fbpx

Profitant de réseaux complexes à sécuriser et parfois obsolètes, les hackers prennent en otage les données des collectivités pour demander des rançons.

par Servan Le Janne | 4 novembre 2019

Retour au papier

L’ad­mi­nis­tra­tion du Grand Cognac tient sur un petit tabou­ret. Ce mardi 22 octobre 2019, les employés de la commu­nauté d’ag­glo­mé­ra­tion charen­taise s’en servent tour à tour pour accé­der aux clas­seurs d’une grande étagère. Puis ils redes­cendent sur la moquette grise et regagnent leur poste. De retour devant leur écran, où un logi­ciel est occupé à scan­ner le disque dur, chacun plonge dans un mille-feuille de dossiers pour extraire ici une donnée finan­cière, là un docu­ment d’ur­ba­nisme. Mais tout n’y est pas. Dix jours plus tôt, la collec­ti­vité a perdu une grande partie de ses données.

Dans la nuit de vendredi à samedi 13 octobre, vers une heure du matin, un virus a appa­rem­ment péné­tré un ordi­na­teur via la messa­ge­rie pour se propa­ger sur le réseau. Quelques e-mails ont ensuite été envoyés pendant le week-end, sans jamais arri­ver à desti­na­tion. Personne ne s’en est inquiété avant de reve­nir au bureau, le lundi suivant. Le président de l’ag­glo­mé­ra­tion, Jérôme Souris­seau, et ses équipes ont alors réalisé que des milliers de fichiers étaient illi­sibles. Sur le serveur central, des infor­ma­tions internes mais aussi des docu­ments d’ur­ba­nisme étaient chif­frés. Voyant jusqu’à 10 années de travail partir en fumée, les agents ont été invi­tés à partir en vacances.

Alors que la police et la gendar­me­rie lançaient une enquête mercredi 16 octobre, l’ag­glo­mé­ra­tion de près de 70 000 habi­tants se mettait à la recherche de nouveaux ordi­na­teurs. Le dimanche suivant, une demande de rançon lui a été adres­sée. Un pirate récla­mait 200 000 dollars (179 000 euros) contre une clé permet­tant de déchif­frer les données perdues. Sachant que les dégâts sont évalués à « au moins 150 000 euros », Jérôme Souris­seau affirme n’avoir aucune inten­tion de payer. Il préfère pour l’heure essayer de récu­pé­rer les infor­ma­tions auprès d’autres orga­nismes et promet que le fonc­tion­ne­ment rede­vien­dra normal en une dizaine de jours.

Au cours de leurs recherches, les forces de l’ordre ont iden­ti­fié une opéra­tion non seule­ment simi­laire, mais aussi conco­mi­tante. Dans la nuit de vendredi à samedi 13 octobre, un autre virus se propa­geait aux ordi­na­teurs de la chaîne M6, privant ses équipes de cartes, d’images d’ar­chives, d’e-mails et de lignes télé­pho­niques. L’at­taque se distingue de celle subie par TV5Monde en 2015, en ceci qu’elle n’avait pas pour but de diffu­ser des messages à l’an­tenne. Cette fois, « une demande de rançon » a été évoquée en interne. La direc­tion a beau démen­tir, tout porte à croire que M6, comme Grand Cognac, a été victime d’un ransom­ware, un logi­ciel malveillant qui prend en otage des données afin d’en tirer de l’argent.

Crédits : States­coop

Aux États-Unis, ce type d’of­fen­sives a été multi­plié par 48 entre 2013 et octobre 2019, selon les chiffres compi­lés par StateS­coop. Depuis le début de l’an­née, le média en ligne en a recensé 97. Six d’entre elles faisaient partie des dix plus lucra­tives. Dans un rapport publié en mai dernier, l’ana­lyste Allan Liska pointe l’aug­men­ta­tion du nombre de pira­tages de collec­ti­vi­tés améri­caines par des ransom­wares. Après le pic de 2016, il a observé une baisse l’an­née suivante, une légère résur­gence en 2018, et surtout une forte hausse cette année. Outre-Atlan­tique, une centaine d’in­tru­sions par ransom­ware ont été repé­rées par le secteur public, contre 51 l’an passé.

Pour Allan Liska, cette infla­tion s’ex­plique par un chan­ge­ment de stra­té­gie des hackers. Au lieu de cibler une Ville parti­cu­lière, ils passent par les pres­ta­taires qui gèrent les serveurs de nombreuses petites collec­ti­vi­tés de manière à faire coup double en exploi­tant une brèche. Une approche sans discer­ne­ment qui n’est pas sans rappe­ler celle utili­sée par le premier auteur d’un ransom­ware, en 1989.

Tache d’huile

À l’aé­ro­port Schi­pol d’Am­ster­dam, ce jour d’avril 1989, un cri résonne dans le hall. « Le docteur Popp a été empoi­sonné ! » hurle un homme en parlant de lui à la troi­sième personne. En tran­sit entre le Kenya et les États-Unis, le biolo­giste améri­cain Joseph Popp fait une nouvelle crise de para­noïa. Nouvelle crise, car ce consul­tant de l’Or­ga­ni­sa­tion mondiale de la santé (OMS) est convaincu que « les gouver­ne­ments du tiers monde » conservent des tech­niques de protec­tion contre le sida hors de portée de leurs popu­la­tions pour contrô­ler la crois­sance démo­gra­phique.

Ces délires l’ont poussé à diffu­ser sa propre infec­tion : entre le 7 et le 11 décembre 1989, 20 000 personnes ont reçu une enve­­­loppe conte­­­nant une disquette de « rensei­­­gne­­­ments intro­­­duc­­­tifs sur le Sida ». En réalité, elle rece­lait un programme qui chiffre les données et propose de les restau­­­rer contre une rede­­­vance annuelle de 189 dollars. Le virus s’ap­pelle PC Cyborg. En se lais­sant aller à une nouvelle crise para­noïaque, à l’aé­ro­port de Schi­pol d’Am­ster­dam, Joseph Popp se trahit. La police inter­vient. Parmi ses affaires, elle retrouve un auto­col­lant « PC Cyborg ».

Pendant plus d’une décen­nie, ce ransom­ware reste un cas isolé. Il faut attendre la popu­la­ri­sa­tion des e-mails pour que d’autres pirates tentent d’ex­torquer des inter­nautes. En 2006 une flopée de programmes bapti­sés Gpcode, TROJ.RANSOM.A, Jrot­ten, Cryzip, WinLock, MayAr­chive ou Archi­veus font tache d’huile. Au fur et à mesure de leur montée en puis­sance, leurs auteurs voient plus gros et se tournent vers les insti­tu­tions. En 2012, Reve­ton imite d’abord un message du FBI pour trom­per les parti­cu­liers. Un peu plus d’un an plus tard, le ransom­ware Cryp­toLo­cker s’en prend à la police de Swan­sea, dans le Massa­chu­setts. Ses respon­sables aver­tissent le FBI, le vrai, et prennent la « déci­sion profes­sion­nelle » de lâcher 750 dollars pour récu­pé­rer leurs données.

Derrière Cryp­toLo­cker et Gameo­ver Zeus, un autre virus alors très utilisé, l’agence améri­caine remonte la trace d’Evge­niy Boga­chev. Si les programmes sont mis hors d’état de nuire, le pirate russe court toujours et une récom­pense de trois millions de dollars est aujourd’­hui promise contre sa capture. À partir de 2016, une nouvelle menace émerge sous le nom de SamSam. Ce logi­ciel assiège Newark, dans le New Jersey, l’agence des trans­ports du Colo­rado, le port de San Diego et même d’At­lanta, ville de 498 000 habi­tants.

Tandis que Newark et New Jersey paient 30 000 dollars, Atlanta refuse de céder. L’in­tran­si­geance a peut-être l’avan­tage de décou­ra­ger d’autres hackers. Mais selon un rapport de l’At­lanta Jour­nal Cons­ti­tu­tion, la commune de Geor­gie pour­rait en avoir pour près de 17 millions de dollars de dégâts. Alors, en mars 2019, le comté de Jack­son débourse 400 000 euros pour répa­rer le préju­dice du ransom­ware Ruyk. Trois mois plus tard, c’est Balti­more qui subit le chif­fre­ment de RobinHood. Ses élus, qui refusent de payer, ont depuis renvoyé le respon­sable de l’in­for­ma­tique.

Selon Liska, ils sont d’ailleurs moins enclins à le faire que les parti­cu­liers : 17 % des insti­tu­tions publiques sortent le porte-feuille contre 45 % des victimes privées. Les hackers ont donc sans doute plus inté­rêt à s’en prendre à une entre­prise bien dotée qu’à une collec­ti­vité. Cela dit, cette dernière comporte un avan­tage : elle donne à l’at­taque une large couver­ture média­tique. Au regard de son impor­tance, le pira­tage de M6 a fait couler bien peu d’encre par rapport à celui de Grand Cognac.

Les attaques contre le secteur public vont en tout cas se pour­suivre car « elles fonc­tionnent », constate Eli Sugar­man, direc­teur du programme de cyber­sé­cu­rité de Hewlett Foun­da­tion. « Les Villes ont du mal à sécu­ri­ser leur systèmes complexes et souvent obso­lètes. » Désor­mais, elles vont devoir prendre le problème au sérieux.


Couver­ture : Dianor S.


 

Plus de turfu