Les cybercriminels prennent rarement la parole, et lorsqu’ils le font, c’est le plus souvent pour médiatiser un de leur méfait. C’est pourquoi la longue discussion, publiée le 2 février, entre Talos, l’équipe de recherche en cybersécurité de Cisco, et « Aleks », un cybercriminel vraisemblablement russe, est si intéressante.

Aleks est un « partenaire » des administrateurs du rançongiciel LockBit. Auparavant, il a aussi travaillé avec Maze, une des organisations les plus redoutées de ces dernières années, qui a révolutionné les pratiques des cybercriminels avant de prendre sa retraite. Concrètement, ces partenariats offrent à Aleks l’accès à plusieurs outils offensifs, dont les fameux « rançongiciels », un type de malware capable de paralyser tout le réseau informatique et les machines des victimes. Lorsque le hacker réussit son coup, il exige une rançon en échange de la réparation des dégâts, puis il menace de publier les données volées si la victime ne s’exécute pas. Une fois la somme payée, il empoche jusqu’à 35% du montant, le reste étant gardé par les administrateurs du rançongiciel.

blu-rayps3.jpg

De l’argeeeeeent. // Source : Capture d’écran YouTube John Maverick

Comme beaucoup d’autres, le hacker interrogé par Cisco traite son activité criminelle comme n’importe quel métier, avec ses horaires de bureau, ses contraintes et avantages. Il justifie ce choix de « carrière » par les gains que lui apportent ses méfaits, et le peu de considérations (financières et humaines) accordées aux employés des entreprises de cybersécurité en Russie. D’ailleurs, il n’hésite pas à prétendre qu’il travaillerait du bon côté de l’échiquier s’il pouvait avoir les mêmes conditions de travail qu’en Occident.

Cet homme d’une trentaine d’années opère seul, bien qu’il échange astuces et bons plans avec plusieurs communautés de cybercriminels. Et après plusieurs années dans le secteur, il sait comment s’y prendre et qui cibler pour faire son gagne-pain.

Les hackers capitalisent sur les bugs connus

Le profil d’Aleks serait celui de la majorité des cybercriminels : c’est un hacker autodidacte, toujours à l’affût de la moindre nouveauté, mais loin d’être un génie du code. Aleks préfère exploiter des problèmes de sécurité bien connus, qu’il trouve gratuitement, pour s’introduire chez ses victimes. Il profite de la difficulté qu’ont certaines organisations à déployer les mises à jour de sécurité publiées par les éditeurs de logiciel, et du simple oubli d’autres.

Pour lui, c’est l’option de facilité : les codes malveillants pour exploiter ces failles sont accessibles publiquement, et utilisables sans compétences pointues. Autrement dit, la plupart des cybercriminels n’inventent rien, et se contentent de reproduire ce qui fonctionne.

Le hacker confirme aussi un des conseils les plus répandus : il faut déployer les mises à jour de sécurité dès qu’elles sont publiées. Certes, les vulnérabilités ne sont présentées par les entreprises concernées qu’une fois qu’elles ont été réparées. Mais les cybercriminels comme Aleks exploitent les démonstrations des chercheurs en cybersécurité pour exploiter ces failles. Ils s’engouffrent dans le laps de temps entre la publication du patch et son déploiement. Ainsi, ils profitent des failles découvertes par les entreprises elles-mêmes pour s’attaquer à leurs clients trop peu précautionneux.

Les Européens, victimes rentables

Le hacker interrogé par Talos s’explique également sur sa façon de choisir ses cibles. Pour lui, les entreprises du Moyen-Orient sont les cibles les plus faciles à attaquer, en raison de la pauvreté de leurs défenses. Ensuite, il préfère s’en prendre aux Européens. « L’Europe paie, car ils ont peur du RGPD », affirme-t-il aux chercheurs. À l’inverse, les entreprises américaines paieraient moins facilement d’après lui, et le paiement des demandes de rançon serait encore moins bien vu.

Il est vrai qu’au sein de l’Union européenne, le règlement général européen sur la protection des données peut faire figure d’épouvantail financier malgré lui. Bien que considérée comme victime de l’attaque, l’organisation est aussi considérée comme « responsable de traitement » s’il y a une fuite de données, comme dans le cas des attaques rançongiciel. Elle est alors soumise à un devoir de notification aux autorités des données comme la Cnil en France. Si les données compromises rentrent dans certains critères, l’organisation aura aussi une obligation de communication auprès des personnes concernées.

Pour finir, l’entreprise victime peut être exposée à une amende, du montant le plus élevé entre 10 millions d’euros et 2% de son chiffre d’affaires mondial. Si certains critères aggravants sont cochés (négligence dans le traitement des données, non-respect du processus de notification…), les autorités peuvent invoquer un second palier, et l’entreprise devra payer la somme la plus importante entre 20 millions d’euros et 4% de son chiffre d’affaires mondial. De quoi effrayer certaines entreprises victimes, qui ne connaissent pas toujours le détail de ces dispositifs. Cette menace financière s’ajoute à celle liée au ralentissement de l’activité, et peut pousser les victimes à payer leurs rançonneurs…

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.