Les ransomwares semblent souvent être un problème insurmontable qui nous tourmentera à jamais, mais des données récentes suggèrent que nous pourrions enfin faire des progrès dans ce domaine. La clé pour résoudre les problèmes les plus difficiles est de bien comprendre l’ampleur et la portée des menaces, d’analyser leur fonctionnement interne et de concevoir des moyens stratégiques pour s’attaquer aux causes premières. Nous devons traiter le mal à la racine certes, mais nous avons aussi besoin de ‘médicaments‘ pour traiter les symptômes.
Établir la confiance
Évaluer l’ampleur et la portée est plus difficile qu’il n’y paraît. Pendant des années, la communauté IT a diabolisé les victimes pour leurs “échecs” qui ont conduit à de telles compromissions, accusant ainsi les gens d’avoir cliqué sur des liens/objets, branché des clés USB (ou des disquettes !) ou bien d’avoir été trop occupés pour avoir remarqué la publication d’un correctif de type ‘alerte rouge’ provenant d’un éditeur majeur, nécessitant une action immédiate. Toutes ces éléments ont généré un fort sentiment de honte chez les victimes et ont débouché sur une minimisation des signalements de ces actes cybercriminels.
De plus, de nombreuses entreprises ne souhaitent pas non plus que cette exposition publique et le sentiment de honte qui en découle viennent nuire à leur réputation ou impacter leur valeur boursière : en effet, plus il y a de personnes conscientes de votre statut de victime, plus vous risquez de subir des dommages supplémentaires au-delà du cybercrime lui-même. Bien sûr, il existe également une bonne dose de fatalisme : à quoi bon signaler ces cybercrimes, la police ne peut pas vraiment aider, les cybercriminels se trouvent dans des États ennemis et intouchables, … etc.
Les dernières directives de la SEC (Securities and Exchange Commission) et les prochaines règles CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act) de la CISA (Cybersecurity and Infrastructure Security Agency) vont tenter de combler ce manque de visibilité. Ce contexte a probablement augmenté le nombre d’organisations américaines disposées à demander de l’aide en standardisant le signalement des incidents.
Les dernières données de notre enquête Sophos intitulée ‘L’état des ransomwares’ (State of Ransomware) montrent que nous avons réalisé des progrès significatifs dans ce domaine. 98 % des organisations américaines (n=496) qui ont été victimes d’une attaque de ransomware ont signalé l’attaque aux forces de l’ordre ou aux régulateurs gouvernementaux. Mieux encore, 65 % de ceux qui ont contacté les autorités ont reçu de l’aide pour investiguer leur attaque, 63 % ont reçu des conseils et un tiers ont reçu de l’aide pour récupérer leurs données chiffrées ou volées.
Une proportion plus faible, 11 %, a déclaré qu’il était très difficile de signaler un incident et d’interagir avec les forces de l’ordre. D’après mon expérience, ce constat est dû au chaos et à la panique liés à la gestion des incidents et à un manque de préparation. Non seulement les organisations ont besoin d’un plan de réponse aux incidents bien rodé, mais il est également important d’avoir établi, au préalable, une relation avec la cyber-cavalerie, et ce avant la période de crise à proprement parler.
Savoir qui contacter en cas d’urgence est la raison pour laquelle nous avons créé le système simplifié 9-1-1 en 1968, aux États-Unis, pour les urgences policières, médicales et celles en cas d’incendie. Bien qu’il n’existe pas de numéro à trois chiffres pour appeler la cyber-cavalerie, le fait d’avoir son nom et son numéro dans les contacts de votre téléphone et sur votre plan de réponse aux incidents peut vous faciliter la vie en cas d’actions urgentes et rapides à lancer (en fait, les meilleures pratiques en matière de préparation aux incidents vous encourageraient à connaître à l’avance votre cyber-police locale, si possible. Il n’y a aucun mal à faire connaissance ou même à prendre un café avant que l’incendie ne se déclare réellement).
Où échouons-nous ?
Nous améliorons notre coopération et réduisons nos délais de réponse, ce qui constitue deux excellentes avancées. Il est formidable d’apprendre que presque tout le monde s’efforce désormais de signaler ces cybercrimes et que plus de la moitié tirent un bénéfice tangible de leur engagement. Le problème ici est qu’il s’agit uniquement de traiter les symptômes sans essayer d’agir véritablement en amont, à savoir en privilégiant les deux axes suivants : la prévention et la dissuasion.
Les appareils réseau présentant des vulnérabilités exposées et non corrigées ne sont pas traités assez rapidement, voire pas du tout. Dans notre analyse “Sophos Active Adversary Report for H1 2024“, nous avons constaté que dans près d’un sixième des incidents, les attaquants ont obtenu l’accès via des vulnérabilités exposées. Beaucoup de ces vulnérabilités disposaient de correctifs disponibles pendant des semaines, des mois, voire des années avant d’être utilisées pour lancer l’attaque en question.
Bien que l’authentification multifacteur ait fait son apparition, pour la plupart d’entre nous au sein de la communauté de la sécurité, dans les années 1990, avec les premiers brevets faisant référence à des technologies, alors en vigueur, telles que les beepers bidirectionnels, elle n’est toujours pas largement déployée au niveau des passerelles d’accès à distance des petites et moyennes entreprises. Dans au moins 56 % des cas analysés à partir des données du rapport 2023, les identifiants volés étaient à l’origine des violations constatées (le cas récent de Change Healthcare, qui a été piraté par des attaquants qui se sont introduits dans cette entreprise pesant plusieurs milliards de dollars via un seul serveur dépourvu de MFA, rappelle que de telles lacunes en termes de déploiement ne se limitent pas aux petites ou moyennes entreprises).
Bien sûr, ce n’est pas seulement à nous d’améliorer notre défense : en effet, les systèmes juridiques du monde entier n’ont pas fait beaucoup de progrès en matière de prévention et de dissuasion via l’incarcération par exemple. Même si le nombre d’arrestations et de perturbations des réseaux cybercriminels a augmenté, cette tendance ne contribue pas vraiment à résoudre ce problème qui représente tout de même plusieurs milliards de dollars. Étant donné que de nombreux cybercriminels se trouvent dans des pays peu coopératifs, il s’agit d’une tâche ardue à accomplir car l’incarcération n’est pas une option dans la plupart des cas.
Quelle est la prochaine étape ?
La réponse évidente est de se concentrer davantage sur ce qui fonctionne et de ne pas trop s’attarder sur ce qui ne peut pas être accompli. La plupart d’entre nous seraient contents de voir les personnes responsables, par exemple, du piratage des hôpitaux et des écoles derrière les barreaux, mais ce type de résultat est lent à obtenir et souvent inaccessible en raison de considérations géopolitiques.
Voici un bref roadmap montrant là où je pense que nous en sommes aujourd’hui.
- Nous devons tirer parti des données qui montrent un nombre élevé de victimes dans le monde signalant des attaques de ransomware aux forces de l’ordre pour favoriser le financement d’enquêteurs de police dédiés et formés aux ransomwares, qui pourront travailler à étendre les perturbations qui ont commencé à s’accélérer en 2023. Il y a eu quelques victoires sérieuses telles que QakBot, ALPHV/BlackCat et LockBit, mais à ce jour, il semble qu’il ne s’agisse que de légers ralentisseurs. Nous devons amplifier ces perturbations qui non seulement permettent de démanteler une grande partie de l’infrastructure nécessaire pour mener à bien ces attaques, mais qui sapent également le réseau de confiance entre les cybercriminels. C’est notre outil offensif le plus puissant.
- Nous devons améliorer nos défenses, ce qui représente une tâche énorme. Il existe un peu plus de 8,1 millions d’organisations aux États-Unis et environ 6,8 millions d’entre elles comptent moins de 500 employés : il s’agit là du groupe dont nous avons longuement évoqué dans notre dernier rapport Sophos sur les menaces. Les organisations de moins de 1 000 employés disposent rarement de personnel de sécurité dédié et possèdent généralement des équipes informatiques réduites. La CISA a fait un travail fantastique en publiant des listes pratiques de vulnérabilités exploitées et en fournissant d’autres conseils utiles, mais vous devez avoir un public à l’écoute pour que ces informations aient un véritable impact. La CISA essaie, mais elle se limite à un petit nombre de carottes et d’un bâton tout aussi petit pour provoquer le changement.
Il existe deux approches à ce sujet, mais les deux doivent être abordées comme une initiative mondiale et non comme un simple problème américain. Ce qui donne du pouvoir à ces cybercriminels réside en partie dans l’ampleur et l’efficacité avec lesquelles ils opèrent. Il faut les réduire de manière globale pour parvenir à des réductions d’activité significatives. Les produits doivent être plus sûrs à utiliser sans une intervention constante et les organisations doivent ajuster leur calcul de risque pour inclure la quantité et la qualité de leurs appareils et services exposés.
- Les fournisseurs de logiciels et d’équipements réseau doivent proposer des produits plus sécurisés et rendre la mise à jour de ces produits sûre et fluide. À cette fin, Sophos se joint à l’appel lancé par la CISA aux éditeurs de logiciels pour qu’ils s’engagent à continuer de développer des produits qui soient “Secure by Design“. Nous avons déjà réalisé d’énormes progrès au niveau de nombreux objectifs décrits dans l’approche “Secure by Design“, mais il reste toujours du travail à faire. En tant qu’acteur majeur du secteur, nous devons continuer à améliorer non seulement la qualité de notre code, mais aussi l’expérience en matière d’utilisation des produits, et ce en toute sécurité. Les sept éléments faisant partie de l’engagement de la CISA contribueront à combler les lacunes les plus fréquemment exploitées sur le terrain et à offrir une expérience plus sûre à tous les clients, même s’ils manquent d’expertise ou de capacité pour déployer toutes les mises à jour disponibles afin d’assurer leur sécurité.
- L’une des actions les plus importantes que nous puissions mettre en œuvre est de rendre la mise à jour simple ou, mieux encore, automatique. Comme nous l’avons vu avec les vulnérabilités des navigateurs et même les mises à jour logicielles sur nos téléphones mobiles, les mises à jour de sécurité continues et automatiques améliorent considérablement les résultats en matière de sécurité des clients. Tout comme votre navigateur, les pare-feu de Sophos utilisent par défaut des correctifs de sécurité d’urgence et sont surveillés en permanence pour détecter les intrusions susceptibles de présenter un risque pour les environnements des clients.
- Les entreprises doivent également assumer une plus grande responsabilité à l’égard des données privées qui leur sont confiées et évaluer plus précisément leurs risques de sécurité, notamment concernant les identifiants volés et les équipements Internet non corrigés. Sur le premier front, le travail soutenu des professionnels de la protection de la vie privée a fait connaître au public les concepts de contrôleurs de données et de processeurs de données, deux types différents de dépositaires de données, tous deux investis de responsabilités explicites dans le traitement correct des données privées. Sur ce dernier front, la CISA a annoncé un programme bêta pour les organisations basées aux États-Unis, qui inclut l’analyse des vulnérabilités figurant sur la liste des vulnérabilités exploitées connues (KEV : Known Exploited Vulnerabilities). De plus, les éditeurs de sécurité proposent des services similaires avec des capacités de remédiation ainsi que des services MDR (Managed Detection and Response) pour surveiller les exploitations actives.
- Enfin, et ce n’est pas le moins important, il y a notre vieil ami : l’abus de cryptomonnaie. Les actions ici semblent être similaires à celles visant le démantèlement : mais il faut aller plus loin. Les États-Unis s’attaquent activement aux mixers/tumblers de Bitcoin, et cette initiative doit se poursuivre et s’étendre pour devenir un effort international. Grâce à son cash flow extraordinairement élevé, le bitcoin lui-même est le seul moyen pratique de collecter et de blanchir d’importantes quantité de “richesse” acquises illégalement, mais la traçabilité inhérente à cette monnaie spécifique est une caractéristique, si une partie suffisante de l’écosystème peut être réglementée de manière significative. Poursuite des sanctions, fermeture des anonymiseurs/tumblers/mixers et mise en œuvre agressive des lois de type KYC (Know Your Customer) appliquées de manière mondiale ou au minimum lorsque les paiements de rançon satisfont la conformité des échanges commerciaux (puisque les gangs de ransomware ne récupèrent généralement pas leurs rançons aux États-Unis, ou dans des pays similaires accessibles aux forces de l’ordre) contribuera à ralentir l’hémorragie et à augmenter le risque pour ceux qui considèrent qu’il s’agit d’un cybercrime “sûr” avec un moyen facile de récupérer les fonds.
Loin d’être impuissant
La roue de la justice tourne avec une lenteur déconcertante, mais cette dernière prend de l’ampleur. Tandis que nous continuons à former et à éduquer les systèmes de justice et les force de l’ordre sur ces cybercrimes modernes, nous devons continuer à exercer une pression à tous les niveaux de l’infrastructure des ransomwares : à savoir, mettre la main sur l’argent; poursuivre agressivement les auteurs de tels actes dans les endroits où ils peuvent être poursuivis ; améliorer notre préparation ; saper le réseau de confiance des cybercriminels ; et se rassembler tous au-delà des frontières internationales, publiques et privées.
Pas de temps à perdre. Allons-y.
Billet inspiré de Defenders assemble: Time to get in the game, sur le Blog Sophos.