La dépendance des entreprises envers les infrastructures connectées en raison de la pandémie de COVID-19 (et leurs investissements dans ce domaine), conjuguée à la disponibilité des cryptomonnaies, a créé un contexte propice à l’augmentation, en fréquence comme en ingéniosité, des attaques par rançongiciel. Pendant que le monde du travail poursuit sa transformation à long terme, les modalités de travail flexibles et l’accès à distance aux données des entreprises devraient continuer à fournir aux acteurs malveillants une quantité amplement suffisante de cibles potentielles. À l’instar d’autres entreprises criminelles, la cybercriminalité continue à gagner en sophistication et à calquer ses pratiques sur le milieu des affaires.

Au cours de la dernière année, l’évolution des attaques par rançongiciel – parallèlement à certaines atteintes à la sécurité des données très médiatisées dans les secteurs public et privé – a suscité des préoccupations à l’échelle internationale au sujet de la cybercriminalité et risque d’entraîner une mobilisation de la volonté politique et l’élaboration de stratégies concertées pour lutter contre cette menace dans un proche avenir. Les responsables politiques et les acteurs du milieu des affaires canadiens, y compris la Chambre de commerce du Canada, partagent également ces préoccupations. Ces événements rendent la réponse à une attaque excessivement complexe et hautement dépendante du facteur temps, car les sanctions des gouvernements étrangers ou nationaux visant les groupes de rançonneurs et les opérations de change des monnaies virtuelles peuvent faire dérailler des négociations en cours de route.

Les stratégies permettant de lutter contre la cybercriminalité, de réglementer les cryptomonnaies et de venir à bout du problème à l’échelle mondiale malgré les frontières traditionnelles entre les territoires n’en sont encore qu’à leurs débuts. Les entreprises doivent savoir que les cadres juridiques dans ce domaine sont loin d’être fixés et que leur évolution se poursuivra de façon assez régulière, allant parfois jusqu’à perturber le processus de reprise des activités après une attaque de rançonnage.

DÉFINITION DU RANÇONGICIEL

Un rançongiciel est un logiciel malveillant, ou « maliciel » qui empêche l’accès aux données et les retient en otage jusqu’à ce que l’utilisateur ciblé paie une rançon. Le plus souvent, les rançons sont payées en cryptomonnaie, par exemple en Bitcoin. Il existe deux formes principales de rançongiciel : (i) le rançongiciel à chiffrement, qui chiffre les données de l’utilisateur et lui remet une clé lui permettant de déverrouiller le chiffrement une fois la rançon payée, et (ii) le rançongiciel à verrouillage d’écran, qui empêche l’utilisateur d’accéder à son ordinateur ou à son appareil en ligne jusqu’au paiement de la rançon.

Ces méthodes sont souvent utilisées de concert avec d’autres stratégies afin de procéder à une double ou une triple extorsion, notamment le recours à des menaces de divulguer des données sensibles exfiltrées dans une attaque par rançongiciel ou de cibler directement des individus ou des clients dont les données ont été volées et de poser des gestes nuisibles à leur égard. Ces menaces additionnelles permettent aux criminels de soutirer à la victime une somme supérieure à ce qu’ils auraient reçu en échange d’un simple débrouillage des données chiffrées.

Il est également possible qu’une fois la rançon initiale payée, des niveaux additionnels de chiffrement ou de verrouillage d’écran imposent le paiement de rançons supplémentaires. Toutefois, les criminels qui se cachent derrière les principaux groupes de rançonneurs sont, en général, conscients du fait qu’ils profitent d’une « prime de marque » tant qu’ils préservent leur réputation de tenir parole. Une partie qui promet de déchiffrer les données, mais qui ne le fait pas pourra difficilement gagner la confiance des prestataires de services spécialisés qui viennent en aide aux entreprises dans de telles circonstances.

TENDANCES ACTUELLES EN MATIÈRE DE RANÇONGICIELS

L’évolution du rançongiciel est un exemple fascinant d’innovation dans le monde souterrain de la criminalité : tout comme les autres entreprises, les cybercriminels se diversifient. Ils sont influencés par l’évolution des technologies et des demandes du marché et évaluent en continu l’efficacité et l’efficience de leurs produits en s’inspirant de leurs concurrents. L’industrie du rançongiciel est une forme extrême de changement technologique perturbateur de type entrepreneurial, qui présente plusieurs points communs avec la façon dont Napster et Pirate Bay ont perturbé les industries de la création en violant les droits d’auteur à une échelle sans précédent. Ce n’est pas une coïncidence si les acteurs du rançonnage numérique ont recours à Megaupload/Mega, un service réputé pour faciliter la violation massive du droit d’auteur, pour dissimuler les fichiers volés de l’entreprise, ou si des systèmes de pair-à-pair sont utilisés pour diffuser les maliciels et infecter les utilisateurs à leur insu.

Ainsi, ces dernières années, nous avons vu des cybercriminels abandonner leurs stratégies initiales, axées sur des volumes élevés d’attaques, au profit d’une approche beaucoup plus sélective qui consiste à cibler les plus grandes entreprises dans le but d’exiger le paiement de sommes plus importantes. En règle générale, les cybercriminels commencent par obtenir l’accès aux données de la cible (comme leurs états financiers) et effectuer une reconnaissance depuis ces données avant de déclencher l’attaque réelle afin d’adapter leur demande de rançon à la situation et de tenter de chiffrer de façon plus efficace les systèmes de copie de sauvegarde. Par ailleurs, les cybercriminels ciblent de plus en plus les municipalités et les organisations de soins de santé de moindre importance, s’appuyant sur la perception voulant qu’elles disposent de contrôles de sécurité moins robustes et qu’elles soient plus susceptibles de payer des rançons pour rétablir des services publics essentiels, en particulier en ces temps de pandémie de COVID‑19.

En parallèle, l’essor du rançongiciel offert en tant que service (« RaaS ») a entraîné de profonds changements dans le paysage du rançonnage numérique, devenant le moyen d’attaque le plus utilisé (Rapport Sophos 2022 sur les menaces). Les criminels peuvent acheter sur le Web caché (ou Dark Web) des abonnements mensuels leur donnant accès à des trousses de rançongiciels conviviales, souvent assorties d’un service de soutien technique. Au lieu d’acheter des abonnements mensuels, certains utilisent plutôt un modèle de participation aux bénéfices en partageant les rançons obtenues avec le fournisseur du RaaS. Certains « fournisseurs » ont investi dans des présentations graphiques haut de gamme pour leur portail de service à la clientèle et d’édition.

Trois enseignements clés doivent être retenus de ces évolutions récentes : (i) les cybercriminels réagissent très rapidement aux nuances des événements en cours et ciblent les vulnérabilités dès qu’elles apparaissent; (ii) la diversification signifie que tout le monde, du simple individu à l’entreprise de taille moyenne ou à la grande société peut être victime d’une telle attaque au Canada; et (iii) le rançongiciel est en constante évolution, ce qui signifie que les stratégies utilisées pour les empêcher d’agir ou pour réagir après leur attaque exigent une maintenance diligente.

COMMENT SE PRÉPARER À UNE ATTAQUE PAR RANÇONGICIEL OU EN ATTÉNUER LES CONSÉQUENCES

La grande diversité des cibles et les coûts potentiels exorbitants des attaques par rançongiciel mettent en lumière l’importance pour l’entreprise d’investir dans les mesures préventives. Ces mesures consistent notamment à mettre en œuvre des systèmes et des procédures de sécurité robustes, à colmater rapidement les vulnérabilités, à effectuer des tests de pénétration, à expliquer aux employés comment les courriels d’hameçonnage et les autres rançongiciels peuvent être introduits dans un système, à réduire les surfaces d’attaque, à isoler les copies de sauvegarde des données, à superposer plusieurs couches d’accès au stockage des données en ligne et à utiliser l’authentification multifactorielle. Plus la navigation dans le système et l’accès aux données sensibles sont difficiles, moins il est probable qu’une attaque de cybercriminels puisse réussir. Les facteurs de vulnérabilité particuliers qui doivent être examinés dans les mesures préventives sont le stockage des copies de sauvegarde, le stockage en nuage et les points d’accès à distance. Un examen fréquent des mesures préventives est également essentiel; au fil du temps, les outils qui étaient réputés être particulièrement bien protégés finissent par être victimes de l’ingéniosité des cybercriminels. Par exemple, les monnaies numériques utilisant les chaînes de blocs et les applications connexes font de plus en plus l’objet de piratages et d’arnaques et

le stockage infonuagique n’est pas non plus invulnérable. Pour en savoir plus, veuillez lire notre article intitulé Blockchain vulnerabilities – crypto hacks, blockchain forensics and legal challenges (en anglais seulement). Même avec la mise en place de mesures préventives robustes, il n’en demeure pas moins important pour une entreprise de disposer d’un plan d’intervention en cas d’incident décrivant la marche à suivre pour réagir à une attaque de rançongiciel. Les fenêtres contextuelles du rançongiciel (comme celle dans l’image ci-dessous) sont déconcertantes, et le plan d’intervention en cas d’incident aide à prendre des décisions mesurées et efficaces, y compris en ce qui concerne le moment et la façon de faire appel à un conseiller juridique et à une expertise externe. De plus, le fait de disposer dans le plan d’intervention en cas d’incident d’instructions clairement formulées pour la restauration des données à partir des copies de sauvegarde contribuera à réduire la portée de toute atteinte à la réputation susceptible de découler du rançonnage. Pour en savoir plus, veuillez consulter notre article intitulé Ransomware: avoidance and response (en anglais seulement).

Lorsqu’elle élabore un plan d’intervention en cas d’incident, l’entreprise doit également examiner les facteurs clés à prendre en considération pour déterminer si elle paie ou non la rançon. L’entreprise doit être consciente du fait que le paiement de la rançon, s’il peut être le seul moyen de récupérer les données, peut aussi en faire une cible privilégiée pour des attaques futures. Un tel paiement pourrait également constituer une violation de sanctions imposées, notamment par les États-Unis. De plus, les assureurs peuvent ne pas couvrir les coûts du paiement d’une rançon ou d’autres coûts liés aux attaques par rançongiciel, et les données peuvent demeurer compromises ou altérées même une fois la rançon payée.

TENDANCES FUTURES EN MATIÈRE DE RANÇONGICIELS

À brève échéance, on doit s’attendre à un accroissement des efforts de réglementation, de coopération internationale et d’application de la loi dans des secteurs d’activité voisins du rançonnage numérique comme les cryptomonnaies, les bourses de cryptomonnaies et le blanchiment d’argent. Il existe déjà quelques exemples de cas où des mesures d’application de la loi à l’endroit de cybercriminels ont été couronnées de succès et ont permis de saisir les profits tirés du rançonnage[1], sans oublier des procès au civil où la cible d’une attaque a pu récupérer les sommes volées en cryptomonnaie. Dans les prochaines années, les cabinets d’avocats pourraient être en mesure d’aller plus loin que leur rôle principal actuel de conseillers spécialisés en intrusion et d’interface avec les autorités de réglementation et de recouvrer les fonds extorqués grâce à des procédures judiciaires spécialisées innovantes faisant appel à des ordonnances de type Norwich Pharmacal ou Bankers Trust ou à des injonctions de type Mareva, qui ont été élaborées par les tribunaux dans le cadre d’affaires récentes pour retracer et geler les gains obtenus frauduleusement. Pour en savoir plus, veuillez lire notre article intitulé Blockchain vulnerabilities – crypto hacks, blockchain forensics and legal challenges (en anglais seulement). Les entreprises doivent toutefois être conscientes du fait que les cybercriminels continueront de modifier leurs armes pour se soustraire à l’application de la loi et à cibler les vulnérabilités. Elles devront donc continuer à surveiller les évolutions en matière de rançongiciels et à mettre à l’essai leurs mesures préventives et leur plan d’intervention d’urgence en conséquence.

En 2021, le domaine de la protection des renseignements personnels, de la cybersécurité et du traitement des données a connu des développements importants qui continueront d’avoir une incidence en 2022 et au-delà. Apprenez-en davantage sur les enjeux susceptibles d’influer sur votre entreprise et sur la façon de vous préparer pour l’année à venir. Lisez le rapport de notre groupe Cyber/Données pour connaître les dernières tendances et les principaux développements en matière de protection des renseignements personnels, de gestion des données et de cybersécurité qui peuvent influencer vos décisions commerciales. Téléchargez le rapport : https://bit.ly/3qWo8ay

[1] Voir par exemple US charges two men over ransomware attacks, seizes $6M | nypost.com, U.S. charges Ukrainian and Russian in major ransomware spree, seizes $6 mln | Reuters, and Department of Justice Seizes $2.3 Million in Cryptocurrency Paid to the Ransomware Extortionists Darkside | OPA | Department of Justice