Quand la mise à l’arrêt devient une arme
Un clic, un mot de passe dérobé ou une faille de sécurité peuvent suffire à mettre une entreprise à l’arrêt. Les attaques par rançongiciel comptent aujourd’hui parmi les plus grandes menaces pour les entreprises. Lorsque plusieurs cantons et des dizaines d’entreprises suisses sont concernés, le Ministère public de la Confédération reprend les procédures. fedpol enquête.
Un collaborateur d’une société de comptabilité située sur le Plateau suisse est le premier arrivé au bureau un matin et allume son ordinateur. Lorsqu’il souhaite ouvrir un fichier, une notification s’affiche sur son écran à la place du compte de résultats de son client, annonçant que tous les fichiers de l’entreprise et de ses clients ont été chiffrés. Ils seront divulgués si l’entreprise ne paie pas la rançon demandée dans les 24 heures. Plusieurs entreprises sont victimes de ce type d’attaque : le maître-chanteur est 8Base, l’un des plus grands groupes criminels de ransomware, qui encaisse chaque année plusieurs millions de francs en recourant à de tels stratagèmes. Il chiffre les données, paralyse les systèmes informatiques et cause des dommages économiques considérables.
Pour de nombreuses entreprises concernées, les rançons sont moins problématiques que les coûts occasionnés par la suspension de leurs prestations. Les processus de production sont mis à l’arrêt, les factures restent impayées et les rendez-vous doivent être reportés. Depuis longtemps déjà, les groupes criminels ne visent plus seulement les grandes sociétés, mais aussi les petites et moyennes entreprises.
fedpol et le Ministère public de la Confédération contribuent à circonscrire cette menace en collaboration avec leurs partenaires internationaux. L’objectif consiste à identifier le groupe de ransomware 8Base, qui inflige des dommages partout dans le monde à des centaines d’entreprises et d’organisations, dont plusieurs dizaines en Suisse.
Coopération agile
La coopération étroite et flexible entre les autorités impliquées joue un rôle central. Les États partenaires ne misent pas sur une enquête d’envergure linéaire, mais sur des phases d’investigation brèves et coordonnées. Dans le cadre de ces « sprints », des informations et des traces sont compilées et les malfaiteurs progressivement identifiés.
Les équipes d’investigation identifient précocement des indices indiquant que des attaques sont en cours de planification. Ces informations permettent aux pays concernés de prendre des mesures de prévention : les entreprises sont averties, leurs systèmes contrôlés et les accès sécurisés. Les cyberenquêteurs et cyberenquêtrices de fedpol peuvent ainsi prévenir plus de 300 sociétés potentiellement visées grâce à leurs partenaires internationaux participants à travers le monde. Ce faisant, le chantage a pu être évité dans plusieurs cas avant même qu’il n’ait pu avoir lieu. Plusieurs membres présumés ont été identifiés, localisés et arrêtés.
Procédure coordonnée
Un démantèlement (ou take down en anglais) est le résultat visible de la coopération internationale. Il s’agit d’une mise hors service de l’infrastructure technique des cybercriminels, par exemple des plates-formes sur lesquelles ces derniers divulguent les données dérobées. Le contenu de la page est remplacé par un message des autorités de poursuite pénale qui indiquent clairement qu’elles ont repris le contrôle de l’infrastructure et continuent de surveiller les activités criminelles (cf. communiqué de presse d’Europol).
Les données chiffrées redeviennent lisibles
Un autre résultat visible de l’opération est l’aide apportée aux entreprises lésées. Des enquêteurs japonais sont parvenus à développer un outil de déchiffrement des données. Ce dernier est publié sur la plate-forme No More Ransom, mise à disposition par Europol et la police néerlandaise. Une bouffée d’oxygène pour les victimes qui n’ont pas payé de rançon : elles ont à nouveau accès à leurs données.
Finalement, le cas 8Base montre surtout que les cybercriminels opèrent à l’échelon mondial et qu’une poursuite pénale doit fonctionner pareillement pour être couronnée de succès.
« La cybercriminalité est un domaine qui évolue particulièrement vite. Une enquête de cette envergure ne peut porter ses fruits que si la coopération nationale et internationale fonctionne parfaitement. »
Lukas, enquêteur fédéral en cybercriminalité