Systèmes mafieux, fonds criminels, chantage... Les cyberattaques avec demande de rançon explosent en France

Vous arrivez un matin dans votre entreprise. Tout paraît habituel, sauf que plus aucun ordinateur ne fonctionne : des pirates ont crypté toutes vos données. Sur les écrans, un message vous demande de payer une rançon, c'est ce que l'on appelle une attaque par "rançongiciel". Ce type de délit a explosé en France depuis l'an dernier. Hôpitaux, mairies, petites et grandes entreprises... Tout le monde peut être visé.

Laurent, le responsable de la sécurité informatique d'une entreprise du BTP, se souvient : "Les pirates nous demandent plusieurs millions d'euros, avec un chantage sur le doublement de cette rançon au bout d'une semaine et la divulgation des données extorquées au bout de deux semaines."

On se pose la question, à un moment donné, de payer, parce qu'il y a cette période de flottement et d'état des lieux à faire des dégâts.

Laurent, dont l'entreprise a subi une cyberattaque

à franceinfo

Sauf que sans informatique, les entreprises tournent au ralenti et peuvent perdre beaucoup d'argent. Les collectivités sont également de plus en plus ciblées. Trente serveurs de la ville de La Rochelle, par exemple, ont été attaqués pendant les vacances de Noël.

"C'est une forme de pression, c'est du chantage, pour que nous payions cette rançon. Mais nous sommes une collectivité, nous ne pouvons pas engager l'argent de nos concitoyens dans cette démarche de chantage", explique Marie Nédellec, la conseillère municipale en charge du numérique. "Ce sont des services du quotidien qui sont touchés par cette coupure : l'ouverture des parkings, le chauffage de certains bâtiments, la gestion de l'état civil... Ce qui nous fait aussi nous rendre compte de notre dépendance à l'informatique." La mairie de La Rochelle a dû se passer de mails pendant une dizaine de jours et tout sera réellement rétabli d'ici quelques semaines.

Des cyberattaques multipliées par quatre en un an

On compte en France, en 2020, 192 attaques de grande ampleur, contre seulement 54 en 2019. Elles ont touché des opérateurs d'intérêt vital, ou de grandes entreprises françaises, et ont été traitées par l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information.

Catherine Chambon, sous-directrice de la lutte contre la cybercriminalité à la DCPJ (direction centrale de la police judiciaire), confirme que "la tendance à la hausse de ce phénomène est évidente. C’est devenu la façon de fonctionner des cybercriminels, avec un nombre d’attaques par rançongiciels qui ne cessent d’augmenter. Avec des pirates qui se concentrent sur des grandes entreprises, avec des assises financières intéressantes." Catherine Chambon précise également que les enquêtes, très souvent internationales, sont réalisés en collaboration avec Europol et Interpol, les pirates étant très souvent basés à l’étranger.

Avec le télétravail, les pirates exploitent des failles quand les ordinateurs sont mal protégés. Ils comptent souvent sur une toute petite erreur humaine : il suffit qu'un salarié ouvre un mail et clique sur un lien infecté. Le commandant Pierre Penalba, chef de la cellule cybercriminalité de la police judiciaire de Nice, reçoit de plus en plus de victimes : "Une cyberattaque de ce type-là, c'est un peu comme un braquage, sauf que c'est un braquage qui a eu lieu, et nous, quand on intervient, on ne fait que constater les dégâts."

C'est un peu comme si on arrivait une heure après les braqueurs, on ne peut plus rien faire.

Le commandant Pierre Penalba

à franceinfo

"Et si on n'a pas prévu de moyens de s'en sortir grâce à des sauvegardes, des procédures de récupération, on peut perdre énormément, voire perdre l'entreprise, poursuit le commandant de police. Il y a plein de gens qui viennent pleurer en disant 'j'ai tout perdu, je ne sais pas comment je vais faire'."

Résultat : encore beaucoup trop de grandes entreprises préfèrent payer les rançons, qui s'élèvent parfois à plusieurs millions d'euros. Mais c'est une mauvaise solution, rappelle le commandant Penalba : "Si vous payez la rançon, dans votre système informatique il y aura toujours la même faille, c'est vraiment céder complètement à la criminalité. Vous avez vraiment des trafics qui vont se développer grâce à ces fonds. Donc ne payez pas."

L'argent qui va être payé dans ces rançons va être utilisé soit pour réinfecter d'autres entreprises, soit pour le crime organisé, le terrorisme, la drogue.

Le commandant Pierre Penalba

à franceinfo

Ces rançons sont payées sur internet, en monnaie virtuelle, avec le fameux bitcoin. Quant aux auteurs de ces cyberattaques, ce sont des groupes criminels, souvent basés dans les pays d'Europe de l'Est. Avec un modèle calqué sur les systèmes mafieux : "Ces groupes-là sont des systèmes un peu pyramidaux, avec un tout petit cœur de confiance, qui est très haut dans la pyramide, qui pilote un peu tout ça, on parle de moins d'une dizaine de personnes", explique François Deruty, sous-directeur des opérations à l'ANSSI.

"Ensuite, on a un système qu'on appelle des affiliés, avec des gens qui conduisent des attaques, poursuit le spécialiste. Il y a le principe de faire ses preuves, comme pour monter dans la hiérarchie de la mafia. Ils font des attaques, de plus en plus grosses, et comme ça ils montent dans la hiérarchie."

Ils ne se croisent pas physiquement, ils sont virtuellement répartis sur plusieurs pays et c'est pour ça qu'ils sont extrêmement difficiles à appréhender.

François Deruty, sous-directeur des opérations à l'ANSSI

à franceinfo

Pour François Deruty, la question à se poser n'est pas de savoir si on va être attaqué, mais quand on va l'être. Face à l'ampleur de ce phénomène des "rançongiciels", l'ANSSI a édité un guide pour savoir réagir en cas d'attaque. L'agence rappelle qu'il faut avant tout avoir une bonne hygiène informatique, c'est-à-dire faire des sauvegardes régulières, changer souvent ses mots de passe et surtout ne pas ouvrir de mail douteux.