Contre-attaque américaine, disparition de certains groupes, arrestations: l’univers des rançonneurs informatiques est secoué depuis quelques mois, mais les attaques par rançongiciels restent à un niveau très élevé. Le parquet de Paris, qui dispose d’une compétence nationale pour les attaques informatiques, a ouvert 346 enquêtes en lien avec des rançongiciels sur les 8 premiers mois de l’année, contre 243 sur toute l’année 2020, a-t-il expliqué à la veille de l’ouverture du Forum international de la cybersécurité à Lille. Ces affaires représentent désormais 85% des dossiers d’attaques informatiques qu’il traite, contre 60% l’an dernier. Deux sociétés actives dans l’assistance aux entreprises frappées par une attaque, Wavestone et Varonis, constatent également une activité toujours très forte en 2021, avec un certain essoufflement très récemment. Sur les 3 derniers mois, il y a eu «une croissance des attaques moins forte que ce qu’on avait connu» au début de l’année, indique Gérôme Billois, spécialiste en cybersécurité chez Wavestone, mais «l’ensemble de l’année restera en croissance». «Il y a un peu moins de croissance» des attaques constatées par rapport aux «niveaux très élevés» constatés début 2021, abonde Pierre-Antoine Failly-Crawford, responsable de la réponse à incident chez Varonis. Ce léger ralentissement est peut-être à relier aux soubresauts qui ont agité le petit monde des rançonneurs informatiques ces derniers mois, alors que la réaction des Etats s’organise et devient plus vigoureuse. L’attaque spectaculaire début mai sur l’entreprise américaine Colonial Pipeline, qui a perturbé la distribution de carburant aux Etats-Unis, a provoqué une réaction musclée des autorités et une partie de la rançon versée, 4,4 millions de dollars, a été récupérée. Les serveurs du groupe à qui l’attaque a été attribuée, DarkSide, ont été mis hors service, et ledit groupe a disparu des écrans radars… même si certains de ses membres se retrouvent vraisemblablement aujourd’hui dans une nouvelle entité, BlackMatter. Côté judiciaire, les autorités commencent à marquer quelques points. En février par exemple, des membres du groupe Egregor ont été arrêtés en Ukraine, dans une opération impliquant les polices ukrainienne et française, et le FBI. «Aujourd’hui, nous sommes beaucoup plus dans le concret judiciairement parlant» qu’il y a encore deux ans, explique la colonelle Fabienne Lopez, la cheffe du C3N, le service spécialisé en enquêtes cyber de la gendarmerie nationale. «On cible des individus, on travaille avec d’autres pays» pour parvenir à des arrestations, et, «aujourd’hui, on a des perspectives d’interpellations» dans les prochains mois, ajoute-t-elle. «Même les pays un peu complaisants» à l’égard des cybercriminels «ont compris» qu’il fallait parfois «coopérer», estime de son côté le major Florent Peyredieu, un spécialiste des rançongiciels au sein du C3N. «Mais c’est un peu comme les stupéfiants», reconnaît-il également: «vous coupez une branche et ce qui reste se restructure et revient sous un autre nom…». Le diagnostic est partagé par Pierre-Antoine Failly-Crawford. Les réactions des Etats ont probablement surpris les rançonneurs et leur compliquent un peu la tâche mais «cela ne va pas mettre un coup d’arrêt à leur activité, qui est beaucoup trop rémunératrice: récupérer 3 millions d’euros en une attaque, cela vaut le coup», fait-il valoir. «La seule chose qui pourrait avoir un effet sur le volume d’attaques, ce serait que les sociétés ne paient pas. (…) Malheureusement, on voit que ce n’est clairement pas la direction qui est prise», poursuit-il, en allusion aux débats sur la prise en charge ou non par les assurances du paiement des rançons.
