Cybercrime : briser la rentabilité

Auteur

Gérôme Billois

Partner cybersécurité et confiance numérique chez Wavestone

Auteur

Marwan Lahoud

Associé chez Messier & associés (Groupe Mediobanca)

Comme nous l’avons montré dans nos précédents billets, le cybercrime est en pleine croissance. Il bénéficie d’un écosystème de plus en plus structuré et professionnalisé, augmentant continuellement la rentabilité des attaques. Réduire cette rentabilité est un prérequis pour limiter la menace cyber. Mais comment ? Dans ce dernier billet, le groupe de travail de l’Institut Montaigne - auteur du rapport de 2018, Cybermenace : avis de tempête - propose des pistes de réflexion, issues de rencontres avec les acteurs de l’écosystème de lutte contre la cybercriminalité.

Tarir les sources de revenus des criminels en empêchant le paiement des rançons

Comme nous l’avons vu précédemment, les attaques ransomware sont de plus en plus nombreuses. Une étude de Cisco Talos Incident Response (CTIR) a montré que, entre janvier et mars 2021, le ransomware représentait 43 % des attaques cyber. L’Anssi, elle, recense une augmentation de 255 % du nombre d’attaques par rançongiciel dans son périmètre en 2020.

Aujourd’hui, la principale source de revenus des cybercriminels est le paiement des rançons. Auparavant, les gains réalisés grâce aux rançons étaient de quelques centaines de milliers de dollars, un chiffre désormais de l’ordre de plusieurs dizaines, voire centaines de millions de dollars par an pour les plus grands groupes. Limiter le paiement des rançons est donc un des axes prioritaires.

Des approches hétérogènes contre le paiement des rançons

En France, le paiement des rançons n’est pas interdit et fait l’objet de peu de contrôles. Toutefois, la posture nationale, régulièrement répétée par l’Agence nationale de la sécurité des systèmes d'information (Anssi) et les acteurs gouvernementaux, est de déconseiller fermement aux entreprises d’y recourir, pour plusieurs raisons : le paiement ne constitue pas une solution miracle face à une cyberattaque. Les clés de déchiffrement peuvent par exemple ne pas être fournies, ou ne pas fonctionner. Par dessus tout, la perte de confiance dans les systèmes après leur infection nécessitera, dans tous les cas, une reconstruction du système d’information et un redémarrage progressif. Autrement dit, dans la plupart des cas, le paiement de la rançon ne diminue pas les impacts de la crise et la durée de la désorganisation.

Dans la plupart des cas, le paiement de la rançon ne diminue pas les impacts de la crise et la durée de la désorganisation.

Il existe des initiatives intéressantes à l’échelle internationale pour limiter le recours au paiement des rançons. On peut citer l’initiative No More Ransom, lancée en 2016 par Europol, mettant à disposition des outils pour déchiffrer gratuitement les données. Elle revendique avoir aidé plus de 200 000 victimes de ransomware à récupérer leurs fichiers, en donnant accès à des clés de déchiffrement découvertes, soit en analysant et en découvrant les failles dans les outils des cybercriminels, soit via des saisies de matériel à la suite d’opérations de police.

Une autre approche existe, entreprise aux États-Unis depuis fin 2020 : le département du Trésor américain a publié une note attribuant des sanctions - par exemple financières - aux entreprises et à l’ensemble des intermédiaires payant les rançons. En cas d’attaque, les victimes sont appelées à contacter et à coopérer avec les autorités.

Ces approches ne parviennent pas à enrayer la hausse du nombre de paiements à l’échelle internationale

Ces décisions et initiatives ont une portée limitée, notamment en France. Dans près de 20 % des cas, les entreprises attaquées paient les rançons, d’après les observations de terrain des équipes de réponse aux incidents du cabinet Wavestone. Ce chiffre se confirme au regard des analyses des paiements de rançons en monnaies électroniques et des flux financiers associés.

Pourquoi les entreprises paient-elles la rançon ? C’est souvent dans la (fausse) idée d’accélérer la reprise d’activité, mais aussi pour s’assurer que les données dérobées ne soient pas divulguées. Généralement, le montant de la rançon est raisonnable et prend en compte les dommages subis. De plus, les criminels autorisent des négociations permettant d’abaisser le prix. Un écosystème d'accompagnement à la négociation et aux paiements des rançons - sociétés de négociation, intermédiaire de paiements, etc. - s’est récemment structuré. Le support de ces derniers n’est sûrement pas étranger à la hausse des règlements.

Interdire purement et simplement le paiement des rançons est difficile car, dans certains cas, la vie de l’organisation touchée est en jeu. Cela peut également s’expliquer par le fait que de nombreuses attaques deviennent publiques tardivement, rendant l’application d’une telle interdiction et des sanctions associées complexes. Notons également que la capacité à tracer le paiement des rançons est fortement dépendante de la capacité à tracer les cryptomonnaies : le Bitcoin hier et aujourd’hui, le Monero certainement demain... Ces cryptomonnaies sont les devises numériques privilégiées des criminels, leur offrant une facilité d’utilisation et une discrétion nécessaire à leur missions.

Les cryptomonnaies sont les devises numériques privilégiées des criminels, leur offrant une facilité d’utilisation et une discrétion nécessaire à leur missions.

Quelques pistes de réflexions pour tarir les sources de revenus des cybercriminels

Dès lors, comment procéder ? Il n’existe pas de solution miracle. Nous avons néanmoins identifié trois enjeux.

Tout d’abord, une communication limpide sur la posture de son organisation - que l’on soit un acteur privé ou public -, précisant qu’aucune rançon ne sera jamais payée, peut fortement décourager les cybercriminels. C’est aujourd’hui le cas pour les organisations publiques (collectivités, ministères…). Les entreprises pourraient faire de même, par exemple via le document de référence pour les organisations cotées. Il est évident que cette mesure ne sera pas suffisante pour contenir les vagues d’attaques, mais elle peut contribuer à éloigner certains cybercriminels.

Le second enjeu est de s’assurer de la réalité de l’intérêt du paiement d’une rançon. Le paiement doit être envisagé uniquement lorsqu’il est réellement nécessaire - par exemple si la survie de l’entreprise en dépend, ou si l’on est certain qu’il réduira la phase de crise et les impacts financiers. Cette vérification, par des experts indépendants et/ou en lien avec les autorités, pourrait ainsi être ajoutée dans les clauses des contrats d’assurance cyber. Ceci renforcerait en parallèle la coopération entre les victimes, les acteurs du monde de l’assurance et les autorités en charge de la lutte contre la cybercriminalité, afin de mieux tracer les actions des cybercriminels. Cette piste a été empruntée par les États-Unis, comme le montre la dernière note de l’Office of Foreign Assets Control (OFAC).

Enfin, le troisième enjeu est de renforcer les capacités de traçabilité et d’identification des transferts entre monnaies électroniques et monnaies traditionnelles afin de pouvoir, par exemple, geler les avoirs des cybercriminels. Cette mesure est cependant éminemment complexe puisqu’elle nécessite une importante coopération internationale.

Agir sur le sentiment d’impunité des cybercriminels

L’attractivité du crime cyber est également due à l’apparente impunité des cybercriminels. Ces derniers prennent peu de risques en comparaison aux criminels traditionnels. Ils sont par ailleurs souvent dissimulés dans des pays éloignés - géographiquement et culturellement - de leurs victimes. Le groupe cybercriminel Evil Corp en est l’archétype, exhibant un mode de vie outrancier et les importants gains financiers de ses membres (leur permettant d’acheter des voitures de luxe, d’organiser des fêtes fastueuses, etc.).

2021, une année charnière dans la lutte contre la cybercriminalité ?

L’attractivité du crime cyber est également due à l’apparente impunité des cybercriminels. Ces derniers prennent peu de risques en comparaison aux criminels traditionnels.

L’année 2021 semble marquer un tournant. Plusieurs opérations d’envergure menées par les autorités ont cherché à mettre un terme à l’impunité des cybercriminels via le démantèlement de groupes criminels établis de longue date. Le réseau d’ordinateurs piégés (botnet) Emotet, qui figurait parmi les plus efficaces depuis une décennie, a été l’un des premiers à recevoir le message des autorités : les cybercriminels le faisant fonctionner au quotidien ont été arrêtés et les autorités ont pris le contrôle de ses serveurs. Cette opération conjointe entre Europol et de nombreuses forces de police nationales a été une réussite. La police hollandaise n’a d’ailleurs pas hésité à mettre en avant sa participation sur certains forums spécialisés pour dissuader les autres cybercriminels de poursuivre les opérations.

Outre Emotet, les organisations cybercriminelles Netwalker et Egregor ont également vu certains de leurs opérateurs et affiliés se faire arrêter ces derniers mois. L’effet de ces opérations n’a pas tardé à se faire ressentir, puisque les plateformes Ziggy et Fonix ont annoncé arrêter leurs activités en conséquence (voir le premier article de notre série).

Il est intéressant de mentionner également la politique du "name & shame", qui existe depuis plusieurs années aux États-Unis, et dont le but est de révéler l’identité des cybercriminels. Même si l’impact de cette politique est évident en termes de communication, son efficacité opérationnelle est limitée. Les États-Unis en sont conscients et l’admettent : cette mesure n’est utilisée qu’en dernier recours, lorsqu’il devient certain que les cybercriminels ne pourront pas être appréhendés.

Malgré ces succès, l’écosystème criminel est résilient et continue de croître

Si les récents démantèlements ou arrêts d’activité représentent un tournant dans l’évolution des activités de l’écosystème cybercriminel, l’effort doit se poursuivre et gagner en intensité. Les opérateurs des plateformes Ransomware-as-a-Service sont pour la plupart toujours actifs et de nombreux concurrents espèrent se faire une place sur ce marché particulièrement profitable.

La coopération internationale est évidemment fondamentale pour appréhender les criminels. Malheureusement, elle est lente à instaurer. En regard, les cybercriminels collaborent au quotidien pour perfectionner leurs méthodes et leurs outils et pour échapper au regard des autorités. Pour répondre à ces enjeux, nous allons dans le sens du World Economic Forum, qui propose de créer un partenariat global avec des entités chargées de stimuler les collaborations, et enfin des task forces dédiées à des sujets précis.

Dans la même logique, le temps de la justice reste globalement trop lent en comparaison avec l’environnement extrêmement dynamique de la cybercriminalité. La rédaction et l’application des lois pour limiter la prolifération des cyberattaques sont chronophages. De plus, la démarche judiciaire se heurte à la notion de territorialité : il peut parfois être difficile d’obtenir une autorisation pour intervenir sur le territoire d’un autre pays. C’est pourquoi les groupes criminels ont tendance à émerger dans des pays connus pour fermer les yeux sur leurs agissements (à condition que les cybercriminels ne les attaquent pas).

Quelques pistes de réflexion pour mieux punir les cybercriminels

Les fonctions régaliennes (justice, sécurité, diplomatie…) sont en première ligne. Cependant, dans le plan du gouvernement français en matière de cybersécurité - annoncé notamment pour réagir contre la vague d’attaques touchant le secteur de la santé -, la justice est insuffisamment prise en compte. Le domaine judiciaire est en difficulté pour s’attaquer au cybercrime, et ce pour de nombreuses raisons : de trop nombreux dossiers, un manque d’effectifs qualifiés, un code pénal peu adapté à la lutte contre le cybercrime, des difficultés législatives liées à l’obtention et à la validité des preuves numériques, un cloisonnement entre les différents acteurs, un manque de ressources pour suivre les flux de monnaies virtuelles…

Nous observons que l’action répressive sur la cybercriminalité est aujourd’hui limitée par deux facteurs à l’international comme en France : d’une part, les effectifs alloués et compétents sont trop rares, et ce à toutes les échelles (la police judiciaire, la gendarmerie, Tracfin, Europol, Eurojust, et tout particulièrement la justice). D’autre part, l’arsenal technique est limité, avec un manque d’outils souverains et fonctionnels pour mener les enquêtes numériques (citons entre autres la captation de preuves et le suivi des transactions de cryptomonnaies).

Le temps de la justice reste globalement trop lent en comparaison avec l’environnement extrêmement dynamique de la cybercriminalité.

À l’échelle nationale, nous devons également lever certaines barrières pour rattraper le retard accumulé. L’un des enjeux principaux est le manque de coopération entre les nombreuses institutions, en particulier entre la justice et les services de renseignement. Un meilleur partage d’informations permettrait d’accélérer les enquêtes. À cet égard, la lutte contre le terrorisme à partir de 2015, autorisant un partage d’informations encadré entre le monde judiciaire et le monde du renseignement peut être une source d’inspiration.

Rendre les cibles des attaquants plus difficiles à identifier et les attaques plus difficiles à mener

Renforcer la sécurité minimum des réseaux, des systèmes et des solutions technologiques utilisés par les organisations publiques et privées augmentera mécaniquement le coût des cyberattaques pour les criminels. C’est donc le dernier facteur essentiel pour réduire la rentabilité du cybercrime.

Le niveau de sécurité des systèmes d’information des victimes est hétérogène

Tout d’abord, les PME et les ETI sont une cible pour les criminels du fait du manque de ressources dont elles disposent et de leur maîtrise insuffisante des fondamentaux de la cybersécurité. Pour les accompagner, la plateforme gouvernementale Cybermalveillance.gouv.fr propose de nombreux outils de sensibilisation, de prévention et d’assistance. Depuis 2020, la plateforme est également à l’origine du label ExpertCyber, permettant de garantir le niveau d‘expertise en cybersécurité d’entreprises spécialisées et pouvant accompagner les PME et les ETI. Notons que l’enjeu de la sécurisation des systèmes d’information de ces structures a été approfondi dans notre rapport de 2018, Cybermenace : avis de tempête.

Ensuite, pour les grandes entreprises, la prise de conscience est en cours, comme l’atteste l’étude de Wavestone sur les grands indices boursiers : 100 % des entreprises du CAC 40 indiquent traiter le risque cyber dans leurs rapports annuels. Il reste cependant beaucoup à faire. L’analyse des budgets et des effectifs dédiés à la cybersécurité montre une hétérogénéité entre les différents secteurs. Pour les fonctions les plus critiques - celles d’importance vitale pour la nation - des obligations réglementaires fixent le niveau minimum à atteindre. Mais cela ne touche que près de 200 structures en France et ne concerne que certains systèmes (ceux qui assurent les services les plus critiques ou dangereux).

Enfin, le secteur public est fragilisé car il a manqué d’investissements conséquents depuis de nombreuses années. Les vagues d’attaques frappant les hôpitaux et mairies l’attestent. Toutefois, comme évoqué précédemment, la stratégie nationale lancée début 2021 permettra de combler ce déficit, notamment via des investissements massifs : près de 350 M€ pour le secteur de la santé, ainsi que 160 M€ du plan de relance dédiés aux collectivités territoriales.

Quelles sont les limites ?

Au-delà des efforts financiers, nous observons un manque important d’experts dans le domaine cyber.

La cybercriminalité est en constante évolution. Pour y faire face, l’effort actuel d’investissement dans la cybersécurité doit se poursuivre dans le temps et rester régulier. Mais, au-delà des efforts financiers, nous observons un manque important d’experts dans le domaine cyber. Cette situation risque de perdurer, même si la nouvelle stratégie gouvernementale vise à accroître les recrutements dans le domaine de la cybersécurité.

Par ailleurs, les systèmes numériques conçus et vendus aujourd’hui n'intègrent pas toujours la cybersécurité par défaut. Leur sécurisation nécessite alors un effort supplémentaire pour les utilisateurs. L’ensemble du secteur numérique pourrait s’inspirer des évolutions observées ces dernières années dans l’industrie des smartphones, au sein de laquelle le chiffrement des données ou l’usage de codes d’accès par défaut ont permis une hausse générale de la sécurité des terminaux.

Quelques pistes de réflexion pour renforcer la sécurité des organisations

Des efforts peuvent être menés à l’échelle des organisations utilisatrices de services numériques. Un budget et des effectifs dédiés à la cybersécurité sont un prérequis pour déployer une hygiène de cybersécurité minimale, même s’ils dépendent bien entendu du contexte. En complément, l’organisation d’une simulation de crise rançongiciel est un moyen simple et efficace de tester et de valider la capacité d’une organisation à gérer un incident. Cela permet aussi de mobiliser largement et à haut niveau au sein des entreprises.

Notons que le durcissement des conditions d’assurance cyber (l’augmentation des primes, mener une enquête approfondie pour évaluer le risque) peut permettre une hausse du niveau de sécurité des organisations. Pour le secteur public, il est possible d’imaginer des mesures de sécurité à l’échelle nationale, comme le filtrage des messageries, des flux, la résolution de noms de domaine reliant les adresses IP des serveurs à leurs noms grand public… Ces mesures peuvent renforcer la sécurité à l'échelle du pays. Le Royaume-Uni s’est engagé dans cette voie, et peut être considérée comme source d’inspiration.

Un budget et des effectifs dédiés à la cybersécurité sont un prérequis pour déployer une hygiène de cybersécurité minimale

Les fournisseurs de solutions numériques (éditeurs, sociétés de services…) sont également un maillon essentiel de la protection des organisations. Il est important de réguler les pratiques de sécurité pour atteindre un niveau minimum de cybersécurité dans les produits et les services numériques. À cet égard, nous encourageons les travaux de l’OCDE, formulant des bonnes pratiques et recommandations pour la sécurité des produits et services numériques. Par ailleurs, des réflexions peuvent être menées pour identifier et protéger les systèmes d’usage partagés par les clients d’un même fournisseur, afin d’empêcher les cybercriminels de rebondir d’une cible à l’autre (systèmes de supervision, d’administration, de supports) depuis ces infogérants ou hébergeurs de données. Pour accélérer ces évolutions, les clients de ces structures peuvent être encouragés à intégrer ces points dans leurs demandes de services.

Lutter tous ensemble contre le crime cyber

Plus que jamais, la lutte contre la cybercriminalité est devenue un enjeu transversal et nécessite une coopération de l’ensemble de l’écosystème. Celle-ci concerne les grands acteurs du numérique, qui ont aujourd’hui une capacité sans égale pour investiguer et protéger à grande échelle, les constructeurs du numérique chargés de fournir des systèmes et des services sûrs, les utilisateurs en charge de leur propre sécurité, et les acteurs régaliens aux échelles nationale et internationale pouvant traquer et arrêter les cybercriminels.

L’efficacité de cette lutte commune dépend du partage d’informations. Celui-ci remplit un double objectif : d’une part, alerter en temps réel sur les mécanismes utilisés par les cybercriminels pour les détecter, interrompre leurs attaques et tracer leurs financements en cas de rançon ; d’autre part, à moyen terme, consolider les informations sur les groupes et leurs fonctionnements, afin de les identifier et de les interpeller.

C’est en mobilisant les acteurs publics, privés, nationaux et internationaux que nous pourrons diminuer le nombre de cyberattaques, réduire leurs impacts et atteindre un niveau de risque acceptable pour nos économies et notre sécurité au quotidien.

Nous remercions particulièrement les personnes suivantes pour le temps qu'elles nous ont accordé dans le cadre de notre recherche.

Alain Bernard, directeur de la cybersécurité, L'Oréal
Yohann Cohen, directeur des opérations, Systemis
Michael Fiey, Chief Information Security Officer, ArcelorMittal Europe
Benoît Lemaire, Head of Cybersecurity, SGS France
Olivier Nautet, Head of IT Risk Management and Cybersecurity, Group CISO, BNP Paribas
Emile Pérez, directeur de la sécurité et de l'intelligence économique, Groupe EDF
Jean-Yves Poichotte, directeur de la cyber sécurité du groupe, Sanofi
Thierry Rouquet, Director Business Development IoT, Cisco

Philipp Amann, Head of Unit Expertise & Stakeholder Management - EC3, Europol
Olivier Berni, directeur du CERT, Société générale
Johanna Brousse, vice-procureur, cheffe de section pôle Cybercriminalité, Ministère de la Justice
Catherine Chambon, sous-directrice de la lutte contre la cybercriminalité, Direction centrale de la police judiciaire (DCPJ)
François Deruty, sous-directeur Opérations et chef du CERT-FR, Agence nationale de la sécurité des systèmes d'information (Anssi)
Eric Freyssinet, colonel, chef du pôle national de lutte contre les cybermenaces, Gendarmerie nationale
Adrien Frier, sous-directeur de la lutte contre le terrorisme et la criminalité organisée, Ministère de l'Europe et des Affaires étrangères
Guillaume Greber, directeur software cybersécurité, IBM France
Jean-Charles Griviaud, Chief Security Officer, Cisco
Alban de Mailly Nesle, directeur des Risques et des Investissements, AXA
Sébastien Moras, directeur de cabinet, Europol
Bernard Ourghanlian, Chief Technology Officer et Chief Security Officer, Microsoft France
Jean-Philippe Pagès, directeur Industrie & Services, Bessé
Sergio Pierro, Cyber & PI Senior Underwriter, AXA XL
Fabien Rech, Vice President EMEA Major Accounts, McAfee
Orlando Scott-Cowley, Regional Leader, Security & Compliance Business Acceleration for Europe, Middle East and Africa, AWS
Lisa Segovia, diplomate - secrétaire des affaires étrangères, Ministère de l'Europe et des Affaires étrangères
Edvardas Šileris, Head of European Cybercrime Centre (EC3), Europol
Stéphane Vauterin, Cyber, Financial & Professional Lines Manager France, AXA XL