David Sancho – Chercheur principal anti-virus –  Trend Micro

Désormais, les cyber-criminels misent à fond sur l’extorsion numérique. Leur modèle commercial, lui, n’a rien de neuf. Le classique « faites telle chose pour moi, donnez-moi de l’argent ou je vous brise les jambes » se traduit parfaitement en « faites telle chose pour moi, donnez-moi de l’argent parce que je détiens vos données. » L’extorsion est un phénomène qui traverse les époques et, aussi immoral soit-il, il est aussi un bon modèle commercial. Cela ne m’étonne donc pas du tout que sa variante numérique connaisse aujourd’hui une période faste. Voyez plutôt l’immense succès des rançongiciels…

Chantage contre extorsion

Tout comme c’est le cas dans le monde réel, il existe une différence, dans l’univers numérique, entre extorsion et chantage. Dans les deux cas, le deuxième modèle ne fonctionne pas bien, sauf en présence de quelques circonstances exceptionnelles.

Dans le cas du chantage, un criminel vous vole les données de votre entreprise en échange d’une rançon. Bell Canada, opérateur télécoms, fut par exemple victime d’une tentative de chantage. Les malfrats se sont emparés de données sensibles de ce fournisseur et ont menacé de les rendre publiques si Bell refusait de passer à la caisse. Dans ce genre de cas, la victime doit se fier à l’honnêteté du criminel, alors même qu’il n’est pas, par définition, du genre le plus fiable qui soit. Rien n’empêche par ailleurs les voleurs de publier malgré tout les données après paiement ou, tout simplement, de réclamer une nouvelle rançon le mois suivant. Quiconque réfléchit un instant de manière rationnelle se rend rapidement compte que les données volées sont, d’une manière ou d’une autre, perdues. Ne pas payer et tolérer éventuellement une mauvaise publicité est dès lors la seule option.

Il m’arrive parfois de constater que des cyber-criminels appliquent cette technique de chantage mais, en pratique, ils n’engrangent pas d’argent. Le chantage ne fonctionne que lorsque la cible ne réagit pas de manière rationnelle. Un adolescent, par exemple, sera tenté de payer de l’argent (et de continuer à payer) pour éviter que quelqu’un fasse fuiter des photos le – ou la – représentant nu(e).

Il n’en reste pas moins que certains cyber-criminels choisissent le registre de la rage numérique. Une stratégie d’attaque très prisée consiste à paralyser le site Internet d’une entreprise par le biais d’une attaque DDoS et d’exiger de l’argent pour y mettre fin. Ici encore, la cible n’a aucune garantie que les problèmes s’arrêteront après paiement. Certaines victimes paieront sans doute une ou deux fois, jusqu’à ce qu’elles se rendent compte que le criminel peut continuer à exiger indéfiniment de l’argent.

Fin d’année dernière, la chanteuse australienne Sia a été confrontée à du chantage. Les criminels menaçaient de diffuser des photos d’elle, nue, si elle ne payait pas. Elle a alors pris la décision incroyablement courageuse de partager elle-même les photos. Cela n’a rien d’évident mais, dans ce genre de scénario, c’est bel et bien la meilleure option possible.

L’extorsion isolée est plus efficace

Pour réussir à soutirer de l’argent, un cyber-criminel doit veiller à ce que le degré de confiance dont doive vous témoigner la victime ne soit pas trop élevé. Voilà pourquoi le rançongiciel fonctionne bien. Vos données sont prises en otage mais pas dérobées. Une fois le paiement de la rançon effectué, vous recevez une clé qui vous permet de déverrouiller vos données. Dès l’instant où le criminel tient sa parole, vous savez que vous obtenez ce pour quoi vous avez payé. Le malfaiteur n’a en outre aucun intérêt à ne pas tenir sa promesse puisque vous ne paierez de toute façon pas une seconde fois.

Je m’attends à ce que ce type d’attaques deviennent sans cesse plus nombreuses et
sophistiquées à l’avenir. Si des hackers piratent une organisation et modifient les processus opérationnels de telle sorte que la production soit compromise, la direction paiera volontiers pour remettre l’entreprise sur les rails le plus rapidement possible. Elle obtient en outre la garantie de pouvoir résoudre le problème et l’assurance que les hackers ne pourront pas provoquer deux fois le même blocage.

Le fait qu’un nombre sans cesse croissant de dispositifs en tous genres soient connectés à Internet multiplie les possibilités qui sont offertes aux hackers. Sans doute une société ne voudra- t-elle pas payer pour “libérer” un PC pris en otage (mieux vaut réinitialiser rapidement l’engin) mais les options disponibles sont nettement plus limitées lorsqu’il s’agit d’un robot de production intégré à la chaîne de montage. Imaginez par ailleurs que votre voiture tombe brutalement en panne alors que vous vous rendez à une réunion importante. Une petite demande de rançon vous paraîtra
alors soudain une option très attrayante.

L’extorsion a malheureusement fait ses preuves en tant que modèle économique intéressant depuis de nombreuses années. A l’ère du numérique, les candidats maîtres-chanteurs disposent tout simplement de davantage de possibilités. Si vous êtes victime d’une attaque finement exécutée, étudiez toutes vos options avant de dégainer votre carnet de chèques. Peut-être vous sera-t- il possible de restaurer une sauvegarde de vos données, même si elle ne sont pas parfaitement à jour. Dans le cas d’une attaque de type rançongiciel, un fournisseur de solution anti-virus peut éventuellement vous aider. Certaines attaques ne sont par ailleurs pas aussi infaillibles qu’il n’y paraît de prime abord, ce qui vous permet malgré tout de récupérer vos données. En payant une rançon, vous ne faites qu’étayer le plan d’affaires des criminels. Céder ne doit donc être que votre ultime recours.