Que se passe-t-il lorsqu’un rançongiciel frappe un service de police ? Aux États-Unis, six suspects d’une affaire de trafic de drogues ont été relâchés par la police de Stuart d’après Contact 5. Pourtant, le dossier semblait bétonné : possession de meth, possession de cocaïne, vente, fabrication, livraison… En tout, la police avançait plus de 28 charges contre les 6 suspects. Mais des fichiers essentiels à l’enquête ont été perdus après qu’un rançongiciel a infesté le système de cette petite division floridienne.
Techniquement, la police détient toujours les preuves sur ses serveurs, mais les données sont chiffrées par les hackers. Pour pouvoir les déchiffrer, il leur faut la clé, contre laquelle les hackers demandent une rançon de 300 000 dollars en bitcoin. Problème : tous les experts s’accordent pour dire qu’il ne faut pas la payer. Pour récupérer leurs données, les victimes doivent s’appuyer sur leur système de sauvegarde, parfois lacunaire.
Six semaines de police low tech
En avril 2019, des hackers malveillants avaient ciblé plusieurs services de la ville de Stuart. Leur campagne de phishing personnalisé a fonctionné sur un officier de police. L’agent a ouvert l’email hameçon et téléchargé la pièce jointe, qui contenait le rançongiciel Ryuk. Comme l’explique l’Anssi dans son rapport annuel, Ryuk est construit pour s’attaquer à de grosses structures, et est connu pour viser des institutions publiques, mais aussi des entreprises, comme Fleury Michon en France. Le logiciel a été développé par un groupe de cybercriminels russe, et ses opérateurs font attention à ne pas viser des réseaux identifiés comme russes.
Une fois Ryuk déposé sur le système de la police de Stuart, les assaillants ont attendu deux mois pour le déployer. Il a ainsi chiffré l’ensemble des données, et les hackers ont réclamé, comme à leur habitude, une rançon en bitcoins. Les policiers ont suivi le conseil du FBI de ne pas payer, malgré une lourde conséquence : pendant six semaines, les 46 employés du département ont travaillé sans informatique, seulement au papier et au stylo.
La police a perdu une demi-année de preuves
Ensuite, le département a suivi une procédure classique : elle a déployé progressivement la dernière sauvegarde de son système, tout en s’assurant d’éliminer toute trace du rançongiciel. Problème : celle-ci était trop vieille et incomplète, de sorte que certaines données n’ont pas été récupérées. Le Sergent Mike Gerwan estimait en réponse à Contact 5 que la police a perdu une demi-année de preuves numériques, dont des photos et des vidéos. Un an plus tard, le département de police est toujours en train d’analyser l’attaque et de renforcer certaines protections.
Le cas de Stuart est loin d’être isolé
Le département de police affirme avoir appris de son erreur, et a modifié sa façon de sauvegarder les preuves pour éviter la perte. Il entraîne désormais ses employés à reconnaître le phishing et à se méfier, même lorsque les emails proviennent d’adresses de collègues.
Dans le cas de Stuart, la perte de preuves fait tache, mais son cas n’est pas isolé, dans un pays ciblé bien plus régulièrement qu’en France. Sur les quatre dernières années, zdnet.com liste 6 cas de rançongiciels aux conséquences similaires, dont la dernière en décembre 2019. Parfois, ce sont des années de preuves qui sont placées hors d’accès. Finalement, peut-être que la police de Stuart ne s’en sort pas si mal.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !