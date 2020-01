Par leur nombre et les dégâts provoqués, les rançongiciels, à l'origine de la cyberattaque qui a touché jeudi le géant français du BTP Bouygues Construction, sont "la menace la plus sérieuse" visant les entreprises et les institutions, selon l'Agence française spécialiste de la sécurité informatique (Anssi).

Qu'est-ce qu'un rançongiciel ?

Un rançongiciel est un code informatique malveillant empêchant la victime d'accéder au contenu de ses fichiers afin de lui extorquer de l'argent, résume l'Anssi dans un récent rapport sur l'état de cette menace.

Historiquement, les attaquants se contentaient d'afficher une page au premier plan exigeant le paiement d'une somme d'argent pour être désactivée. Désormais, ils s'attachent à chiffrer (rendre illisible) un maximum de fichiers utiles à la victime et demandent le paiement d'une rançon en cryptomonnaie pour les déchiffrer.

Comment évolue cette menace ?

Le nombre d'attaques au rançongiciel a augmenté de manière importante en 2014, lors de "vastes campagnes d'infections" par courrier électronique qui visaient surtout des particuliers. Ces campagnes représentent encore la majorité des attaques mais leur nombre semble diminuer.

On observe en revanche un glissement vers les entreprises, afin de privilégier, du point de vue du pirate, des cibles disposant de documents sensibles et plus susceptibles de payer une rançon.

L'éditeur de logiciels de cybersécurité Symantec rapporte notamment depuis début 2019 une baisse de 20% des infections par rançongiciel, mais une hausse de 12% à l'encontre des entreprises.

Enfin, les cybercriminels n'hésitent plus à cibler spécifiquement des grandes entreprises ou institutions, "financièrement robustes et qui peuvent rapporter gros", jusqu'à des dizaines de millions de dollars.

Les risques sont tels que des sociétés d'assurance prennent désormais en charge le montant des rançons tandis que des sociétés se spécialisent dans la négociation avec les cybercriminels.

"Aujourd'hui, les assurances incitent les victimes à payer la rançon qui s'avère souvent moins élevée que le coût d'un rétablissement de l'activité sans le recours à la clé de déchiffrement. Cette incitation à payer valide le modèle économique des cybercriminels", regrette l'Anssi dans son rapport.

Enfin, depuis fin 2019, des groupes cybercriminels menacent de publier les documents volés, potentiellement confidentiels, en cas de non-paiement de la rançon.

Quels sont les précédents ?

L'attaque la plus massive due à un rançongiciel a eu lieu en mai 2017, lorsque le ver Wannacry a infecté en une journée au moins 200.000 machines dans plus de 150 pays. Des usines de Renault avaient notamment été touchées en France, ainsi que le système de santé britannique qui avait évalué ses coûts de remise en service à 100 millions d'euros.

Tout au long de l'année 2019, des rançongiciels ont infecté tour à tour une entreprise norvégienne spécialisée dans l'aluminium, la ville américaine de Baltimore ou les laboratoires de recherche Eurofins Scientific, occasionnant des pertes de données et d'importants frais de remise en état du parc informatique.

En France, l'Anssi a traité 69 incidents du type rançongiciel en 2019, visant en particulier les sociétés Altran en janvier, Fleury Michon en avril, Ramsay Générale de Santé en août, ou encore le CHU de Rouen en novembre.

Qui est derrière l'attaque de Bouygues Construction ?

La filiale de construction du géant Bouygues a admis vendredi être la cible depuis la veille d'une attaque de type rançongiciel qui a provoqué la mise à l'arrêt de tout son système informatique. L'attaque est orchestrée par un groupe de cybercriminels utilisant le rançongiciel Maze, a rapporté à l'AFP Damien Bancal, un spécialiste français de cybersécurité qui affirme être entré en contact avec les pirates.

Maze a été découvert en mai 2019. Selon l'Anssi, il est principalement connu pour être associé à des divulgations sur Internet de documents volés à des entreprises.

En décembre, un groupe a notamment annoncé avoir volé des données à l'entreprise américaine de câbles Southwire. Celle-ci refusant de payer la rançon de 6 millions de dollars, les pirates ont publié en janvier l'ensemble des données volées.

La ville américaine de Pensacola ou l'entreprise de sécurité Allied Universal ont également été victimes du même logiciel en fin d'année.

"Ces forts montants combinés au risque de divulgation de données internes en font le rançongiciel ayant le plus fort impact potentiel sur les entreprises et institutions", note l'Anssi.