Avec plus de 400 millions d’utilisateurs et 270.000 clients professionnels, Kaspersky Lab est une entreprise leader mondial de la cybersécurité depuis 1997. Dans cet entretien fleuve, Tanguy de Coatpont, son Directeur Général pour la France et l’Afrique du nord, revient sur l’explosion de la cybercriminalité en France et le boom des ransomwares.

Les entreprises françaises font face à une explosion du risque de fraude. Parmi les différents types de cyberattaques, les ransomwares sont particulièrement à la mode. Qu’est-ce qu’un ransomware ? Comment les fraudeurs parviennent-ils à leurs fins ?
Un ransomware est un programme qui va chiffrer les données sur le terminal de la victime ou bien lui en priver l’accès. Le fraudeur demandera une rançon en échange de la restauration des données ou du déblocage des systèmes. Le déroulement est relativement classique : dans la majorité des cas, c’est un e-mail avec une pièce jointe qui va être envoyé à un employé de l’entreprise. La mécanique s’enclenche dès lors qu’il ouvre la pièce jointe : cette dernière va permettre de télécharger à distance ce qu’on appelle la charge utile, c’est-à-dire le malware, et de déclencher l’attaque, alors que l’employé ne réalise pas encore ce qui se déroule. Après quelques minutes, le malware commence à chiffrer localement certaines données de la machine de l’utilisateur. Une fois déployé, il pourra chiffrer toutes les ressources ouvertes, rattachées au réseau depuis cet ordinateur, et plus largement tout ce qu’il pourra atteindre. L’attaque peut s’opérer en quelques minutes sur l’appareil concerné (ordinateur, smartphone, etc.) mais les conséquences seront dramatiques pour le réseau de l’entreprise après une heure ou deux. Le cybercriminel proposera enfin de payer une rançon pour que l’entreprise espère récupérer ses données attaquées.

Observez-vous une évolution du phénomène ? Est-ce que la France est plus particulièrement touchée ?
La vague de ransomware est aujourd’hui mondiale et marquée par une croissance exponentielle. Au cours des 12 derniers mois, 42% des PME dans le monde ont été victimes de ce phénomène. Nous avons mis en place un système de détection automatique des alertes, le Kaspersky Security Network ; chaque tentative d’intrusion ou présence de malware dans le système de nos clients est remontée dans notre base. La France n’est pas plus touchée que d’autres pays. Pour autant, il faut prendre conscience que le phénomène est aussi en expansion, affectant de nombreuses entreprises françaises. Nous décomptons 6 fois plus d’attaques (cas avérés ou tentatives) aujourd’hui que l’an dernier, ce qui équivaut à plus de 160.000 attaques sur la période 2015-2016, en France. Les cybercriminels ne ciblent pas forcément un pays particulier mais plutôt un « vecteur d’infection » de façon assez aléatoire. La dimension pays importe finalement peu pour les fraudeurs aux ransomware.

Lire aussi

Les nouvelles technologies prennent de plus en plus de place dans notre société. Cette situation favorise le développement de la cyberfraude, qui continue son inquiétante progression au classement des tentatives de fraude. Le commissaire François Beauvois, spécialiste du sujet, dépeint avec précision le panorama de la cyberfraude… Lire la suite

Qu’est ce qui fait la dangerosité de ce type de malware ?
La facilité avec laquelle l’utilisateur peut le contracter et sa capacité à se propager rapidement ! Le business model des ransomwares consiste à envoyer un maximum de spams à un grand nombre de victimes, pour obtenir des rançons, en moyenne peu élevées aux alentours de 500-600€. En France, ces rançons sont toujours payées en bitcoins, sachant que le cours du bitcoin a explosé dernièrement. Aujourd’hui 1 bitcoin équivaut à environ 1 140€ ; et en mars dernier, sa valeur a, pour la première fois, dépassé celle d’une once d’or ! Comme les montants sont peu importants, beaucoup de victimes paient ces rançons. Il faut aussi avoir à l’esprit que les cybercriminels s’adaptent, les ransomwares évoluent au jour le jour. Les dernières versions se propagent très rapidement et en plus sont capables de faire des mouvements latéraux, de tout chiffrer… dont les sauvegardes et backups. Pour les versions de ransomware les plus récentes, il est parfois impossible de casser les clés de chiffrement et donc de récupérer les données.

Quelles sont les conséquences pour l’entreprise ? Si elle est victime d’un ransomware, doit-elle payer la rançon ?
Malheureusement, tant que les victimes continueront de payer les rançons, le marché perdurera ! Cela génère d’ailleurs beaucoup d’argent. Si l’entreprise décide de ne pas payer la rançon et qu’elle n’a aucune sauvegarde prévue de ses données, elle risque alors de les perdre définitivement, ce qui peut engendrer des conséquences terribles.
D’autres conséquences très concrètes : des entreprises ont déjà perdu tout l’historique de leur comptabilité des années passées. Si on prend le cas d’hôpitaux infectés par des ransomwares aux Etats-Unis, les patients ont été obligés d’être évacués pour être soignés ailleurs car les salles d’opérations n’étaient plus fonctionnelles. En France, on décompte aussi plusieurs cas : des écoles, des hôpitaux, des entreprises, cabinets d’avocats ou encore le ministère des transports ont eux-aussi été infectés récemment par des ransomwares.

Les entreprises victimes de ransomware subissent-elles des récidives fréquentes ?
Non, ce qui est un point fondamental. Les entreprises payent souvent une petite rançon, qui leur permet d’obtenir la clé de déchiffrement. Dans la majeure partie des cas, elles récupéraient ainsi leurs données. Cependant, depuis quelques mois, de nouveaux groupes de cybercriminels n’envoient plus les clés après le paiement de la rançon. On décompte près d’1 entreprise sur 5 ayant payé une rançon qui n’a pas récupéré ses données. Les escrocs sont attirés par l’argent facile et rapide. Ils louent ou achètent des outils techniques sur internet pour lancer leurs propres campagnes de ransomwares. Ces nouvelles organisations de criminels n’envoient pas les clés de déchiffrement car eux-mêmes ne les ont pas ! Le phénomène global de ransomware risque donc de souffrir directement de cette tendance et diminuer, subissant une sorte de crise de confiance.

Que pouvez-vous conseiller aux entreprises en termes de prévention ?
La prévention doit être axée sur 4 points fondamentaux :

  • Premièrement, veiller à faire des sauvegardes régulières dont une partie ne doit pas être connectée en permanence (au risque d’être chiffrées comme évoqué précédemment).
  • Ensuite, utiliser des solutions de sécurité à tous les niveaux : sur les postes de travail mais aussi sur les passerelles d’emails pour éviter que le malware atteigne la boite e-mail.
  • Mettre à jour tous les systèmes (systèmes d’exploitation, les patchs de sécurité, ordinateurs et réseau).
  • Enfin et surtout, sensibiliser les équipes pour leur apprendre les bons réflexes, comme ne pas cliquer sur la fameuse pièce-jointe du ransomware. Malgré tout, nous savons que les pièces-jointes piégées ressemblent sensiblement à celles que nous avons l’habitude de recevoir et par exemple, les fautes d’orthographe dans le corps d’email n’existent plus, conduisant les personnes instinctivement à faire confiance à l’expéditeur. Il faut donc penser à vérifier la véritable nature de l’utilisateur avec son nom de domaine par un simple clic droit sur l’adresse de l’expéditeur.

Une autre solution préventive est de restreindre les droits d’administrateurs des utilisateurs. Beaucoup d’organisations laissent des droits d’accès administrateur à un grand nombre d’employés. Cela signifie que si l’ordinateur est corrompu, le cybercriminel aura accès à l’ensemble du réseau, et les conséquences seront dramatiques.
Nous avons lancé en juillet 2016 le site www.nomoreransom.org avec Europol et la police des Pays-Bas. Nos chercheurs en sécurité ont donc mis à disposition des services de police dans le cas où des serveurs sont saisis pour une enquête criminelle, et contribuent à leur résolution avec du « reverse engineering », permettant d’obtenir des clés de déchiffrement. Nous avons pu aider plus de 10.000 victimes à obtenir leur données de façon gratuite.

Constatez-vous une intensification de la cybercriminalité, autre que par les ransomwares ?
La vague principale de cybercriminalité concerne les ransomwares. L’autre grande tendance est l’explosion des trojans bancaires sur les smartphones notamment. Pour y faire face il existe des suites de sécurité que nous éditons pour permettre aux entreprises de sécuriser leur flotte, et de pouvoir gérer l’ensemble des smartphones de leurs collaborateurs à travers le console d’administration centrale.
De façon générale, les chiffres sont assez effrayants : la cybercriminalité et la cyberfraude rapportent plus aujourd’hui que le trafic de drogue ! Les organisations criminelles disposent d’équipes dédiées pour se rendre sur le darknet, créer des malwares et en tirer des profits.
Un problème majeur est que les sociétés ne portent pas plainte, le montant du préjudice étant relativement faible. Ce phénomène n’est donc pas visible du côté des forces de police et du gouvernement. Ce qui est regrettable car le partage d’informations entre les entreprises victimes est un maillon important de la prévention.

En cas de cyberattaque, quelle est la démarche d’urgence à suivre ?
Dès qu’une entreprise est victime d’une attaque, il faut immédiatement isoler l’ordinateur en question, en le déconnectant du réseau, mais ne surtout pas l’éteindre. Ensuite contacter un spécialiste, un prestataire de service informatique, car les clés de déchiffrement peuvent se trouver dans la mémoire vive de l’ordinateur, d’où la nécessité d’être accompagné par les bons experts. Il est également important de déposer plainte, cela permettra aux enquêteurs d’effectuer une perquisition, avec une possibilité de remonter au moins jusqu’au serveur de contrôle. Des cas récents d’arrestations, notamment en Russie, ont eu lieu grâce à des pays étrangers qui ont porté plainte auprès d’Interpol.