Les ransomwares comptent parmi les menaces les plus souvent évoquées par les intervenants du FIC 2020. Ordinateurs PC ou Mac, serveurs Linux ou smartphones Android, tous en sont victimes. Mais les rançongiciels commencent aussi à cibler d’autres infrastructures plus stratégiques…
Dans ses dernières prédictions annuelles, le Forrester l’affirme : « En 2020, les cybercriminels cibleront un appareil IoT pour obtenir une rançon du fabricant de l’appareil (ransomware). ».
Lors de la dernière Def Con à Las Vegas, deux chercheurs de Pen Test Partners ont montrer qu’ils pouvaient installer à distance un ransomware dans un thermostat intelligent et vous réclamer une rançon pour que vous puissiez reprendre le contrôle de la température du foyer !
Les IoT, une cible facile
Symantec avait déjà évoqué dès 2018 le risque de voir des ransomwares débarquer sur nos « wearables », autrement dit nos montres connectées, coachs sportifs et autres objets destinés à surveiller notre santé. Les chercheurs avaient même trouvé un nom pour ces rançongiciels : les ransomwears… L’idée de voir les rançongiciels s’en prendre à d’autres appareils que nos ordinateurs n’est donc pas nouvelle.
Le problème est d’autant plus inquiétant que plusieurs études ont montré qu’en matière de sécurité des IoT, peu de progrès avaient été réalisés. Trop de mots de passe par défaut sont conservés, et les entreprises – quand elle déploie une flotte d’objets connectés – tendent à appliquer le même mot de passe à tous leurs objets.
Nouvelle stratégie : prendre des infrastructures en otage
Mais l’IOT ne sera pas la seule cible d’une nouvelle génération de rançongiciels. Pour Emmanuel Mériot, Country Manager France et Espagne chez Darktrace, « les ransomwares ne disparaîtront pas en 2020. Bien au contraire, ils deviendront de plus en plus intelligents et ciblés. Bien que la plupart des ransomwares aient infiltré jusqu’à présent les réseaux informatiques traditionnels et soient motivés principalement par des motifs financiers, les pirates informatiques sont susceptibles de développer des logiciels plus sophistiqués, spécialement conçus pour perturber les infrastructures étatiques les plus critiques. ».
C’est en effet l’un des grands risques de la décennie et l’une grandes des tendances évoquées par tous les acteurs de la sécurité. Les cibles des ransomwares vont évoluer. Ils vont commencer à viser les infrastructures. Et certains de ces rançongiciels d’un genre nouveau seront financés par des fonds gouvernementaux. Pour Emmanuel Mériot, « ces nouvelles campagnes de ransomwares, à l’évolution rapide, cibleront les réseaux de contrôle industriels dans les secteurs de l’énergie, des télécommunications, de l’eau et des transports, ainsi que d’autres systèmes dont dépendent les services publics. »
De récents ransomwares, tels que Snake, laissent effectivement entrevoir de nouveaux terrains d’action. Christophe Lambert, Directeur Technique de Cohesity, explique ainsi que « une des spécificités de Snake est d’encrypter les données au niveau des fichiers et non du système de fichiers. Cette caractéristique a plusieurs conséquences : premièrement, elle multiplie les points d’encryption et rend donc la tâche de restauration bien plus difficile. Deuxièmement, elle permet au ransomware d’être efficace, y compris sur les systèmes de fichiers propriétaires et/ou exotiques, largement répandus sur les systèmes SCADA, les clouds publics et les solutions de protection et de gestion des données secondaires. »
Or les systèmes SCADA (Système de Contrôle et d’Acquisition de Données en Temps réel) sont justement aux cœurs des installations industrielles dont ils contrôlent le bon fonctionnement. Ils sont devenus le talon d’Achille de nos infrastructures industrielles et énergétiques.
Dans une de ses tribunes, l’éditeur Arcserve rappelle qu’une meilleure préparation à cette vague de cybercriminalité est donc primordiale. « Au lieu de se reposer entièrement sur des solutions de sécurité, les responsables informatiques doivent privilégier une double approche dans la prévention des ransomwares pour ne pas avoir à choisir entre perdre leurs données ou payer la rançon, sachant que verser la rançon ne garantit en rien la récupération des données. Cela signifie non seulement investir dans des logiciels plus avancés de détection et de neutralisation des menaces, mais aussi utiliser des protocoles de sauvegarde des données et de reprise après sinistre adaptés aux exigences actuelles ».
Bref, on n’a pas fini d’entendre parler des dégâts et conséquences parfois désastreuses engendrées par ces logiciels qui prennent données, machines, IoT, infrastructures et utilisateurs en otage…