Les ransomwares occupent le devant de la scène
Lorsqu'un terme technique entre dans le langage courant, ce n'est généralement pas bon signe. Il y a 20 ans, le "spam" (e-mail non sollicité envoyé en masse) menaçait de "détruire l'Internet". De même, le secteur de la cybersécurité – aujourd'hui massif – existait à peine à la naissance de la plupart des travailleurs d'aujourd'hui. Pour ceux qui ne se sentent pas encore vieux, sachez qu'Avast a été fondé à Prague en 1988, après avoir analysé un virus sur une disquette !
Bien que nouveau dans les gros titres, le terme "ransomware" (rançongiciel en français) risque de devenir aussi familier que "spam" ou "virus". Les experts en cryptographie, sécurité et même assurance d’entreprise surveillent et traitent cette menace depuis de nombreuses années. À l’instar des plus célèbres actes de piratage (comme le vol d’informations de cartes de crédit), les attaques par ransomware sont passées inaperçues parce qu’elles ont été rapidement intégrées aux modèles économiques des cibles. Vous êtes attaqués, vous payez la rançon et vous faites profil bas pour éviter que le scandale ne ternisse votre image de marque. Après tout, il est moins coûteux de réinitialiser des mots de passe et de rembourser l’argent volé à des clients (argent qui vous revient parfois grâce aux assurances) que d’avouer aux clients que votre entreprise est incompétente et peu sécurisée.
Payer les frais d’une attaque peut également revenir moins cher que d’engager des experts en cybersécurité et de mettre en œuvre les réformes et la maintenance qu’exige un bon système de sécurité. La gestion des relations publiques à la suite d’un piratage massif est presque devenue une formalité, et le fait qu’elle soit devenue si courante a également aidé les entreprises. « Ça arrive à tout le monde » ne serait pas une réponse acceptable après un braquage de banque à main armée ou, plus précisément, après une vague de crimes frappant des millions de magasins et de banques à la fois.
Négocier avec les cybercriminels ne fait que déclencher plus d’attaques
Des décennies d’indifférence pourraient bien prendre fin aujourd’hui, car les conséquences des ransomwares dans le monde réel sont de plus en plus graves et les rançons de plus en plus élevées. Avec des demandes de montants vertigineux, les criminels risquent de faire faillite en faisant des gros titres impossibles à ignorer. Sous l’œil des autorités nationales, la tendance des entreprises à payer les escrocs est mal perçue, d’autant plus que cet argent finance des attaques plus nombreuses et plus importantes. Ce n’est pas pour rien que vous n’êtes pas censé négocier avec les terroristes et les kidnappeurs : cela encourage davantage de terroristes et de kidnappeurs.
L’autre élément qui remonte à la surface est d’ordre géopolitique, obligeant les responsables politiques à réagir (notamment le président des États-Unis). Il est difficile de susciter l’indignation des consommateurs contre des pirates informatiques invisibles. Mais lorsqu’ils provoquent des pénuries d’essence et menacent des hôpitaux et l’approvisionnement alimentaire – d’autant plus pendant une pandémie –, la situation peut rapidement évoluer. Et lorsqu’un visage (ou ici un drapeau) est associé à ces attaques, le cadre change.
Bien trop tard, mais mieux vaut tard que jamais, les États-Unis ont admis que le piratage russe ne visait pas seulement des cibles politiques ou de propriété intellectuelle. Lorsqu’ils peuvent perturber les infrastructures vitales, les ransomwares ne posent pas qu’un problème d’argent. Nous devons utiliser avec précaution l’expression "acte de guerre" et ce qu’elle peut déclencher, mais il est manifestement grand temps de commencer à prendre la cyberguerre beaucoup plus au sérieux – au niveau national, des entreprises et des individus.
Mon point de vue est clair, bien qu’il soit un peu simpliste et sans explication plus approfondie. Comme pour les autres types de guerre hybride, lorsqu’il s’agit de cybercrimes qui sont facilement niés et souvent "extra-gouvernementaux", la dissuasion est la seule véritable solution. Il est presque impossible d’essayer d’arrêter tous les pirates informatiques et de les traduire en justice, surtout lorsqu’ils sont protégés par leur gouvernement ou directement soutenus par ce dernier.
S’il ne faut pas abandonner l’application de la loi, les régimes qui accueillent et protègent les pirates informatiques doivent être traités comme s’ils accueillaient n’importe quel autre type de terroriste. La fermeture d’un oléoduc par piratage peut être tout aussi dangereuse pour la sécurité nationale que son explosion. Il est insensé d’attendre une véritable catastrophe pour réagir fermement. Les conséquences doivent être claires, immédiates et automatiques. Le groupe REvil – que des experts pensent basé en Russie – a disparu ces derniers jours, peut-être pour changer de marque et attendre que nous baissions la garde comme il le fait une fois sur deux.
La course aux armes cybernétiques
Dans ce contexte, j’ai été ravi lorsque Nicole Perlroth, journaliste du New York Times spécialisée dans la cybersécurité, a accepté de participer au dernier épisode de Garry on Lockdown. En plus de dizaines d’histoires récentes sur les lignes de front des attaques de pirates informatiques dans le monde entier, Nicole Perlroth a publié cette année un livre sur le sujet, "This Is How They Tell Me the World Ends : The Cyberweapons Arms Race" ("C’est à ça que ressemblera la fin du monde : la course aux armes cybernétiques").
J’attendais donc beaucoup de notre conversation et j’avais de nombreuses questions sur la nature des menaces auxquelles nous sommes confrontés et sur ce que nous pouvons faire pour y remédier, en particulier en ce qui concerne le fossé entre public et privé, qui est si efficacement exploité par les acteurs hostiles des États-nations. Quand le gouvernement doit-il intervenir et quels leviers, quelles réglementations peut-il appliquer pour améliorer la sécurité sans infliger de coûts élevés au secteur privé ? Le hacking back (se venger d’un piratage en piratant) est-il contraire à l’éthique ?
Nicole Perlroth a balayé toutes mes attentes avec ses réponses directes et éclairées. Tous les experts ne sont pas capables de bien communiquer et tous les bons communicateurs n’ont pas le niveau de connaissances et la volonté de dire les choses sans détour. En fait, cette franchise est un défaut que j’ai toujours été heureux de m’attribuer !
Pendant notre demi-heure de Lockdown, nous avons abordé un large éventail de sujets allant de la technologie à la géopolitique, et s’il n’avait pas été minuit passé à Zagreb où je me trouvais, nous aurions pu continuer pendant une heure de plus. Les origines des difficultés de l’Occident, et plus particulièrement des États-Unis, dans le domaine de la cyberguerre, en dépit de ses nombreux avantages en termes de technologie et d’expertise, sont tragiques. Il faut les comprendre si nous voulons y remédier.