Cyberdélinquants « Amateurs » : Les Ennemis Numérique N°1 Des PME !

Aujourd’hui ce n’est pas l’élite des Black Hat Hackers qui représente un risque majeur direct pour les PME, TPE, auto-entrepreneur.euse.s, ou pour les particuliers  ! Certains groupes de Black Hat Hackers ne sont que des fournisseurs d’outils servant la prolifération d’une petite cyberdélinquance low-tech.  Ce n’est pas faire offense à nos chef.e.s d’entreprise que d’écrire que leurs entreprises – constitutives du tissu économique français –  ne sont pour les Black Hat Hackers – que du « menu fretin » par rapport aux  GAFAM aux NATU et autres organisations et entreprises de grande taille et/ou gérant des données sensibles.

Par ailleurs les « grosses structures » sont de plus en plus structurées pour faire face aux attaques peu élaborées.  Elles ne sont certes pas à l’abri d’une erreur d’une collaboratrice ou d’un collaborateur laissant entrer le loup malfaisant et peu compétent techniquement dans la bergerie, mais elles sont mieux armées pour réagir rapidement et efficacement.

Les « petites frappes » de la cyberdélinquance

La réalité d’aujourd’hui – dans la «  vraie vie sur Internet » –  est la prolifération de « petites frappes » de la cyberdélinquance. Les entreprises à taille humaine sont, de fait, devenues des cibles privilégiées par ces derniers.  La raison en est simple : se transformer en cyberdélinquant ne demande nullement d’avoir des connaissances technologiques particulièrement développées. Pour initier une extorsion d’argent en prenant en otage des données personnelles,  il « suffit » de se doter d’un kit RaaS  (Ransomware-as-a-Service).  La plus grande compétence exigée est de payer le Kit. Certains ne mesurent pas les conséquences pénales d’une tentative d’extorsion.  Mineur ou pas, l’extorsion n’est pas un jeu !  Comme le rappelle sur son site le Cabinet  Mathias Avocats une attaque au rançongiciel « est  susceptible de revêtir plusieurs qualifications juridiques tant dans le cadre des délits liés aux atteintes aux systèmes d’information, que dans le cadre des délits les plus classiques. À noter sur ce dernier point que l’extorsion de fonds notamment est plus sévèrement sanctionnée« .

Concernant l’absence de compétence technologique requise,  il en est de même pour entreprendre une escroquerie aux faux ordres de virement (FOVI) plus connue sous l’appellation  « arnaque au président ». Ce phénomène apparu dans les années 2010  et qui est à l’origine de nombreux désastres économiques  – qui peut s’opérer par téléphone ou par mail – nécessite d’avoir une connaissance précise de l’organisation de l’entreprise,  de la méthode, du culot et du bagou ! Nul besoin, là encore, d’avoir une grande maîtrise technologique* « seulement » une maîtrise méthodologique. ( *hormis le fait de ne pas être « traçable » ou d’agir d’un pays où il sera difficile pour l’entreprise victime d’engager des poursuites pénales. ). D’un point de vue quantitatif comme le montre l’infographie publiée par Stephane Manhes l’éditeur d’altospam en janvier 2018 les chiffres sont alarmants.   

Des cyberattaques en chute « hausse libre »

Publié par ThreatMetrix, le rapport « Cybercrime Report 2017 : A Year in Review » le confirme : les cyberattaques sont en « hausse libre ». Selon cette société spécialisée dans la protection des identités numériques, les cyberattaques avec prise de contrôle ont connu une hausse de 170 %, Il ne s’agit pas de faire ici un état des lieux de tous les cyberdélits possibles qui sont à la portée de Monsieur et Madame tout le monde. Le fléau des fléaux pour les TPE et PME… demeure les attaques rançongiciel à visée strictement financière. Même s’il est constaté un infléchissement conséquent de ce type d’attaque sur cette dernière année il serait présomptueux de crier victoire et de prédire la disparition imminente de ces derniers.  Cette  méthodologie d’extorsion, post Wannacry,  va probablement muter. A contrario, il est fort simple de s’en protéger en se basant sur des principes qui relèvent du simple bon sens !

Rançongiciels :  4 règles de bon sens !

Règle N° 1 : Sauvegardez régulièrement :

Nul n’est à l’abri de se faire duper, «  errare internetum est »  il s’agit donc de systématiser des backup (sauvegarde) chaque jour, de façon globale, et d’inviter vos collaboratrices et collaborateurs à faire de même ! Non ce n’est pas pénible, c’est un réflexe vital ! Tout le monde a le mauvais souvenir d’une journée de travail perdue (au minimum) pour d’autres raisons, mais liée à la même problématique : l’absence de sauvegarde., et comme le dit un proverbe chinois : « La première fois c’est une erreur, la seconde c’est qu’on le fait exprès. »

Règle N° 2  :  De la pédagogie toujours et encore :

Outre la pédagogie en interne – pour tenir informé ses collaboratrices et collaborateurs des risques -, tout le monde a le droit de commettre des erreurs. Au demeurant, par delà mes conseils qui ne sont le fruit que du bon sens, et pour aller plus loin, je vous invite à vous doter d’un kit d’information « anti-ransomware » un livre blanc proposé par Sophos. Une « fiche réflexe » est également à votre disposition sur cybermalveillance.gouv.fr . N’hésitez pas à diffuser ce type d’outils pédagogiques de défense préventive.

Pour ce qui concerne, la fraude au CEO (arnaque au président) et la fraude de type Business Email Compromise (BEC) et les prévenir, je vous recommande  de consulter et partager les documents pédagogiques mise en ligne par la police belge le 17 octobre 2018.

Règle N°3 : Ne jamais payer ! jamais :

Saviez-vous que de nombreuses attaques au rançongiciel aboutissent pour la bonne et simple raison que le malheureux salarié piègé paye la rançon exigée de sa poche pour obtenir la clé de décryptage . Il va de soi que la première chose à faire est de ne jamais céder à ce genre de chantage. Facile à écrire ! Encore faut-il que le salarié piégé ne craigne pas d’informer sa direction de son erreur, qu’il puisse sans crainte alerter qui de droit de sa maladresse sans craindre de sanctions.

Règle N°4 : Prévenez les professionnels :

En France, prévenez immédiatement les Investigateurs en Cybercriminalité (ICC/Police)  et les N-TECH Gendarmerie ! Un N-Tech est un militaire de la Gendarmerie nationale formé aux nouvelles technologies au sein de son institution et de l’Université de technologie de Troyes (UTT).

La baisse des attaques rançongiciel, une vraie fausse bonne nouvelle… ? 

Comme je l’évoquais, la baisse des attaques de type rançongiciel semble engagée. Un rapport sur les menaces produit par McAfee Labs de juin 2018 indiquait une baisse de ce type d’attaques d’environ 32%. Le pourcentage a beau être conséquent. il s’agit d’attaque déclarée, et ils ne s’agit pas pour autant de baisser la garde ! La fin de ces attaques ransomware n’est pas pour demain. Elles vont muter et devenir plus sophistiquées. Comme l’a noté Danny Palmer en juillet 2018 « une attaque en mars contre la ville d’Atlanta a provoqué le chiffrement de données et conduit à la fermeture d’un grand nombre de services en ligne. La ville n’a pas payé la rançon, mais l’impact de l’attaque devrait coûter au moins 2,6 millions de dollars à Atlanta. … ».

En face de la diminution observée, à titre informel, on observe dans le même temps une montée en puissance du cryptojacking ! Toutefois le Cryptojacking est une attaque beaucoup plus rentable pour le cyberdélinquant.  Contrairement au Rançongiciel, ce type d’attaque est en mesure de garantir au cyberdélinquant un revenu régulier…. Par contre elle n’est techniquement  pas à la portée d’un cyberdélinquant novice… Pour écrire les choses de façon triviales, ceux et celles qui partiquent le cryptojacking ne jouent pas dans la même cour. Par ailleurs, si votre ordinateur et des milliers d’autres infectés servent le cyberdélinquant dans son délit –  à savoir créer de la cryptomonnaie – vous êtes « un complice » à votre insu, mais cela ne vous occasionne pas de perte financière… 

En tout état de cause,  les rançongiciels ont encore de beaux jours devant eux.  Wannacry again ? (vous voulez pleurer à nouveau ? ) Non, donc  à surveiller et à suivre.

Je ne sais pas en finissant cet article si vous en savez plus, j’espère que vous n’en savez pas moins et rappelons nous, lorsque nous doutons,  les sages paroles de Francis Bacon :  » le vrai pouvoir, c’est la connaissance« .

Yannick Chatelain