pirates informatiques «Conti» crypte les données du fabricant de stores Griesser à Aadorf (TG). La production est paralysée et les malfrats exigent une rançon de «plusieurs millions de francs». Selon ses déclarations, Griesser ne cède pas au chantage.
- Avril: des hackers pénètrent dans les systèmes de l'entreprise d'informatique et d'hébergement Online Consulting à Wil. Les sites web des clients, dont ceux du canton et de la ville de Saint-Gall, sont temporairement inexploitables.
Répertoires de fichiers de la commune romande de Rolle accessibles sur le Darknet.screenshot: watson
- Mai: le gang «Vice Society» s'infiltre dans le réseau informatique de la commune romande de Rolle VD et laisse s'échapper secrètement des dizaines de gigaoctets de données. Le vol massif de données est rendu public en août par watson, après que des informations sensibles aient été accessibles sur le Darknet pendant un certain temps.
- Mai: des cybercriminels introduisent un cheval de Troie dans le réseau de l'entreprise du fournisseur pharmaceutique Siegfried à Zofingen (AG). L'entreprise doit arrêter sa production pendant plusieurs jours. Cela impacte directement la production de vaccins.
- Juin: les données de milliers de clients espagnols de l'assurance Zurich sont volées et proposées sur le Darknet à partir d'octobre. Le problème est rapidement réglé. Le vol de données n'est pas déclaré en Suisse.
Un hacker tente de vendre sur le Darknet des données volées à des clients espagnols de la Zurich assurance.image: via @ransomwaremap - Juillet: la bande de maîtres chanteurs «Grief» s'introduit chez le comparateur Comparis, paralyse les systèmes informatiques et le site web. Les données des clients et de l'entreprise sont cryptées et volées. Comparis déclare d'abord qu'il n'a pas payé de rançon et qu'il n'est pas prêt à payer. Quelques jours plus tard, les données sont publiées sur le Darknet, comme le montrent les recherches de watson. Fin juillet, Comparis admet avoir payé une rançon pour récupérer les données cryptées.
Selon l'heure indiquée sur le site web du Darknet, la publication des données de l'entreprise Comparis a eu lieu le 12 juillet 2021.screenshot: watson
- Juillet: le groupe industriel Habasit de Reinach (BL) est victime du groupe «Conti». Des documents confidentiels de l'entreprise sont disponibles sur le Darknet, comme le montrent les recherches de watson. On y voit les rémunérations des employés et de la direction, les évaluations des collaborateurs, des présentations PowerPoint internes sur la marche des affaires et des données sur la comptabilité. La direction de l'entreprise ne signale l'incident ni à la Confédération ni à la police cantonale et ne fait aucune déclaration.
Habasit, dont le siège social se trouve à Reinach près de Bâle, est le leader mondial dans le domaine des systèmes de convoyage et de transmission.
bild: keystone/georgios kefalas
- Juillet: Matisa, un fabricant romand de machines pour la construction de voies ferrées, est dans la ligne de mire des cybercriminels. Ici aussi, des données sont volées et cryptées. Les recherches de watson montrent que l'entreprise est victime, comme Comparis, d'un chantage de la bande «Grief». Plus tard, les données de l'entreprise sont publiées sur le Darknet.
- Juillet: le fabricant d'appareils électroménagers V-Zug est la cible d'une cyberattaque. Il n'y a pas eu de «perturbations de l'exploitation ni de dommages», affirme l'entreprise.
- Juillet: des hackers ont paralysé pendant plusieurs jours les systèmes informatiques du groupe de cliniques Pallas. Pallas refuse de dire si une rançon a été payée. En été 2020 déjà, la chaîne d'hôpitaux privés Hirslanden avait été victime d'une attaque de ransomware.
- Août: des tableaux Excel, des listes de collaborateurs et des documents financiers du groupe Saurer sont accessibles sur le Darknet, comme le montrent les recherches de watson. Le groupe Saurer est touché par une attaque de ransomware aux alentours du 1er août, puis par une deuxième attaque le 26 août. Les maîtres chanteurs exigent une rançon de 500 000 dollars. Selon sa propre déclaration, Saurer ne paie pas. Le fabricant de machines textiles a un chiffre d'affaires annuel de plus d'un milliard de francs et près de 5000 employés dans le monde.
Le logiciel utilisé par les pirates contre Saurer bloque l'accès aux fichiers internes en les cryptant. De plus, il renomme tous les fichiers en ajoutant l'extension ".KARMA" à leur nom. La demande de rançon est contenue dans un fichier texte ("KARMA-ENCRYPTED.txt")screenshot: pcrisk.com
- Août: des pirates ont récupéré jusqu'à 1500 enregistrements de données provenant de formulaires de contact et de jeux-concours de la Banque cantonale neuchâteloise. Ils exploitent une faille dans le site web de la banque. La plateforme d'e-banking n'est pas touchée.
- Août: des criminels du web paralysent les systèmes informatiques de Corvatsch AG. L'exploitation des télécabines n'est pas affectée par le piratage, précise la firme dans un communiqué.
- Août: lors de l'attaque du site web de la compagnie de navigation de Genève, les données des cartes de crédit des clients sont dérobées.
- Août: des pirates informatiques pratiquant le chantage publient sur le Darknet plus de 3 Go de données internes d'une société fiduciaire du canton de Zurich (nom connu de la rédaction). La direction de l'entreprise ne fait aucun commentaire.
- Août: la même bande de maîtres chanteurs publie sur le Darknet les données d'une menuiserie de Suisse centrale (nom connu de la rédaction). L'entreprise ne réagit pas à une demande de watson.
- Août: la plate-forme EasyGov de la Confédération est piratée. Des inconnus s'emparent d'une liste d'environ 130 000 bénéficiaires de crédits Covid. La fuite des données ne sera rendue publique qu'en octobre.
Des cybercriminels parviennent à dérober une liste contenant jusqu'à 130 000 noms d'entreprises qui ont demandé un crédit Covid via la plateforme fédérale Easygov.image: keystone
- Septembre: Suisse Velo, fournisseur de la «vignette Suisse Velo», est piraté. Les malfaiteurs se sont emparés d'environ 30 000 adresses e-mail et mots de passe.
- Septembre: des hackers s'introduisent dans le système informatique de l'EMS «Maison De Vessy» dans le canton de Genève, dans lequel sont stockées les données médicales et personnelles des résidents de l'établissement. Les cybercriminels exigent une rançon qui, selon la direction de l'établissement, n'a pas été payée.
Les maisons de retraite n'échappent pas aux maîtres-chanteurs.
- Septembre: la Cinémathèque suisse est piratée et victime d'une tentative de chantage. Les serveurs, y compris le système de messagerie électronique, tombent en panne. Mais les films archivés numériquement sont sauvegardés séparément et ne sont pas impactés.
- Octobre: le casino-théâtre de Winterthour est victime d'une attaque par ransomware. Le système de messagerie et le système de réservation du restaurant sont concernés. Dans une lettre de chantage laissée sur le serveur, les malfaiteurs exigent de l'argent en échange de la libération des données.
- Octobre: l'administration de Montreux est également victime d'une attaque par ransomware. Les systèmes informatiques de la ville sont hors service pendant neuf jours.
- Octobre: le chocolatier Camille Bloch se fait pirater.
- Octobre: des cybercriminels ont paralysé le système informatique de l'organisateur de foires MCH Group pendant plus d'une semaine. Il s'agit de l'entreprise qui gère l'événement Art Basel. Le piratage a probablement permis de voler des données personnelles de clients. Le fichier clients d'Art Basel constitue un carnet d'adresse important du monde de l'art.
- Octobre: des documents fiscaux de citoyens et d'entreprises suisses apparaissent sur le Darknet. Les clients d'une société fiduciaire du canton de Schwyz, qui avait été auparavant piratée et soumise à un chantage, sont concernés (nom connu de la rédaction).
- Octobre: des hackers ont publié les données de l'entreprise Rudolf Reust AG, un marchand de légumes en gros à Zurich. L'entreprise ne s'exprime pas sur l'incident.
- Octobre: des pirates informatiques accèdent aux comptes de messagerie de collaborateurs de la commune de Mellingen en Argovie.
- La fiduciaire GRF à Morges est victime d'une cyber-attaque. L'entreprise travaille pour une douzaine de communes. Les pirates informatiques demandent une rançon allant de 180'000 à 200 000 francs. Selon GRF, le montant n'est pas versé.
- Des hackers ont crypté des données concernant des clients, des collaborateurs et des partenaires commerciaux sur les serveurs de l'hôtel de luxe Waldhaus à Flims et ont exigé une rançon. L'hôtel affirme ne pas avoir donné suite à cette demande.
- Novembre: Mediamarkt est victime du gang «Hive». Environ 1000 filiales dans 13 pays sont concernées. Les paiements par carte de crédit ou l'établissement de reçus ne peuvent être effectués que de manière limitée pendant plusieurs jours. Les maîtres chanteurs exigent prétendument une rançon de 50 millions de dollars pour libérer les données cryptées.
La lettre de chantage des pirates de Mediamarkt
Mauvaise surprise pour les employés de Mediamarkt en novembre: un cheval de Troie affecte le système de caisse et de gestion des marchandises. screenshot: bleepingcomputer - Novembre: une attaque sur Bucher Industries paralyse temporairement la production du constructeur de machines et de véhicules dans onze pays. Le groupe de Niederweningen (ZH) emploie 11 000 personnes dans le monde et réalise un chiffre d'affaires de 2,7 milliards de francs.
- Novembre: l'éditeur de livres romand Slatkine est piraté et les données de l'entreprise sont cryptées. Les malfaiteurs impriment leur demande de rançon sur toutes les imprimantes de l'entreprise. Slatkine paie la rançon de plusieurs dizaines de milliers de francs.
- Novembre: des hackers publient des données confidentielles de l'entreprise Gröflin AG sur le Darknet. L'entreprise est active sur le marché des pièces automobiles ainsi que des accessoires et du tuning dans le canton de Bâle.
- Décembre: le grossiste en produits alimentaires CultureFood de Fribourg est piraté. Le commerçant approvisionne de nombreux magasins et restaurants en Suisse romande. Les livraisons sont interrompues pendant un certain temps.
- Décembre: le groupe immobilier DBS Group (Domicim) de Lausanne est victime de chantage. Un groupe de cybercriminels crypte les données de l'entreprise et exige une rançon. Plus de 700 collaborateurs n'ont plus accès à leurs e-mails pendant plusieurs jours.
- Décembre: au sein du groupe de gestion de fortune Aquila de Zurich, un cheval de Troie a crypté divers systèmes informatiques peu avant Noël. «Grâce à une identité volée, les pirates ont pu s'introduire dans le système via un outil d'accès à distance», rapporte inside-it.ch. Les criminels menacent de divulguer 1,7 téraoctet de données prétendument volées. La restauration des systèmes prend jusqu'à six semaines.
Cette liste n'est pas exhaustive. 161 victimes de cyberattaques se sont annoncées auprès de la Confédération en 2021. C'est deux fois et demie de plus que l'année précédente. En réalité, le nombre de cas non recensés est bien plus élevé.
«30 à 50% des entreprises paient la rançon»
Steven Meyer, directeur de la société de cybersécurité genevoise Zendatasrf Payer une rançon, c'est faire partie du problème
Entre août 2020 et août 2021, des gangs professionnels de ransomware auraient volé les données d'environ 2694 entreprises suisses et les auraient placées sur le Darknet, rapportait le «Beobachter» en octobre. Ce chiffre ne comprend pas «le nombre d'attaques pour lesquelles les entreprises victimes de chantage ont payé une rançon pour le décryptage de leurs données.»
L'expert en sécurité informatique Steven Meyer négocie avec les criminels pour le compte des victimes de ransomware. D'après son expérience, 30 à 50% des entreprises paient une rançon, explique-t-il dans un entretien avec la SRF.
Les pertes de production peuvent rapidement devenir beaucoup plus coûteuses que la rançon demandée. Il n'est donc pas rare que les victimes paient – surtout si les copies de sauvegarde sont également cryptées – pour remettre en marche les systèmes informatiques et donc la production le plus rapidement possible. Elles paient aussi parce qu'elles craignent pour leur réputation. Mais même avec des sauvegardes, le processus de restauration et la sécurisation des systèmes informatiques peut prendre plusieurs semaines, voire plusieurs mois.
Si les pirates parviennent à prouver le fait qu'ils se sont emparés de données sensibles ou confidentielles, la volonté de céder à leur requête augmente. C'est par exemple le cas lorsque la publication met en danger d'autres personnes, comme dans le cas de cabinets d'avocats, de médecins ou d'organisations humanitaires. Récemment, la Croix-Rouge en a fait les frais. Des informations confidentielles concernant plus de 515 000 personnes vulnérables ont été compromises.
En règle générale, le Centre national de cybersécurité (NCSC) déconseille de répondre aux exigences des bandes d'extorsion. Payer, c'est se rendre complice d'une industrie criminelle en pleine expansion. Il est donc problématique que les assurances couvrent non seulement les dommages, mais aussi la rançon.
En résumé
La mafia des ransomwares existe parce qu'il y a trop de victimes faciles. Elles cèdent rapidement au chantage. Les attaques visent des communes, des organisations et des entreprises de tous les domaines et de toutes les tailles. Personne n'est épargné. Ce qui compte pour les hackers, c'est la perspective d'un profit rapide à moindre coût.
Des systèmes informatiques mal entretenus et des collaborateurs trop peu informés sur les cybermenaces augmentent le risque de se retrouver sur la liste des victimes de ransomware, qui s'allonge de jour en jour. Mais en fin de compte, il y aura toujours des failles de sécurité non détectées et donc des portes d'entrée pour les attaquants. Les services de renseignement financés par l'État accumulent des connaissances sur les failles éventuelles afin de les utiliser pour leurs propres actions d'espionnage ou de sabotage, au lieu de les signaler aux fabricants de logiciels.
La pandémie de Covid-19 finira par se terminer un jour. Mais la fin de la pandémie de ransomware n'est pas en vue.
En Argovie, Migrol teste un nouveau concept de station-service, le premier du genre en Suisse. En plus de l'essence, la filiale de Migros propose un restaurant italien. Toutes les stations-service de la marque feront-elles de même?
Migrol adapte son offre. La première station-service nouvelle génération a ouvert ses portes le 21 mars à Spreitenbach, en Argovie, et offre bien plus que des pompes à essence. Le nouveau concept combine des stations de recharge électrique, des magasins et de la restauration sous un même toit. De quoi transformer la station-service en une zone de loisirs.
