Collaborer ou payer la rançon aux pirates ?

La meilleure des défenses contre les Ransomwares pourrait bien être la collaboration, une entraide souvent timide face à la sophistication des attaques. Mais secteurs privé et public se rapprochent pas-à-pas.

Les programmes malveillants rançonneurs, aussi appelés Ransomwares, font de façon récurrente parler d'eux depuis à présent quatre ans. Et leur complexité s'accroît à mesure que les cybercriminels approfondissent leurs connaissances techniques. Ainsi en 2005 déjà, PGPCoder chiffrait des fichiers sur des ordinateurs contaminés. En avril 2006, Trojan Zippo-A (aka Cryzip) ne restituait les fichiers que contre le paiement d'une rançon de 300 dollars.

Trojan Zippo-A ciblait les fichiers aux extensions .doc, .xls ou .xml, qu'il compressait en archives Zip, verrouillées par mot de passe. Venir à bout de ce verrou n'était donc pas alors insurmontable. Bien que les fournisseurs de solutions de sécurité aient développé des contre-mesures, les attaques par rançon restent une réalité. Elles existent d'ailleurs aussi sous forme de menace au déni de service. Les créateurs de virus ont peaufiné leur technique, notamment en usant d'algorithmes de chiffrement plus résistants.

D'origine russe, Gpcode fait une première apparition en juin 2007. Même si les pirates prétendent user d'un chiffrement par un algorithme RSA 4096-bits, il ne s'agit en réalité que d'une modification de l'algorithme RC4. Plusieurs grandes entreprises du Fortune 1000 avaient alors été visées, dont par exemple Unisys ou Hewlett-Packard d'après une information d'Associated Press. Un an plus tard, Gpcode ressurgit, avec cette fois un chiffrement 1024-bits, un niveau de sécurité qui n'a jamais été cassé jusqu'alors.

"Ce n'est pas fréquent pour un éditeur d'admettre qu'il ne peut réussir seul" (J.P Bichard - Kaspersky)

Le record reste en effet celui établi par des chercheurs de l'Ecole polytechnique fédérale de Lausanne qui avait pu factoriser un nombre à 307 chiffres, ce qui équivaut à 1 017 bits. Le nombre choisi n'était toutefois pas aléatoire, ce qui simplifiait partiellement sa factorisation. Enfin il est à noter également que cette tâche a nécessité le calcul intensif de 100 machines de type Pentium 3Ghz durant 11 mois. L'initiative de l'éditeur Kaspersky d'appeler à une collaboration mondiale pour décrypter la clé RSA de 1 024 bits utilisée dans la dernière version de GPCode a donc de quoi surprendre.

Du côté de l'éditeur, on reconnaît même la difficulté à communiquer sur un tel sujet. "Ce projet peut être mal compris. Le travail d'un éditeur de sécurité n'est pas en principe de casser une clef de chiffrement utilisée par bien des entreprises. De plus, la constitution d'un réseau mettant à disposition une importante puissance de calcul à cette fin pourrait laisser penser que notre initiative s'apparente à un botnet", explique le porte-parole de Kaspersky France, Jean-Philippe Bichard.

Selon l'éditeur, il s'agit avant tout de trouver une solution pour les internautes contaminés avant la sortie de la signature antivirale. Et cette solution pourrait alors se traduire par la découverte d'une vulnérabilité dans l'implémentation du chiffrement utilisé par Gpcode, comme ce fut d'ailleurs le cas en 2007. Le porte-parole de Kaspersky insiste en outre sur la nécessité de collaborer au niveau international, et pas uniquement sur la problématique des Ransomwares.

"Ce n'est pas fréquent pour un éditeur d'admettre ainsi qu'il ne peut réussir seul. Mais finalement notre démarche s'apparente à celle des chercheurs dans d'autres domaines, comme par exemple l'aérospatiale. Face à des cybercriminels de plus en plus organisés, parfois en mafias, et disposant de moyens, il faut reconnaitre qu'un éditeur ne peut trouver de solutions à lui seul. Il doit déjà de front faire face à des menaces multiples : botnet, spyware, phishing, rootkit, etc. Avant il n'était question que de virus."

Le contexte concurrentiel entre les éditeurs d'antivirus peut toutefois encore sembler militer contre une collaboration entre ces derniers. La rapidité de publication des correctifs est en effet un argument de vente important. La collaboration n'est néanmoins pas nulle. L'EICAR (European Institute for Computer Antivirus Research) existe par exemple depuis 1990, avec pour mission la recherche en virologie. L'Anti-Phishing Working Group est lui aussi né d'une collaboration internationale.

La mondialisation des attaques et la naissance d'une véritable criminalité informatique devraient en outre pousser les acteurs, privés comme publics à renforcer leurs liens. Le Cercle Européen de la Sécurité a d'ailleurs œuvré en ce sens. Ce partenariat international se concrétisera peut-être aussi au sein de l'organisation IMPACT : International Multilateral Partnership Against Cyber-Terrorism.

Les Etats sont en effet de plus en plus sensibles au risque d'attaques informatiques menées contre leurs infrastructures. Les pays membres de l'Union Européenne ont eux aussi beaucoup à faire, notamment afin d'harmoniser leur législation en matière de traitement de la cybercriminalité, mais aussi pour développer des circuits de communication entre les services de police des différents Etats membres. Un système d'alerte pourrait ainsi voir le jour.

RSA