Il y a un peu moins d’un an, plusieurs hôpitaux français étaient victimes d’attaques par rançongiciels, ces logiciels qui chiffrent vos données pour vous réclamer une rançon. Ce qui avait poussé l’Elysée à sonner la mobilisation générale. La semaine dernière, c’est le ministère de la Justice qui aurait cette fois été victime du rançongiciel LockBit 2.0. L’enquête a d'ailleurs été confiée aux cybergendarmes, une saisine logique puisque ce sont les militaires qui suivent la trentaine de procédures déjà ouvertes contre les agissements de LockBit, la première version de ce rançongiciel.
Autant dire que les rançongiciels sont une priorité des services d’enquête. A ce sujet, deux gendarmes sont récemment intervenus, donnant quelques notes d’espoir mais aussi des constats lucides sur ce phénomène criminel devenu un fléau. Le numéro deux du commandement de la Gendarmerie dans le cyberespace, le général de brigade Eric Freyssinet, s'est ainsi exprimé à la mi-janvier lors d’une conférence du Clusif, une importante association française de spécialistes de la sécurité informatique.
De vrais progrès
L’officier général a tout d’abord loué les “vrais progrès” judiciaires en cours. “Il y a énormément d’actions, il y en a de plus en plus”, a-t-il observé, avant de souligner que de nombreuses opérations judiciaires s’étaient succédées en fin d’année dernière, donnant l’impression d’une accélération de la réponse policière face à la menace des rançongiciels.
Plusieurs interpellations marquantes ont d’ailleurs impliqué un service d’enquête français. En février 2021, les cyber policiers avaient ainsi participé à l’arrestation de hackers en Ukraine, tandis que des cybergendarmes ont également, huit mois plus tard, fait un voyage fructueux dans ce même pays.
Une opération coordonnée entre la @Gendarmerie , la police ukrainienne et le FBI, avec la coordination @Europol et @INTERPOL_HQ , a conduit à l'arrestation de deux individus mis en cause pour l’utilisation de #ransomware avec des demandes de rançon de 5 et 70 millions d'euros. https://t.co/XXawdwzJOw
— CyberGend (@CyberGEND) October 4, 2021
Le point commun entre ces différentes enquêtes? Une coopération judiciaire internationale qui passe, remarque Eric Freyssinet, par une action contre tous les maillons de la chaîne criminelle, des développeurs du logiciel malveillant aux organisateurs en passant par les blanchisseurs. Ce qui permet d’éviter d’attendre le pire – des fichiers chiffrés et une demande de rançon envoyée – pour agir.
“C’est un travail d’équipe”, ajoute-t-il, citant les industriels de la technologie, les acteurs étatiques, les services de police et les structures policières ou judiciaires internationales. Eurojust permet ainsi de mettre en place des équipes communes d’enquête et de partager en temps réel des éléments de preuve entre différents magistrats.
Des actions possibles à différents stades
Selon l’officier général, des actions préventives mêlant les ressources de services d’enquêtes et d’industriels de la cybersécurité sont ainsi possibles à différents stades. Par exemple, dès le déploiement des infrastructures de communication sur des forums de cybercriminels. Ou encore lors de “la mise en place de serveurs pour réaliser des attaques, que nous pouvons détecter en amont”.
Si une rançon est payée – ce qui est déconseillé en France -, un paiement permettra peut-être toutefois de retrouver les malfaiteurs. “On peut suivre les transactions, remonter à la destination des sommes payées, et donc participer à l’identification” de suspects impliqués dans des opérations de blanchiment, remarque enfin Eric Freyssinet.
Vers enfin un plateau?
Autant de perspectives réjouissantes qui ne doivent masquer une situation encore très inquiétante sur le front des rançongiciels. “Nous espérons qu’un jour nous arriverons à un phénomène de plateau”, grâce par exemple à de bonnes pratiques en matière de sécurité informatique, mais sans pouvoir vraiment arriver “à une éradication du phénomène”, a ainsi commenté, à la mi-janvier le major Florent Peyredieu lors d’une autre conférence.
Vous prendrez bien un peu de lutte contre les #ransomwares pour le petit-déjeuner ? ☕
Bravo à @InCyberMedia et toute l'équipe pour cette matinée très réussie !
Ne manquez pas les prochains évènements ➡ https://t.co/9AVngnuchx https://t.co/4Oro6LAy72— FIC 2022 (@FIC_eu) January 21, 2022
Et ce gendarme, le spécialiste rançongiciel du centre de luttes contre les criminalités numériques (C3N), de rappeler que cette industrie génère “génère extrêmement d’argent” pour des enquêtes judiciaires complexes qui se comptent en plusieurs mois ou années. Ce qui explique en partie pourquoi cette industrie criminelle est aussi agressive.
Le major signale d’ailleurs à ce sujet une capacité d’adaptation des rançonneurs assez inquiétante. Alors que les notes de rançon étaient habituellement transmises par un fichier ou sur un chat de conversation, le gendarme observe depuis six mois des attaquants qui appellent directement les victimes pour leur mettre la pression.
