Et maintenant que le ransomware touche aussi les objets…
Le ransomware commence à toucher les objets. Des demandes de rançon pourraient fort bien venir de nos surgélateurs ou nos téléviseurs, estime David Harley, Senior Research Fellow, ESET.
Au fur et à mesure que tout devient «intelligent», le nombre de services susceptibles d’être perturbés par des logiciels malveillants -qu’une rançon soit exigée ou non- augmente. Il n’est pas sûr, en revanche, que ce nombre soit très important. Le ransomware est un phénomène difficile à cerner. «Il ne s’agit pas pour autant d’ignorer le phénomène, estime David Harley. Les ransomwares de la première génération ayant montré leurs limites, d’autres arrivent, bien plus efficaces. Et ils ne se limitent plus à l’environnement professionnel.»
«Ne faites pas de prédictions sur ce qui attend l’informatique au cours de votre vie», soulignait avec sagesse Daniel Delbert McCracken. Il n’empêche : il est toujours intéressant d’extrapoler ce qui se passe, estime le spécialiste d’ESET, éditeur distribué par MGK Technologies. «Les statistiques démontrent que l’on pourrait dénombrer jusqu’à 30 milliards d’équipements connectés à l’Internet d’ici 2020. Tout indique qu’ils seront de plus en plus des cibles de premier choix…»
Nouveau ? Pas vraiment
Le premier ransomware connu est apparu en 1989. Les victimes du cheval de Troie baptisé AIDS reçoivent alors par courrier un disque intitulé «AIDS Information Introductory Diskette». Suite à l’insertion du disque, le cheval de Troie chiffre les noms de fichier sur le lecteur C et masque les répertoires, ce qui rend le système d’exploitation inutilisable. Pour inverser les effets de ce cheval de Troie, les victimes sont invitées à envoyer 189 USD à une adresse postale au Panama…
«Outre la popularité croissante du ransomware parmi les attaquants, on constate une évolution au niveau du marché cible de ces attaques, poursuit David Harley. Ces attaques ont commencé en ciblant des individus; les ransomwares chiffraient des photos et fichiers personnels, et les attaquants demandaient quelques centaines de dollars pour la clé de déchiffrement. Dans le monde des attaques en constante évolution, les attaques de ransomware, qui ciblaient généralement des individus, ciblent désormais fréquemment des entreprises.»
L’attaque elle-même formait un ransomware classique, en ce sens qu’elle privait la victime de ses données. Plus tard, le DoS et le DDoS sont attaqués aux entreprises privées de la possibilité de bénéficier des services qu’elles fournissent : alors que les clients sont privés de ces services, c’est le fournisseur qui doit payer. Toutefois, à mesure que l’utilisation d’Internet par les particuliers a explosé, la surface d’attaque et l’éventail des cibles potentielles se sont également élargis. Ceci a probablement une influence sur la distribution de proximité de la plupart des ransomwares modernes.
«Bien que les spécialistes des médias et du marketing des produits de sécurité ont tendance à s’emballer lorsqu’une victime très visible ou de grande valeur est divulguée -les sites de soins de santé, les établissements d’enseignement, les fournisseurs de services téléphoniques, etc.- il est inopportun de supposer que ces établissements sont toujours ciblés de façon spécifique. Aucune tendance ne se dessine. De même, il serait stupide de dire ‘ça n’arrive jamais !’ Le NHS Digital britannique, par exemple, réfute le point selon lequel les soins de santé soient spécifiquement ciblés -un point de vue que je partage, en général- tout en reconnaissant que les sites de soins de santé ont souvent été victimes de ces attaques…»
Cela pourrait-il changer ?
À l’heure actuelle, certaines organisations semblent toujours prêtes à dépenser des sommes plutôt importantes pour payer la rançon. Dans certains cas, il s’agit d’une «stratégie de sauvegarde» raisonnable, reconnaissant qu’il est judicieux de maintenir un coffre de guerre, au cas où les défenses techniques de l’organisation échoueraient, pense le spécialiste de ESET. Dans d’autres cas, les entreprises peuvent espérer que le paiement sera plus rentable que la mise en place de moyens de défense supplémentaires complexes qui ne peuvent pas toujours être pleinement efficaces.
«L’augmentation du volume des attaques de ransomware où le paiement n’entraine pas la rétribution des données peut limiter la progression du phénomène, analyse encore David Harley. En ce cas, les entreprises qui sont encore perçues comme peu susceptibles de durcir leurs défenses au mieux de leurs capacités pourraient néanmoins être ciblées plus spécifiquement. Après tout, il est probable qu’une attaque réussie contre une grande organisation sera plus rentable et plus rapide que des attaques généralisées contre des utilisateurs d’ordinateurs et des adresses électroniques au hasard.»
Les données par rapport aux dispositifs
«Si l’on examine les attaques sur les smartphones et autres appareils mobiles, on constate que ceux-ci tendent à se concentrer moins sur les données et plus sur la négation de l’utilisation de l’appareil et des services qu’il facilite, observe David Harley. Ces outils, qui mêlent usages privés et usages professionnels, ont d’autant plus de valeur pour leurs propriétaires.»
Bref, la surface d’attaque augmente, avec des dispositifs et des capteurs en réseau intégrés dans des objets et des contextes inattendus : des routeurs aux réfrigérateurs et aux compteurs intelligents, des téléviseurs aux jouets, des centrales électriques aux pacemakers. Au fur et à mesure que tout devient ‘intelligent’, le nombre de services susceptibles d’être perturbés par des logiciels malveillants -qu’une rançon soit exigée ou non- augmente.
«D’autre part, conclut David Harley, il n’est pas sûr que la sécurité de l’IoT évolue au même rythme que la croissance du marché. Nous voyons déjà beaucoup de pirates informatiques s’intéresser à la monétisation de l’insécurité de l’IoT. Certes, les cas sont encore rares. Mais nous ne devrions pas sous-estimer la ténacité et la capacité du monde numérique souterrain à entrainer des rebondissements à tout le moins surprenants…»