Nous assistons à une prolifération de cyberattaques efficaces et destructrices touchant des milliers d’entreprises en une seule campagne, ce qui institue un point de rupture majeur dans la lutte contre la cybercriminalité. Sur le terrain des ransomwares, certains assaillants modifient leur stratégie en abandonnant les malware envoyés par email pour se concentrer sur l’obtention et la vente d’un accès initial aux réseaux d’entreprise, confirmant ainsi que le Ransomware-as-a-Service (RaaS) est devenu un moteur de la cybercriminalité. Ainsi, les ransomwares ne se contentent pas d’exiger une rançon, mais ils concernent également l’accès au cœur de l’entreprise. Les données récentes provenant de FortiGuard Labs montrent que l’activité hebdomadaire moyenne des ransomwares en juin 2021 était plus 10 fois supérieure à celle de juin 2020, pointant ainsi une croissance constante et significative. Selon l’étude State of Ransomware de Fortinet, les ransomwares sont devenus la principale menace pour les entreprises.

Ces attaques ont paralysé la chaîne collaborative (supply chain) de nombre d’entreprises, ont impacté notre vie au quotidien et notre productivité, et ont, plus que jamais, obéré les activités commerciales. La lutte contre le ransomware n’est plus l’apanage des équipes informatiques et des professionnels de la sécurité IT. Ce combat est celui de chacun d’entre nous. Chaque collaborateur travaillant ou se formant à distance devient un vecteur potentiel d’attaque. Des entreprises de toutes tailles aux utilisateurs finaux, la cybercriminalité reste un danger évident et omniprésent. Mais la situation n’est pas aussi désespérée qu’il n’y paraît. Les forces de l’ordre et les spécialistes en cybercriminalité collaborent et travaillent assidûment en coulisses pour détecter toutes sortes de menaces et y répondre. Nous avons cependant besoin de l’aide de tous et le moment est venu pour chacun de retrousser ses manches et de rejoindre la lutte contre la cybercriminalité.

La cybercriminalité est un business collaboratif

La cybercriminalité est devenue un véritable business, avec ses centres d’appels qui aident les victimes à payer les rançons, son support technique, ses affiliés qui déplacent et blanchissent de l’argent, et ceux qui gèrent des forums sur le Dark Web pour créer et vendre des outils logiciels. Prenons l’exemple du "ransomware-as-a-service" (RaaS), qui permet à des partenaires (affiliés) abonnés d’utiliser des outils de ransomware développés par un tiers pour exécuter leurs attaques. Les affiliés perçoivent une part des fonds extorqués, parfois jusqu’à 80 % si l’attaque est réussie, et chaque partie prenante reçoit son dû. L’écosystème de la cybercriminalité, en plein essor, a donc engendré sa propre chaîne collaborative, générant plus de mille milliards de dollars de revenu chaque année. Cette collaboration se développe car les acteurs malveillants sont de mieux en mieux financés. Ils utilisent de nouvelles techniques et de nouveaux modèles de service, et ne cessent de moduler leurs tactiques et de renforcer leurs performances.

D’où une augmentation des cyberattaques capables de toucher des milliers d’entreprises via une seule attaque. Du côté des défenseurs, ce constat marque une nouvelle étape majeure dans la lutte contre la cybercriminalité. Aujourd’hui, plus que jamais, chacun d’entre nous a un rôle essentiel à jouer pour renforcer la cyber kill chain (chaîne de frappe des attaques) et perturber les efforts criminels à chaque étape : reconnaissance, armement, livraison, exploitation, installation, commande & contrôle et actions sur la cible. Pour chaque individu mal intentionné, nous avons besoin d’un défenseur pour le repérer et le neutraliser.

Comment fonctionne la chaîne collaborative de la cybercriminalité ?

Dans la plupart des écosystèmes sophistiqués, plusieurs personnes et fonctions travaillent de concert. Il en va de même pour la cybercriminalité. Dans la chaîne collaborative de la cybercriminalité, les fournisseurs créent et produisent des outils tels que des logiciels malveillants et des kits d’exploits. Ils accordent ensuite des licences, vendent et partagent leur technologie avec des distributeurs et des affiliés, qui commercialisent ensuite leurs solutions à des clients utilisant ces solutions sur les victimes. Ils utilisent ainsi leur propre chaîne collaborative pour mieux infiltrer celle de leur victime.

Cet écosystème a été créé dans un seul but : le profit. Dans les coulisses, des personnes gèrent les transactions, sécurisent les fonds, blanchissent l’argent et distribuent les paiements. Comme dans toute entreprise, des commerciaux sont présents. Et puis il y a les mules qui déplacent l’argent de façon à ne pas être tracées.

Perturber la chaîne collaborative cybercriminelle

La bonne nouvelle est que nous sommes déjà sur la trace des cybercriminels. Les traqueurs de fraudes et les chercheurs suivent les mouvements des criminels et étudient leurs tactiques et modes opératoires pour reproduire et faire échouer leurs attaques. Nous utilisons des cartes de fréquentation (heat map) pour identifier les techniques récentes ainsi que la stratégie et le mode opératoire des criminels. Ces heat maps nous permettent également de nous orienter dans la bonne direction. Étant donné que de nombreux groupuscules cybercriminels fonctionnent comme des entreprises classiques, nous pouvons utiliser leurs propres tactiques, leurs données en temps réel et leurs renseignements, pour perturber leurs processus, rendre leurs activités plus coûteuses et ainsi les forcer à changer de tactique.

Nos efforts commencent à porter leurs fruits. Plusieurs événements survenus en 2021 constituent des victoires pour les défenseurs. Prenons l’exemple de TrickBot et de son concepteur inculpé de plusieurs chefs d’accusation en juin. Également, le démantèlement coordonné d’Emotet, l’une des franchises de malware les plus prolifiques de l’histoire récente, ainsi que les actions visant à perturber les opérations de ransomwares comme Egregor et NetWalker. Ces victoires témoignent de l’élan des cyberdéfenseurs, notamment de la collaboration entre les gouvernements et les forces de l’ordre du monde entier. Le ministère américain de la justice (DOJ) a envoyé un message fort en inculpant un partenaire de NetWalker. C’est l’une des premières fois que la justice s’en prend au partenaire commercial et pas seulement au concepteur d’un malware. Cette approche est appelée à se généraliser car si les affiliés risquent des poursuites, ils y réfléchiront sans doute à deux fois avant d’agir. L’attention suscitée par ces démantèlements a forcé quelques opérateurs de ransomwares à annoncer qu’ils cessaient purement et simplement leurs activités.

S’informer et agir

Tout le monde peut devenir un cyber champion de la lutte contre la cybercriminalité. En nous formant aux meilleures pratiques, en collaborant avec d’autres défenseurs et en exploitant des outils tels que l’intelligence artificielle (IA) pour détecter et mettre en œuvre des contre-mesures, nous pouvons garder une longueur d’avance sur les agresseurs. Réagir à un incident de sécurité est une chose, mais l’arrêter avant tout dégât en est une autre. La détection automatisée des menaces et l’IA sont des outils essentiels pour permettre aux entreprises de faire face aux attaques en temps réel et de les contrer rapidement à grande échelle, notamment au niveau des endpoints. Le Zero Trust doit être généralisé pour permettre un accès sécurisé dans un contexte de télétravail et de formation à distance. En outre, la sensibilisation à la cybersécurité est plus importante que jamais, les travailleurs ou les étudiants à domicile étant les cibles des cyberattaques au même titre que les entreprises. Tout le monde a besoin d’être formé sur les meilleures pratiques pour assurer la sécurité des individus et des entreprises.

Un moyen simple d’étayer ses connaissances en cybersécurité est de suivre les programmes de formation et d’éducation du NSE Training Institute (NSE) de Fortinet, dans le cadre du Training Advancement Agenda (TAA) de Fortinet. Ce programme propose des cours gratuits à toute personne souhaitant s’informer et se former à la cybersécurité, ainsi que des programmes plus avancés pour les professionnels. Apprendre les notions de base ne peut que nous aider tous à nous rendre plus résilient face aux attaques. La protection des mots de passe et les gestionnaires de mots de passe peuvent nous aider à protéger nos informations personnelles. Apprendre à faire attention aux emails de phishing et aux escroqueries par malvertising (une tactique malveillante qui tente de distribuer des logiciels malveillants par le biais de publicités en ligne) nous permet de ne pas succomber aux stratagèmes d’ingénierie sociale qui utilisent la psychologie pour nous manipuler et nous amener à divulguer des informations confidentielles.

La conjugaison des forces par la collaboration devrait également être une priorité pour perturber le mode opératoire des cybercriminels. Plus nous partagerons de données et d’informations sur les menaces, plus nos réponses seront efficaces et coordonnées. La formation continue à la cybersécurité ainsi que les technologies de prévention, de détection et de réponse alimentées par l’IA et intégrées à tous les niveaux (endpoints, réseaux et cloud) restent des outils fondamentaux dans la guerre contre la cybercriminalité.

On peut affirmer sans risque que la cybercriminalité n’est pas près de disparaître. Mais à mesure que les cybercriminels deviennent sophistiqués et créatifs, nous, les défenseurs, faisons de même. La collaboration et le partage d’informations de veille sur les menaces entre les entreprises, les forces de l’ordre et les entités gouvernementales mettent les projecteurs sur les cybercriminels. Et lorsqu’ils sont démasqués et que leurs opérations sont démantelées, il leur faut plus de temps pour s’en remettre. Certains affiliés, désormais dans le viseur des forces de l’ordre, abandonnent purement et simplement leur entreprise criminelle. Nous observons donc un fléchissement prometteur dans l’activité des cybermenaces, ce qui récompense nos efforts, mais il reste encore du travail. Nous sommes à un point de rupture critique de la lutte contre la cybercriminalité, et chacun d’entre nous a tout intérêt à choisir le bon camp