Cyberattaques : le nombre de piratages a quadruplé l'année dernière, selon un expert en cybersécurité

En 2020, on a observé "un quadruplement des attaques" informatiques, indique mardi 16 février sur franceinfo Gérôme Billois, expert en cybersécurité au cabinet de conseil Wavestone, alors que les hôpitaux de Dax et de Villefranche-sur-Saône ont été visés ces jours-ci par des cyberattaques qui ont paralysé les ordinateurs et la téléphonie. Les cybercriminels "ont créé des logiciels d'attaque" qui peuvent être utilisés par "des cybercriminels lambda", précise Gérôme Billois.

franceinfo : Comment ces rançongiciels arrivent-ils dans les systèmes informatiques des entreprises ?

Gérôme Billois : Ces rançongiciels n'arrivent pas tout seuls. Ils sont le travail de groupes de cybercriminels qui sont organisés comme de vraies PME du cybercrime. Ils scannent Internet, envoient des milliers de mails frauduleux et cherchent des vulnérabilités dans les systèmes des entreprises, des organisations publiques comme les hôpitaux. Une fois qu'ils ont trouvé une porte d'entrée, ils s'insèrent dans les différents ordinateurs de la structure, de l'hôpital en l'occurrence, jusqu'à pouvoir tous les bloquer.

Derrière le mot de cybercriminels, est-ce qu'il y a de véritables organisations ?

Oui, clairement. On a une vraie structuration d'un écosystème. Sur l'hôpital de Villefranche-sur-Saône, on sait que c'est le groupe Ryuk. Ce groupe existe depuis mi-2018. Ils ont créé une plateforme d'attaque pour automatiser, pour industrialiser ces attaques. Depuis la mi-2018, ils ont réussi à récupérer 150 millions de dollars de rançon au fil de leurs différentes opérations.

"En France, nos institutions publiques ne sont pas connues pour payer les rançons. Mais aux Etats-Unis, il y a eu beaucoup de cas de paiement d'hôpitaux."

Gérôme Billois

à franceinfo

Un des derniers en date, c'est dans le New Jersey. Ils ont payé une rançon de plus de 600 000 dollars. Et donc ça génère l'intérêt des cybercriminels pour attaquer ce type de structures.

Est-ce qu'on sait qui se cache derrière ces groupes ?

C'est toute la difficulté. Ces cybercriminels savent très bien cacher leurs traces sur Internet. Les forces de police et la justice enquêtent. C'est un travail long qui nécessite la coopération entre pays. Et on sait que certains pays ne sont pas facilitant dans ces enquêtes.

"La majeure partie [des cybercriminels] est localisée en Europe de l'Est, dans des pays russophones. Mais ceux qui réalisent ces attaques peuvent être partout dans le monde. Cela demande quand même des compétences."

Gérôme Billois

à franceinfo

On a aujourd'hui des groupes qui se sont très bien organisés et qui ont créé des logiciels d'attaque. Donc des personnes moins expérimentées peuvent les utiliser pour automatiser cette attaque, avec derrière un partage de la rançon une fois qu'elle est payée. On est vraiment dans le modèle des stores, comme l'AppStore ou le Google Store, où des cybercriminels lambda vont pouvoir utiliser des logiciels très pointus d'attaque qui ont été développés par des gens qui ont beaucoup d'argent grâce aux attaques précédentes réussies.

Est-ce qu'on peut mesurer l'ampleur du phénomène ?

C'est difficile d'avoir des chiffres très précis parce que cela nécessite des dépôts de plainte. Mais l'Agence nationale de cybersécurité communique sur un quadruplement des attaques qu'elle a eu à gérer l'année dernière. C'est quelque chose que j'observe aussi, lorsqu'on est sollicité pour aider des entreprises ou des organisations publiques à gérer ces attaques-là, il y a une vraie explosion du nombre de cas.