Se préparer à la montée en puissance de l’extorsion numérique

La transformation numérique bouleverse le secteur de la finance. L’une des raisons majeures de ce changement réside dans l’offre conséquente de devises numériques, telles le bitcoin, qui ont fait récemment la une des journaux.

Des banques d’investissement de premier plan s’intéressent au potentiel de bitcoin pour effectuer plus vite et plus efficacement des transactions financières. La nature de cette technologie « blockchain », séduit les établissement bancaires car elle rend la fraude ou le piratage pratiquement impossible. Neuf des plus grandes banques du monde, notamment Barclays et Goldman Sachs, ont récemment fait appel aux services de la start-up R3 pour en tester la faisabilité et les capacités. George Osborne, Chancelier de l’Échiquier britannique, qui a été vu effectuant son premier retrait à un distributeur automatique de bitcoins l’an dernier, lors de la conférence « Innovate Finance », a d’ailleurs adressé un message clair aux acteurs « FinTech » : « Mon message aujourd’hui est simple : nous [Grande-Bretagne] sommes à l’aube d’une nouvelle ère dans le domaine bancaire. Alors, mettons-nous au travail ! »  

Néanmoins, l’anonymat du bitcoin et sa facilité de conversion en monnaie réelle donnent une connotation négative à cette technologie. Le paiement de rançons évoque généralement des images de prise d’otages, de pirates et de mallettes pleines de billets. Les cybercriminels préfèrent les virements – instantanéité, impossibilité de remonter à la source et risque zéro de traceurs, de fausses coupures ou de maculage des billets de banque par de l’encre de sécurité. Dans un monde numérique où les « munitions » sont peu onéreuses (des attaques massives peuvent être lancées via des services sur abonnement pour le prix d’un contrat de téléphonie mobile), il n’est pas étonnant que l’extorsion numérique soit devenue populaire aussi bien pour les criminels novices que pour les férus de technologie. Et c’est ainsi que plusieurs groupes criminels organisés sont apparus. Si le secteur financier a longtemps constitué la première cible légitime, la menace a évolué pour toucher tous ceux pour lesquels la mise hors service de leurs sites web représente un préjudice financier.

Les manœuvres du groupe DDoS for Bitcoin (ou DD4BC, selon sa dénomination usuelle) illustrent parfaitement ce qu’ont subi un nombre croissant de victimes. Ses campagnes d’intimidation débutent par une brève attaque par déni de service distribué (DDoS), destinée à épuiser les ressources et rendre les sites web inaccessibles ; elles s’accompagnent d’une demande de rançon, avec de nouvelles menaces d’attaques si celle-ci n’est pas versée. Dépourvues de solution de sécurité adaptée, les victimes sont contraintes d’obtempérer, sachant que des temps d’interruption supplémentaires risqueraient de provoquer des pertes de revenus considérables, de porter atteinte à leur image de marque et d‘entraîner des amendes pour non-respect de leurs engagements SLA.

Entre septembre 2014 et juillet 2015, 141 attaques par DD4BC ont été identifiées[1], l’attaque DDoS la plus massive ressortant à 56,2 Gbit/s. Ces cyber-extorqueurs ont menacé de révéler l’identité des entités ciblées sur les réseaux sociaux, infligeant ainsi une humiliation supplémentaire aux victimes en marge des dommages provoqués par l’attaque DDoS elle-même.

À mesure que ce genre d’activité prend de l’ampleur et évolue, de nombreuses alertes de sécurité ont été publiées pour sensibiliser tous les acteurs présents sur Internet et les inciter à mettre en place des solutions en matière de sécurité. Dernièrement, ces avis ont mis en exergue les éléments d’information suivants :

  •  Le DD4BC a prétendu être suffisamment puissant pour lancer des attaques DDoS à plus de 400 Gbit/s, bien qu’aucune preuve concrète ne permette d’affirmer que ce groupe puisse livrer un assaut de cette envergure 
  • Des attaques antérieures ont ciblé des activités qui avaient tout intérêt à ne pas en référer aux forces de l’ordre, mais des entreprises légales ont également été visées, en particulier dans les secteurs de la finance et de la grande distribution
  • Ces groupes sont susceptibles d’utiliser des outils libres d’accès pour lancer leurs attaques.
  • Le DD4BC a utilisé des plages d’adresses IP de Google et, dans certains cas, des instances AppEngine, pour ses attaques. Les adresses IP de certaines sources d’attaques ont été rendues publiques.
  • Au nombre des vecteurs d’attaques : l’amplification via les protocoles NTP, CHARGEN et SSDP et la réflexion via UDP.
  • Parmi les domaines et acteurs touchés figurent l’hébergement, le DNS, les services de messagerie électronique, les services et conseils de haute technologie, les jeux, les échanges de bitcoins et les entreprises SaaS
  • Des « imitateurs » entreront probablement dans la danse, renforçant ces types d’attaques.

Les activités d’extorsion de ce genre ne devraient pas disparaître de sitôt mais, au contraire, monter en puissance et cibler de nouveaux secteurs d’activité, épargnés jusqu’ici. Les transactions en ligne représentant une part toujours plus importante du chiffre d’affaires annuel, les risques liés aux durées d’indisponibilité des sites web augmentent en conséquence. Il n’est pas rare que le coût d’une attaque DDoS menée à terme se chiffre en millions pour les entreprises ; pendant ce temps, les criminels continueront à tirer parti du manque d’investissements dans la sécurité informatique et des ressources restreintes dans les centres de données pour très vite s’enrichir en devises. Même s’ils devront probablement avoir opéré auparavant leur conversion à partir de bitcoins.