Rançongiciel : que faire en cas d’attaque?

Les attaques de rançongiciel, soit le vol de données par des criminels qui promettent de les rendre en échange d’une rançon, semblent être à la hausse un peu partout dans le monde. Que faire en cas d’attaque?

Les attaques de rançongiciel («ransomware» en anglais) proviennent de pirates informatiques qui chiffrent les données d’une personne, d’une entreprise ou d’une entité publique, ce qui les rend inutilisables.

Ils promettent ensuite de déchiffrer ces données en échange d’une rançon.

Une attaque contre une ville du Nouveau-Brunswick

La Ville de Saint-Jean a été atteinte par l’une de ces attaques en 2020. Au lieu de céder aux demandes des escrocs, la municipalité a choisi de reconstruire son système informatique, une tâche titanesque qui a été couverte par son assureur.

C’est un choix judicieux que beaucoup de victimes ne font pas, selon Nicolas Roux, un consultant en cybersécurité de la région de Moncton.

«Il y a de nombreuses victimes qui paient sans se déclarer. Je dirais que globalement, l’argent que ça rapporte aux cybercriminels a augmenté. Si ça ne rapportait pas d’argent, il n’y aurait pas autant de gens qui font encore cela», dit-il en entrevue.

Manque de cyberhygiène dans les institutions

Il affirme qu’en faisant preuve de «cyberhygiène» et en adoptant de meilleures pratiques, il est possible de réduire le risque, par exemple en ayant une copie de rechange de toutes les données. Un document publié sur le site du gouvernement du Canada précise quelles sont ces pratiques.

«On observe un manque total de cyberhygiène dans des municipalités, des gouvernements, dans de grandes entreprises. Ce problème-là fait qu’on doit payer la rançon. Mais on ne devrait jamais se retrouver dans le cas où les seules données que vous avez sont celles que l’attaquant a chiffrées», dit l’expert.

«Le nombre d’attaques augmente, parce qu’il y a de l’argent à faire», affirme Ida Sri Rejeki Siahaan, experte en cybersécurité et chercheuse associée au Canadian Institute for Cybersecurity de l’Université du Nouveau-Brunswick.

Attaque au rançongiciel: ne payez pas!

Même si de plus en plus d’entreprises et d’entités publiques disposent maintenant de copies de leurs données, elle affirme que certaines victimes choisissent tout de même de payer la rançon discrètement pour éviter une atteinte à leur réputation.

Mme Siahaan déconseille elle aussi de payer la rançon en cas d’attaque, puisque les criminels informatiques seront alors tentés de refaire le coup.

De très grandes entreprises ont aussi été victimes de ce genre d’attaque. Colonial Pipeline, la responsable d’approvisionnement en essence pour une bonne partie de la côte est des États-Unis, a choisi de payer une rançon de 75 bitcoins, soit près de 5 millions $ US, dont une bonne partie a été récupérée par le FBI.

Selon l’entreprise de gestion des risques Marsh & McLennan, les paiements de rançon pour ce genre de crime ont augmenté de 60% pendant les six premiers mois de 2020.

En plus, vos données peuvent être revendues

Le caporal par intérim Marc-André Dubé, un membre du Groupe national de coordination contre la cybercriminalité (GNC3) de la GRC, explique que le choix de payer la rançon est souvent très délicat, même si la GRC le déconseille.

«Payer la rançon n’est jamais une bonne chose pour des raisons évidentes: on fait affaire avec des criminels. Même si l’on ne paie pas la rançon, ça ne signifie pas qu’on va obtenir la clé de décryptage pour être en mesure de remettre en service tous nos systèmes.»

Le fait de payer la rançon n’empêche pas non plus les pirates de revendre les données qui ont été volées, signale-t-il.

Plus de cas signalés à la police ces dernières années

Malgré l’augmentation apparente des paiements de rançon, il est difficile de dire si ce genre de crime est réellement en augmentation au Canada, selon le caporal par intérim.

Marc-André Dubé affirme que le nombre de cas identifiés de ce genre de crime a subi une forte augmentation ces dernières années. Mais qu’il est impossible de déterminer s’il s’agit réellement d’une augmentation du nombre d’attaques de rançongiciel ou s’il s’agit simplement du fait que les victimes (individus, entreprises ou entités publiques) rapportent davantage ce genre de crime à la police.

Environ 44 000 cybercrimes ont été signalés aux services de police canadiens en 2019, une hausse de 190 % par rapport à 2014.

«La grande question. Est-ce que les gens sont plus attaqués qu’en 2014. Ou est-ce que les gens sont simplement mieux informés?»

Des attaques au rançongiciel de plus en plus sophistiquées

Il explique aussi que le GNC3 a reçu plus de 1600 demandes d’aide de la part d’autres forces policières depuis avril 2020, dont environ 30% étaient reliées à des attaques de rançongiciel.

Le caporal par intérim observe aussi que ces attaques sont de plus en plus sophistiquées, et qu’elles évoluent au fur et à mesure que des policiers sont en mesure de réaliser des arrestations.

«Il y a beaucoup de rançongiciels différents. On voit souvent, pendant peut-être six ou sept mois, un gros nombre d’attaques faites par un type de rançongiciel bien spécifique, mais qui disparaît ou qui est alors remplacé par un autre.»

Son unité collabore avec le Centre antifraude du Canada (CAFC) pour développer un nouveau système national pour signaler des incidents de fraude et de cybercriminalité, qui devrait voir le jour en 2023-2024.

D’ici là, le policier encourage les victimes à signaler tout incident à la police ou au CAFC.

Plusieurs victimes de rançongiciel d’un coup

La chercheuse Ida Sri Rejeki Siahaan explique que les pirates informatiques visent souvent des logiciels qui permettent de faire plusieurs victimes d’un coup.

«Plusieurs municipalités ne développent pas leurs propres systèmes informatiques. Elles achètent un logiciel et le modifient selon leurs besoins. Alors l’attaque peut viser ce logiciel», dit-elle. Dans certains cas, des centaines de municipalités utilisent des outils similaires.

Elle affirme que les municipalités et les entreprises ont intérêt à analyser et à auditer des logiciels qu’elles utilisent pour détecter toute vulnérabilité.

Il est aussi essentiel de former ses employés à utiliser le système de façon sécuritaire.