Vers une nouvelle économie de la vulnérabilité ?

Vulnérabilités & ransomware : une économie parallèle | Stormshield

C’est un fait : la tendance est à la professionnalisation des groupes de cyber-criminels. De plus en plus organisés, ils se structurent en différentes “business units”, de la conception à la vente en passant par la diffusion et le support. Le point sur l’émergence d’une véritable économie parallèle.

L’année 2021 a été marquée par l’extension des ransomwares à des cibles plus importantes, ou encore par des menaces autour de la confidentialité des données. Et l’accélération de la professionnalisation des groupes de cyber-criminels n’a échappé à personne : l’industrie du malware s’est développée, et avec elle, une véritable économie parallèle de la cyber-menace s’est structurée, avec différents corps de métiers. Pour faire face à cette menace qui s’organise et s'industrialise, entreprises et institutions doivent être constamment à la recherche de parades efficaces. Mais toutes les solutions sont-elles pertinentes ? Un bug bounty suffit-il à détecter les failles présentes dans les systèmes informatiques d’une entreprise ? Négociateur de rançon cyber est-il un métier du futur ?

 

Des failles informatiques à deux millions de dollars

Le développement du marché des cyberattaques est tel que l’« on peut aujourd’hui sans aucun doute parler économie parallèle » explique Sébastien Viou, Directeur Cybersécurité produits et Cyber-Évangéliste chez Stormshield. Une économie parallèle qui, selon les estimations, pèserait près de 1,5 billion de dollars chaque année. Et un secteur qui s'organise aujourd’hui comme un marché classique avec ses marketplaces, ses filières de communication et de distribution, ses mécanismes d’offre et de demande ou de mise en concurrence. Voire de catalogues : en entrée de gamme, il est possible de se procurer des données de cartes bleues pour 10 dollars, des identifiants de connexion entre 100 et 1 000 dollars, ou encore des malwares à quelques dizaines ou centaines de dollars. Du côté du haut de gamme se trouvent notamment les failles de type Zero-Day, qui peuvent être marchandées au prix fort, de 500 000 à 2 millions de dollars. Comme dans tout secteur économique, les agents sont à la recherche de la meilleure rentabilité. Et passent donc d’une approche produit/outils à une approche de services ; c’est l’ère de campagnes malveillantes clés en main (Ransomware-as-a-Service et Malware-as-a-Service). En misant sur des attaques simples en nombre suffisant – et grâce à des coûts d’opération et d’infrastructures relativement faibles –, les cyber-criminels peuvent gagner gros. Ainsi, selon le cabinet Deloitte, une cyberattaque bas de gamme coûtant 34 dollars par mois peut rapporter jusqu’à 25 000 dollars. Une manne financière qui peut devenir par la suite un fonds d’investissement ; régulièrement en 2021, des membres du groupe LAPSUS$ postaient des offres de corruption sur le réseau Reddit, à destination de collaborateurs de grands groupes prêts à monnayer leurs accès au réseau interne.

Et pour couronner le tout, les groupes de cyber-criminels ont parfois recours à des techniques commerciales proches de celles utilisées par les entreprises ayant pignon sur rue. Sébastien Viou confirme : « on trouve aujourd’hui des abonnements pour obtenir de façon régulière des moyens d’attaques. Ils proposent des réductions, des promotions comme “11 mois achetés, un offert” ». Et certains vont même jusqu’à proposer des services après-vente, ajoute-t-il.

Les auteurs de menace arrivent de mieux en mieux à adapter leurs demandes aux montants que leurs victimes sont sujettes à payer compte tenu de l’augmentation des coûts de reprise et du risque de subir une atteinte à la réputation si leurs données étaient divulguées.

Le développement exponentiel de ce “secteur” est porté par l’écosystème des ransomwares, dont « le montant des gains peut atteindre plusieurs millions d’euros et sert à financer tout un système qui se structure, se hiérarchise et se professionnalise de plus en plus », précise Sébastien Viou. Un écosystème (malheureusement) hyper actif, puisqu’une nouvelle attaque par ransomware a lieu en moyenne toutes les 11 secondes selon Le journal du net. Un marché de la rançon qui aurait « probablement atteint un point d’équilibre » expliquait le Centre canadien pour la cybersécurité dans un bulletin publié fin 2021. D’après ce dernier, « les auteurs de menace arrivent de mieux en mieux à adapter leurs demandes aux montants que leurs victimes sont sujettes à payer compte tenu de l’augmentation des coûts de reprise et du risque de subir une atteinte à la réputation si leurs données étaient divulguées ». Cette économie parallèle en pleine expansion fait donc sonner toutes les alarmes chez les acteurs de la cybersécurité. Dans la doctrine officielle, l’ANSSI recommande de ne pas payer de rançon : cela fait partie des premiers conseils donnés aux victimes. Mais en pratique, cette règle n’est pas toujours évidente à suivre. Comme l’a révélé le Canard Enchaîné, les gendarmes sont intervenus dans le cadre de la négociation d’une rançon pour une grande société de transport maritime international, attaquée en 2020. « L’entreprise, qui risque de perdre 60 millions par jour de panne, choisira de lâcher quelques biftons, ironisait le média. Un an plus tard, grâce aux infos recueillies par le GIGN durant la négociation, les rançonneurs seront cueillis près de Kiev ». D’autres institutions ou entreprises ont admis avoir cédé, comme l’Université de Maastricht.

Une situation qui ne peut pas laisser le secteur de la cybersécurité sans réaction. Mais avec quelle riposte ?

 

Côté cybersécurité, la contre-attaque s’organise

Pour répondre à cette menace cyber professionnalisée, l’économie de la cybersécurité s’est en effet elle aussi structurée. Rien qu’en Europe, le marché était évalué à 23,7 milliards d’euros en 2020 et devrait atteindre, selon les estimations, 43,8 milliards d’euros en 2026.

Un marché et un secteur qui a déjà fait preuve de capacité d’adaptation, notamment avec le développement des bug bounties et pen-tests. L’idée, qui remonte au milieu des années 1990, consiste à proposer des récompenses à celles et ceux qui parviennent à identifier des failles dans les systèmes informatiques des entreprises. Suffisant pour imaginer l’avènement d’un système vertueux, où les failles seraient identifiées par les éditeurs avant les cyber-attaquants ? Pas vraiment, car s’ils peuvent s’avérer efficaces, les bug bounties ont leurs limites. Pour le chercheur en cybersécurité et hacker Baptiste Robert, « ils contribuent à mettre la cybersécurité sur le devant de la scène dans les médias. Mais certaines entreprises pensent à tort que cela suffit à assurer sa défense ». Par ailleurs, le business model associé à la méthode est critiquable : « tout travail mérite salaire », assène-t-il. Certains amateurs ou professionnels peuvent en effet passer plusieurs semaines à la recherche d’un bug, sans obtenir de rémunération s’ils n’y parviennent pas. Comme le constate le cofondateur de Predicta Lab, la méthode est d’autant plus questionnable que les participants sont souvent relativement jeunes, et qu’ils résident dans des pays où les salaires moyens sont bas. Dans le cas de Facebook, ce sont par exemple les chercheurs et chercheuses russes et indiens qui sont le plus souvent récompensés. « On leur fait miroiter un gain potentiel qui peut faire rêver, mais ils ne sont pas assurés d’être payés à la fin », regrette-t-il. Certains gagnent gros (entre 100 000 et 1 million de dollars), mais ils constituent l’exception. À l’inverse, les sommes promises sur le darknet pour la revente d’informations sensibles sont souvent plus attrayantes… Début avril 2022, Microsoft a dévoilé son nouveau programme de récompense pour la découverte de bug bounty, avec une prime maximale de... 30 000 dollars pour les vulnérabilités concernant les serveurs. Une somme qui apparaît comme bien faible ; « il y a fort à parier que des dents ne manqueront pas de grincer chez les entreprises clientes de Microsoft », analyse Valéry Marchive, dans son article publié sur le Mag IT. Des sommes à prendre avec recul toutefois, tant il existe d'autres niveaux de bug bounties comme par exemple Microsoft (encore) où certains bug bounties concernant leurs plateformes peuvent atteindre jusqu'à 250 000 dollars. Certaines plateformes comme Zerodium poussent les bug bounties au-delà du million de dollars, voire jusqu'à 2,5 millions de dollars pour une Zero-Day sur Android. « Zerodium n'est pas si différent de certains sites de revente de Zero-Day présents sur le darkweb, ajoute Edouard Simpère, Responsable Cyber Threat Intelligence Stormshield. Mais celui-ci est légal car il alimente un réseau d'enchères pour satisfaire les besoins en Zero-Day d'entités étatiques que celles-ci pourront ensuite réutiliser dans un cadre offensif ciblé. C'est aussi malheureusement grâce à ce type de plateformes qu'on en arrive à avoir des outils similaires à Pégasus ».

Comment dès lors s’assurer que cette économie de la cybersécurité puisse répondre aux évolutions des menaces ? Une autre piste a été explorée : le développement d’une économie autour des ransomwares. Elle repose notamment sur des négociateurs qui servent d’intermédiaires entre entreprises et cyber-criminels, dans le cadre d’une attaque par ransomware. Le Monde décrit ainsi leur rôle, qui « ne se limite pas seulement à parlementer avec les pirates : ils aident également les victimes à mieux s’organiser pour surmonter cette expérience, qui est souvent vécue comme une longue traversée du désert ». À l’évocation de ce terme, Renaud Feil tique. Le patron de Synacktiv, une entreprise spécialisée dans les audits de sécurité, considère que le fait de négocier avec des cyber-criminels est « très controversé. Déjà, parce qu’il est illusoire de penser qu’on a de vrais leviers de négociation. Contrairement à une prise d’otages où l’attaquant est face à un risque important voire vital si les autorités s’en mêlent, les cyber-attaquants savent que le rapport de force leur est plutôt favorable », détaille-t-il. Mais alors quelle place pour les intermédiaires en négociation ? Faut-il les interdire ? Comme éléments de réponse, le Parquet de Paris s’est lui doté d’une section cybercriminalité visant à empêcher que ce type d’intermédiaires ne puissent vivre des ransomwares, expliquait le capitaine Paul-Alexandre Gillot lors du FIC 2021. La question de leur interdiction s’est posée… et se pose encore.

 

L’assurance cyber tous risques, une fausse bonne idée ?

Comme pour tout sinistre, faire appel à un assureur qui propose de couvrir les conséquences d’une attaque informatique, serait-elle la solution miracle ? Le CEO de Synacktiv salue l’initiative, mais privilégie la piste d’indemnisations assurées par l’État, sur le même modèle que celui qui existe en cas de catastrophes naturelles. « Plusieurs assurances ont tenté de se lancer sur ce marché, précise Renaud Feil. Mais elles refusaient finalement de payer les rançons. La plupart ont arrêté, le risque et le coût pour l'assurance étant très important et difficile à anticiper pour l'avenir ». Sébastien Viou partage cette retenue : « Il y a des entreprises qui deux ans après avoir subi une attaque n’ont toujours pas touché d’argent de la part de leur assurance. De plus, cela semble sur le principe cohérent de s’assurer contre le vol de sa propriété intellectuelle dans une entreprise, mais si l’assurance paye la rançon, n’est-elle pas complice ? N’entretient-elle pas le business des ransomwares ? »

C’est le constat que fait Guillaume Poupard, directeur de l’ANSSI. Au cours d’une réunion sur la cybersécurité des TPE-PME au Sénat qui s’est tenue en avril 2021, il n’a pas hésité à dénoncer le jeu « trouble » de certains assureurs. S’il estime que le paiement d’une rançon puisse paraître rationnel aux yeux d’un assureur, cette approche se révèle selon lui contre-productive. « Il convient de lutter contre ces acteurs, sous peine de voir un véritable écosystème se créer », avertit Guillaume Poupard. En France, le gouvernement penche depuis quelques mois sur le sujet, envisageant l’interdiction de tout versement de rançon par les assurances, voire l’interdiction de telles assurances cyber.

Mais le marché pourrait aussi bien s’effondrer de lui-même. En janvier 2022, les prix de ces assurances ont augmenté de façon exponentielle, avec des hausses allant… jusqu’à 100%. C’est « à prendre ou à laisser » comme le résume justement l’AGEFI. Certains se demandent si ces nouveaux tarifs ne signeront pas la fin d’une offre. « Il y a cinq ans, les assureurs se bousculaient pour vendre des polices d’assurance cyber. Désormais, celles-ci se vident de leur substance. Au-delà des hausses tarifaires, le problème est la capacité et l’appétit des assureurs à prendre du risque », reconnaissait Oliver Wild, président de l’Association pour le management des risques et assurances de l’entreprise. Mais les cyber-assurances doivent aussi faire face à un autre problème, qui vient des cyber-criminels eux-mêmes. En effet, en fonction des informations qu’ils arrivent à glaner, ils prennent en compte la présence d’une assurance ou non dans le choix des cibles mais aussi dans le montant des rançons exigées. La rançon de la gloire pour les assurances cyber ? Pire encore, le fait d’être assuré ne garantit pas d’être indemnisé, comme le relate un article publié en mai 2022 sur Numerama.

 

Que faire, alors, pour éviter le développement d’un marché parallèle, peu ou pas encadré ? Pour Baptiste Robert, il convient de se rappeler que « la sécurité maximum, ça n’existe pas. On peut rêver à un système vertueux où l’on découvre les failles en amont, où aucun site ou système ne pourrait être hacké, mais ce n’est pas réaliste ». Pour le chercheur, la meilleure solution possible reste de mettre des barrières d’entrée aux attaquants pour tenter de les « démotiver » le plus possible. Et de faire en sorte que le coût d’une cyberattaque reste supérieur à ses potentiels bénéfices.

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Le business des ransomwares ne s’est (malheureusement) jamais aussi bien porté. La diversité des familles, des modes d’intrusion ou des cibles touchées rend la sécurisation des systèmes toujours plus complexe. Retour sur les enseignements de l’année 2021.
Stormshield Endpoint Security Evolution vous propose une nouvelle génération de solution de cybersécurité en mesure de garantir une protection complète des terminaux et serveurs face aux ransomwares. La solution allie des fonctions de protection de postes (EPP) et de détection (EDR) pour assurer de manière proactive le blocage des attaques les plus sophistiquées et fournir les éléments d’analyses ultérieures.

À propos de l'auteur

mm
Victor Poitevin
Editorial & Digital Manager, Stormshield

Victor est Editorial & Digital Manager de Stormshield. Rattaché à la Direction marketing, sa mission est d'améliorer la visibilité du Groupe sur le web. Sites internet, réseaux sociaux, blogs... c'est tout l'écosystème de Stormshield qui est mis à contribution. Et pour répondre aux hautes ambitions numériques du Groupe, il s'appuiera sur ses différentes expériences, au sein de plusieurs grands groupes français et internationaux, ainsi qu'en agence de communication.