Paris (awp/ats/afp) - Contre-attaque américaine, disparition de certains groupes, arrestations: l'univers des rançonneurs informatiques est secoué depuis quelques mois. Les attaques par rançongiciels restent cependant à un niveau très élevé.

Le parquet de Paris, qui dispose d'une compétence nationale pour les attaques informatiques, a ouvert 346 enquêtes en lien avec des rançongiciels sur les huit premiers mois de l'année, contre 243 sur toute l'année 2020. Ces affaires représentent désormais 85% des dossiers d'attaques informatiques qu'il traite, contre 60% l'an dernier.

Deux sociétés actives dans l'assistance aux entreprises frappées par une attaque, Wavestone et Varonis, constatent également une activité toujours très forte en 2021, avec un certain essoufflement très récemment.

Sur les trois derniers mois, il y a eu "une croissance des attaques moins forte que ce que l'on avait connu" au début de l'année, indique Gérôme Billois, spécialiste en cybersécurité chez Wavestone, mais "l'ensemble de l'année restera en croissance".

Réaction américaine musclée

"Il y a un peu moins de croissance" des attaques constatées par rapport aux "niveaux très élevés" constatés au début 2021, abonde Pierre-Antoine Failly-Crawford, responsable de la réponse à incident chez Varonis.

Ce léger ralentissement est peut-être à relier aux soubresauts qui ont agité le petit monde des rançonneurs informatiques ces derniers mois, alors que la réaction des Etats s'organise et devient plus vigoureuse.

L'attaque spectaculaire au début mai contre l'entreprise américaine Colonial Pipeline, qui a perturbé la distribution de carburant aux Etats-Unis, a provoqué une réaction musclée des autorités et une partie de la rançon versée, 4,4 millions de dollars, a été récupérée.

Les serveurs du groupe, à qui l'attaque a été attribuée, DarkSide, ont été mis hors service et le groupe a disparu des écrans radars. Certains de ses membres se retrouvent toutefois vraisemblablement aujourd'hui dans une nouvelle entité, BlackMatter.

REvil, auteur de plusieurs retentissantes attaques dont celle utilisant une version compromise d'un logiciel de la firme américaine Kaseya, semble également avoir disparu, tandis que le groupe Conti a étalé sur la place publique ses dissensions internes.

"Des perspectives d'interpellations"

Côté judiciaire, les autorités commencent à marquer quelques points. En février par exemple, des membres du groupe Egregor ont été arrêtés en Ukraine, dans une opération impliquant les polices ukrainienne et française, ainsi que le FBI.

"Aujourd'hui, nous sommes beaucoup plus dans le concret judiciairement parlant" qu'il y a encore deux ans, explique la colonelle Fabienne Lopez, la cheffe du C3N, le service spécialisé en enquêtes cyber de la gendarmerie française.

"On cible des individus. On travaille avec d'autres pays" pour parvenir à des arrestations et, "aujourd'hui, on a des perspectives d'interpellations" dans les prochains mois, ajoute-t-elle. "Même les pays un peu complaisants" à l'égard des cybercriminels "ont compris" qu'il fallait parfois "coopérer", estime de son côté un spécialiste des rançongiciels au sein du C3N.

Ne pas payer

"Mais c'est un peu comme les stupéfiants", reconnaît-il également: "Vous coupez une branche et ce qui reste se restructure et revient sous un autre nom..."

Le diagnostic est partagé par Pierre-Antoine Failly-Crawford. Les réactions des Etats ont probablement surpris les rançonneurs et leur compliquent un peu la tâche, mais "cela ne va pas mettre un coup d'arrêt à leur activité, qui est beaucoup trop rémunératrice: récupérer 3 millions d'euros en une attaque, cela vaut le coup", fait-il valoir.

"La seule chose qui pourrait avoir un effet sur le volume d'attaques, ce serait que les sociétés ne paient pas [...] Malheureusement, on voit que ce n'est clairement pas la direction qui est prise", poursuit-il, en allusion aux débats sur la prise en charge ou non par les assurances du paiement des rançons.

Selon une estimation récente de Wavestone, environ 20% des entreprises touchées par une attaque au rançongiciel verseraient une rançon pour retrouver leurs données. "A mon avis, pour les grosses sociétés avec de grosses rançons demandées - plus d'un million d'euros -, on est plus proche d'une entreprise sur deux", estime Pierre-Antoine Failly-Crawford.

afp/al