Par Moon of Alabama

Paru le 10 juillet 2021 sur le blog Moon of Alabama

Les attaques ransomwares(*) continuent de toucher de nombreuses entreprises. Au début du mois, une attaque par le biais de Kaseya VSA, un logiciel de gestion à distance, a mis hors service plusieurs fournisseurs de services et environ 1 500 de leurs clients. Leurs données ont été cryptées et ne seront restaurées que s’ils paient la rançon demandée.

Ces attaques se multiplient car elles sont faciles à réaliser et comportent peu de risques. Les plateformes de base pour des attaques spécifiques peuvent simplement être louées auprès de fournisseurs clandestins :

« Je pense que la plupart des gens pensent que le pirate informatique stéréotypé est quelqu’un qui s’intéresse de près au codage », a déclaré l’officier. « La situation a changé : il fallait auparavant être très compétent sur le plan technique pour être un pirate, mais le cybermarché ou le cyberespace clandestin a évolué de telle sorte que beaucoup de ces choses sont devenues des services. »

L’industrie s’est diversifiée, a-t-il ajouté.

« Ces attaquants de réseaux, au lieu de s’enrichir eux-mêmes, louent maintenant leurs services et leur expertise à d’autres, et c’est de là que vient l’amplification du phénomène », a expliqué l’officier. « Ce sont d’autres personnes qui louent leurs services maintenant. Cela débloque une autre catégorie de personnes qui peuvent être opportunistes et profiter d’une mauvaise sécurité informatique. »

Certains de ces services de ransomware à louer, comme REvil, sont gérés par des groupes russophones. Mais cela ne signifie pas que les personnes qui utilisent ces services soient russes ou que les attaques ont lieu depuis un terrain russe. Le dernier coup de filet qui a touché les sections de commandement et de contrôle du service de cybercriminalité soi-disant « russe », Emotet, s’est déroulé dans la capitale ukrainienne, Kiev. Si ces criminels parlaient russe, ils n’étaient pas russes et la Russie n’était pas du tout impliquée.

Malgré cela, les médias américains imputent toutes les attaques récentes à la Russie et les utilisent pour inciter l’administration Biden à répondre en attaquant la nation russe.

Le ton est donné par le New York Times et son correspondant belliciste à la Maison Blanche et à la sécurité nationale, David Sanger. Mercredi, il écrivait un article intitulé « Biden envisage une réponse aux attaques ransomwares », suivi par un autre, vendredi, intitulé « Biden avertit Poutine d’agir contre les groupes ransomwares, sinon les USA réagiront ».

Ces titres et ces articles sont trompeurs dans la mesure où ils fixent des attentes auxquelles l’administration Biden ne veut ou ne peut pas répondre, pour de bonnes raisons.

Le premier article, par exemple, dit :

« Biden est soumis à une pression croissante pour qu’il prenne une mesure visible – peut-être une frappe sur les serveurs ou les banques russes qui les font fonctionner – après avoir lancé plusieurs avertissements sévères à Moscou selon lesquels il répondrait aux cyberattaques contre les États-Unis par ce qu’il a appelé une action « en nature » contre la Russie ».

Les écrits de Sanger à eux seuls sont la « pression croissante ». L’article cite ensuite un certain nombre de faucons anti-russes qui suggèrent des « options de représailles » très déraisonnables :

« Dmitri Alperovitch, fondateur de la société de cybersécurité CrowdStrike, et désormais fondateur du groupe de réflexion Silverado Policy Accelerator, a affirmé que tant que M. Biden ne prendra pas de mesures pour réduire de manière significative les revenus pétroliers de la Russie, il n’attirera pas l’attention de M. Poutine.

[…]

Ces derniers jours, cependant, un nombre croissant d’experts ont fait valoir que les États-Unis sont désormais confrontés à un tel barrage d’attaques qu’ils doivent riposter avec plus de force, même s’ils ne peuvent pas contrôler la réponse ».

« Vous ne voulez pas que l’escalade devienne incontrôlable, mais nous ne pouvons pas avoir peur de cela au point de nous lier les mains », a déclaré M. Painter.

William Evanina, qui a récemment quitté un poste de haut niveau dans le domaine du contre-espionnage au sein du gouvernement américain et conseille désormais des entreprises, a déclaré qu’il conseillerait à M. Biden « d’être audacieux ».

[…]

Si Moscou voulait empêcher les cybercriminels russes de pirater des cibles américaines, les experts disent qu’elle le pourrait. C’est pourquoi, selon certains experts russes, les États-Unis doivent s’en prendre à la kleptocratie russe, soit en divulguant les détails des finances de M. Poutine, soit en gelant les comptes bancaires des oligarques ».

« La seule langue que Poutine comprend est le pouvoir, et son pouvoir, c’est son argent », a déclaré Garry Kasparov, le grand maître d’échecs russe et critique de Poutine. « Il ne s’agit pas de chars d’assaut ; il s’agit de banques. Les États-Unis devraient effacer les comptes des oligarques, un par un, jusqu’à ce que le message soit transmis. »

Bien sûr, faisons exploser le système bancaire international en manipulant les comptes de particuliers russes alors que nous ne savons même pas si les cyberattaques criminelles sont menées par des Russes ou depuis la Russie.

L’article le plus récent de Sanger est également empreint de belligérance :

« Le président Biden a averti vendredi le président russe Vladimir V. Poutine qu’il ne lui restait plus beaucoup de temps pour maîtriser les groupes de ransomware qui frappent les États-Unis, annonçant qu’il pourrait s’agir de la dernière chance pour M. Poutine de prendre des mesures contre les cybercriminels russes avant que les États-Unis ne prennent des mesures pour démanteler eux-mêmes la menace.

Dans son avertissement le plus sévère à ce jour, M. Biden a fait savoir, lors d’un appel téléphonique à M. Poutine, que les attaques ne seraient plus traitées uniquement comme des actes criminels mais comme des menaces pour la sécurité nationale – et qu’elles pourraient donc provoquer une réponse beaucoup plus sévère, selon des responsables de l’administration. Ce raisonnement fait écho à la justification juridique utilisée par les États-Unis et d’autres pays lorsqu’ils franchissent les frontières d’un autre pays pour mettre en déroute des groupes terroristes ou des cartels de la drogue ».

Bien sûr, les forces spéciales américaines seront parachutées à Moscou pour attraper des cybercriminels qui peuvent, ou pas, s’y trouver.

L’avertissement que Sanger rapporte n’ait en fait jamais été donné. Biden lui-même est cité dans le paragraphe suivant (emphase ajoutée) :

« Je lui ai dit très clairement que les États-Unis s’attendent, lorsqu’une opération de ransomware provient de son sol, même si elle n’est pas parrainée par l’État, à ce qu’ils agissent si nous leur donnons suffisamment d’informations sur l’identité de cette personne pour agir « , a déclaré M. Biden aux journalistes ».

C’est là le point crucial. Les États-Unis ne savent pas qui a mené ces attaques ni d’où elles ont été contrôlées. Ils n’ont donné à la Russie aucun nom ni aucune preuve sur la base desquels elle pourrait agir. Le rapport par le Kremlin de la conversation téléphonique entre Biden et Poutine fait explicitement ressortir ce point :

« Dans le contexte des récents rapports sur une série de cyberattaques menées ostensiblement depuis le territoire russe, Vladimir Poutine a noté que, malgré la volonté de la Russie d’endiguer les manifestations criminelles dans l’espace d’information par un effort concerté, aucune demande de renseignements sur ces questions n’a été reçue des agences américaines au cours du mois dernier. Dans le même temps, compte tenu de l’ampleur et de la gravité des défis dans ce domaine, la Russie et les États-Unis doivent maintenir une coopération permanente, professionnelle et non politisée. Cette coopération doit être menée par le biais de canaux d’échange d’informations spécialisés entre les agences gouvernementales autorisées, par des mécanismes judiciaires bilatéraux et dans le respect des dispositions du droit international.

Les dirigeants ont souligné la nécessité d’une coopération détaillée et constructive en matière de cybersécurité et de la poursuite de ces contacts ».

La Russie propose depuis longtemps d’engager des discussions plus approfondies et de conclure un traité sur les questions de cybersécurité. Lors d’un bref interlude avec les médias, le président Biden a déclaré que des réunions à ce sujet allaient maintenant avoir lieu :

Q : Monsieur le Président, quelles sont les conséquences pour Poutine s’il ne prend pas de mesures contre les cyberattaques ?

LE PRÉSIDENT : Eh bien, nous avons mis en place un comité – un comité conjoint. Ils se réunissent le 16, je crois. Et je crois que nous allons obtenir une certaine coopération. Je vous remercie.

Q : M. le Président, qu’attendez-vous du président Poutine (inaudible) – qu’attendez-vous qu’il fasse ? Quelles sont ces actions ?

LE PRÉSIDENT : Il n’est pas approprié pour moi de dire ce que j’attends de lui maintenant. Mais nous verrons bien.

Ces réponses semblent loin de la belligérance que le journaliste du NYT tente de faire croire.

Le problème des attaques paralysantes par ransomware ne fera que s’aggraver et en imputer la responsabilité à la Russie n’y changera rien. L’outil le plus fondamental permettant ces cyberattaques criminelles est le moyen d’échange par lequel les rançons sont payées :

« Permettez-moi de brosser le tableau d’un avenir sombre, qui semble se diriger vers nous bien plus vite que le public ne le sait. C’est un avenir dans lequel les ransomware et les vols massifs de données sont si omniprésents qu’ils ont déjà trouver leur chemin dans notre vie quotidienne.

[…]

Ce qui est nouveau, c’est que le niveau de ces attaques a atteint un niveau élevé au cours des dernières années en raison d’un simple fait. A cause de l’ajout du bitcoin au problème, c’est incroyablement rentable, peu risqué et presque le crime parfait. Il s’agit également d’un outil économique très réel que les États peuvent utiliser pour perturber leurs infrastructures respectives.

La raison unique pour laquelle ces attaques sont possibles est entièrement due à l’essor des crypto-monnaies. Considérez la même situation dans le cadre du système bancaire international existant. Rendez-vous dans votre agence bancaire locale et essayez de transférer 200 000 dollars à un étranger anonyme en Russie et voyez comment cela se passe. Les ransomwares modernes ne pourraient pas exister sans le Bitcoin, ils ont jeté de l’huile sur un feu que nous ne pourrons peut-être pas éteindre ».

Il n’y a pas que le bitcoin, mais aussi un certain nombre d’autres crypto-monnaies qui n’ont aucune justification réelle pour exister. Mais il existe des points de transition entre l’argent réel et les crypto-monnaies, et inversement, où ce problème peut être résolu :

« Les échanges de crypto-monnaies sont le canal par lequel circulent tous les fonds illicites de cette épidémie. Et c’est le seul canal que le gouvernement américain a tout pouvoir de contrôler et de réglementer. La libre circulation de l’argent des banques américaines vers les bourses de crypto-monnaies est la cause première de cette pandémie et doit cesser. Grâce aux sanctions, au contrôle du réseau SWIFT et à nos alliés de l’OTAN, le gouvernement fédéral dispose de tous les outils nécessaires pour mettre un terme à ces flux illicites. Rien de précieux ne serait perdu en fermant le robinet de l’argent noir et du commerce du darknet. Les crypto-monnaies sont presque entièrement utilisées pour des activités illicites, des jeux d’argent et des investissements frauduleux et, dans l’ensemble, elles ne présentent aucun avantage pour la société dans son ensemble, tout en ayant des inconvénients illimités et des externalités négatives massives ».

Une interdiction des crypto-monnaies désactiverait les moyens de paiement sûrs que les attaquants criminels de ransomware utilisent actuellement. Toutes les autres méthodes de paiement nécessitent une interaction physique ou une vérification de la personne. Leur utilisation augmenterait considérablement le risque pour les cyberattaquants.

La bonne nouvelle est que l’administration Biden a pris conscience de ce problème. La semaine dernière, la conseillère adjointe à la sécurité nationale pour le cyberespace et les technologies émergentes, Anne Neuberger, le faisait remarquer :

« Mme Neuberger a décrit la stratégie de l’administration en matière de ransomware, qui comprend plusieurs axes d’action : la perturbation de l’infrastructure et des acteurs du ransomware en travaillant en étroite collaboration avec le secteur privé ; la coopération internationale et tenir pour responsables les pays qui abritent des acteurs du ransomware ; l’élargissement de l’analyse des crypto-monnaies pour trouver et poursuivre les transactions criminelles ; et l’examen par le gouvernement fédéral de l’élaboration d’une approche cohérente et homogène en matière de paiement des rançons ».

Un briefing sur l’appel Biden-Poutine d’hier montre que ce sujet a également été abordé:

« C’est plus qu’une simple conversation entre deux dirigeants, le président Biden et le président Poutine. Il s’agit en fait de notre propre résilience, en tant que nation, face à ces attaques, et de son renforcement. C’est en grande partie l’objet du décret sur la cybersécurité. Il s’agit de relever les défis posés par les crypto-monnaies, qui alimentent ce type de transactions ».

Un attaquant ransomware peut être basée au Kirghizstan, utiliser un réseau proxy suisse pour accéder à des serveurs loués au Canada à partir desquels la cyberattaque est lancée en utilisant des outils développés en Estonie mais gérés depuis l’Espagne. Il existe des moyens de dissimuler ces itinéraires et de falsifier les nationalités impliquées. Accuser la Russie ou tout autre pays de ces attaques ou menacer de riposter contre les actifs des États-nations est une absurdité belliciste.

L’attaque Kaseya VSA a entraîné la fermeture de 800 magasins d’alimentation locaux de la chaîne suédoise Coop pendant plus d’une semaine. Des millions de personnes ont été affectées par cette attaque dans leur vie quotidienne. Les technologies de l’information étant de plus en plus présentes dans notre vie quotidienne, nous n’avons plus la possibilité d’éviter les attaques ransomware et leurs conséquences.

Ce que l’on peut faire, c’est désactiver le canal de paiement en crypto-monnaies qui est utilisé par les attaquants avec peu ou pas de risques. Même si cela ne résout pas complètement le problème des attaques de ransomware généralisées, cela le rendra au moins plus gérable.

Moon of Alabama

(*) [attaques qui consistent à bloquer le système informatique d’une entreprise et le débloquer en échange d’une rançon, NdT]

Traduction: Sakerfrancophone

Imprimer