watson: Comment les groupes de ransomware choisissent-ils leurs victimes?
Tobias Ellenberger: Il existe deux méthodes d'attaque. Dans la première, les cybercriminels utilisent des données d'accès volées qui ont été obtenues lors d'une fuite. Ces données sont ensuite utilisées pour des attaques de phishing - ou pour se connecter directement au système. Cette méthode est très souvent utilisée par «Play». Dans la deuxième variante, avec laquelle «Play» s'est fait connaître au départ, les pirates exploitent des points faibles connus, comme les deux failles de sécurité des serveurs de messagerie Microsoft «Exchange». C'est par le biais de ces dernières que le groupe a lancé des attaques contre différentes entreprises.
S'agit-il d'attaques ciblées?
Dans le cadre des attaques par ransomware, il est rare que les pirates ciblent une entreprise en particulier. La plupart du temps, ils exploitent des logiciels obsolètes ou des données volées à grande échelle.
Ces derniers jours, les médias ont fait état de plusieurs attaques. Il ne faut donc pas non plus y voir des attaques ciblées?
L'expérience montre que ce sont généralement les attaques générales qui réussissent. Actuellement, les accès à distance via VPN, qui sont parfois insuffisamment sécurisés, sont souvent utilisés comme accès. Soit parce que des données d'accès valables ont été dérobées, soit parce que le logiciel VPN utilisé présente des faiblesses qui n'ont pas encore été corrigées par des mises à jour logicielles. Dans ce dernier cas, tout dépend de qui est le plus rapide: les développeurs et les entreprises ou les pirates.
Et ce sont souvent les criminels...
En réalité, on ne sait rien des autres cas. Ceux qui réagissent vite ne sont pas touchés.
Les entreprises suisses sont-elles particulièrement touchées par les cyberattaques?
Non, mais certaines tendances se dégagent. Les très grandes entreprises sont moins souvent touchées, notamment parce qu'elles investissent plus d'argent dans la sécurité. De plus, elles disposent d'outils leur permettant de détecter rapidement les attaques, de sorte qu'il n'y a pas de panne généralisée.
Tous les pays dans lesquels Oneconsult est actif (ndlr: Suisse, Allemagne, Autriche et Nouvelle-Zélande) sont à peu près touchés de la même manière. Comme les attaques se font souvent par vagues, il y a parfois des pics régionaux. Récemment, nous avons observé ce phénomène dans les pays scandinaves, une autre fois nous avons vu un pic dans l'espace germanophone.
Le groupe «Play» est-il particulièrement actif en ce moment?
Il y a actuellement trois groupes qui sont relativement actifs: Play, Lockbit et Black Cat.
Il y a des similitudes dans les logiciels malveillants, par exemple entre «Play» et le groupe «Hive», qui a depuis été démantelé.
Il y a donc des criminels qui sont passés d'un groupe à l'autre?
Même lorsque les autorités parviennent à faire tomber un groupe, il n'est généralement pas possible d'attraper et de punir tous les auteurs. La plupart du temps, seule une partie de l'infrastructure peut être paralysée. Il se peut que ceux qui ont réussi à s'échapper restent inactifs pendant un certain temps et peaufinent leur logiciel malveillant avant de réapparaître sous un autre nom.
C'est un peu comme une hydre: quand on coupe une tête, deux nouvelles repoussent?
Cela va dans ce sens. Le modèle commercial est tout simplement trop lucratif. Les groupes comptent parfois des centaines de collaborateurs et sont organisés de manière professionnelle - avec des suppléances et un modèle commercial diversifié. Ils comptent sur le fait qu'une partie d'entre eux sera attrapée et démantelée.
C'est le secret de leur succès?
Actuellement, il y a vraiment beaucoup de victimes. Il nous est déjà arrivé, lors de négociations avec des auteurs, qu'ils nous disent: "vous devez patienter, nous avons trop de victimes". Ils étaient tout simplement surchargés.
Que faire face à cette avalanche?
Le risque d'être pris doit augmenter massivement pour les criminels afin que leur modèle devienne moins attractif.
Il faut donc renforcer la sécurité sur l'ensemble du territoire. La poursuite pénale internationale doit également être encore mieux coordonnée.
Comment les entreprises peuvent-elles se protéger de manière préventive?
D'une part, il faut compliquer la tâche des pirates informatiques. D'autre part, il faut être suffisamment préparé pour pouvoir réagir le plus rapidement possible en cas d'attaque. Il est alors utile de savoir comment les criminels opèrent afin d'anticiper les prochaines étapes.
Ne dépend-on pas de la capacité des fournisseurs de logiciels comme Microsoft à protéger leurs systèmes et leurs clouds?
Oui et non. Il peut arriver qu'un fournisseur soit trop lent à combler une faille. Le dommage potentiel est alors plus important, car plusieurs entreprises sont concernées par le cloud. En revanche, les grands fournisseurs d'informatique en clouds ont beaucoup plus d'argent et de savoir-faire pour mettre en place un dispositif de défense. Par exemple, une PME qui utilise un cloud ne pourrait pas se permettre de prendre les mesures de sécurité correspondantes en interne. Chaque entreprise doit évaluer pour elle-même quelle est la solution la plus sûre. En fin de compte, la responsabilité incombe à l'entreprise elle-même.
Et que conseillez-vous aux entreprises qui sont victimes d'un ransomware? Faut-il payer?
L'idéal est d'être suffisamment bien préparé à cette éventualité pour avoir d'autres options que le paiement d'une rançon. Mais je ne dirais pas de manière générale qu'il ne faut jamais payer.
Cela permet de resserrer l'étau autour des groupes de délinquants. Dans des cas extrêmes, il peut être nécessaire de payer pour sauver l'entreprise. Mais le paiement d'une rançon devrait certainement être l'une des toutes dernières mesures à prendre.
De nombreuses attaques sont gardées secrètes. Devrait-il y avoir une obligation de notification pour les entreprises?
Ce serait en effet utile pour avoir une bonne vue d'ensemble de la situation et pour aider efficacement les autres victimes. La question est de savoir quand la notification doit avoir lieu. Il peut y avoir des raisons stratégiques de ne pas signaler immédiatement une attaque - par exemple lorsqu'un pirate est encore actif dans le système et n'a pas encore remarqué qu'il a été découvert. Mais après coup, une communication au sujet de l'attaque permettrait d'en tirer des enseignements.
Les entreprises suisses sont-elles bien armées?
La situation est très différente selon les secteurs. Il faudrait égaliser les niveaux.
On le voit par exemple avec la faille «Exchange» de Microsoft. La Confédération a envoyé des lettres aux entreprises concernées, mais il y a toujours des entreprises vulnérables qui n'ont pas encore corrigé la faille. Il faut travailler sur ce point.