Les services municipaux de la ville de Baltimore, grande ville portuaire de la côte est des Etats-Unis, ont été paralysés au début de l’année par une attaque de rançongiciel, un programme informatique malveillant qui prend en otage des données personnelles.
Ce logiciel d’extorsion a bloqué l’édition des factures municipales. Les responsables municipaux avaient refusé de payer les 76.000 dollars réclamés par les pirates informatiques qui avaient crypté les fichiers de la ville, les rendant illisibles sans la clé de décodage qu’ils sont seuls à posséder.
La municipalité a dû investir 18 millions de dollars pour restaurer et reconstruire les réseaux informatiques de la ville.
Le dilemme de Baltimore et celui, similaire, d’Atlanta (Géorgie) un an plus tôt mettent en lumière les choix difficiles auxquels doivent se soumettre les villes, les hôpitaux et les entreprises victimes de ces attaques au rançongiciel, ou « ransomware » en anglais.
– La bourse ou la nuit –
Ces attaques peuvent bloquer les services essentiels d’organisations dont les réseaux informatiques sont obsolètes ou vulnérables. Deux villes de Floride auraient versé une rançon totale d’un million de dollars cette année pour ré-accéder à leurs fichiers.
À l’échelle mondiale, les pertes liées à ce type d’attaques ont augmenté de 60% l’année dernière pour atteindre 8 milliards de dollars, selon les données de l’organisation Online Society Alliance (Internet Trust Alliance).
Aux Etats-Unis, au moins 170 systèmes de comtés, de villes ou d’Etats fédérés ont été touchés depuis 2013, avec 22 incidents cette année, selon la Conférence des maires des Etats-Unis.
Celle-ci a adopté une résolution s’opposant au paiement de rançons.
« Nous assistons à davantage d’attaques contre des villes parce qu’il est clair qu’elles sont mal préparées et (…) n’ont pas les fonds nécessaires pour y remédier », a déclaré Gregory Falco, chercheur en sécurité internet à l’université de Stanford.
– Proportions endémiques –
Pour Frank Cilluffo, responsable du Centre cyber-sécurité de l’Université d’Auburn, ces attaques ont atteint des niveaux endémiques. « L’ampleur du problème est frappante et touche tout le monde, des Etats relativement robustes aux grandes métropoles en passant par les villes et les comtés plus petits ».
« Les services de police, les écoles et les bibliothèques, les agences de santé, les systèmes de transport en commun et les tribunaux sont visés … aucune juridiction n’est trop petite ou trop grande pour y échapper », a-t-il déclaré récemment lors d’une audition au Congrès.
Les établissements de santé sont aussi souvent des victimes de choix, ainsi l’hôpital Hollywood Presbyterian a révélé en 2016 avoir versé 17.000 dollars à des pirates pour ré-accéder à des données vitales.
Le ministère français de l’Intérieur a déclaré pour sa part dans un rapport récent que les autorités avaient réagi à quelque 560 incidents liés à un logiciel de ransomware en 2018.
Tandis que le FBI met en garde contre le paiement de rançons, certains analystes affirment qu’il n’y a pas de solution claire pour les victimes lorsque des données critiques sont verrouillées.
« Vous devez faire ce qui convient à votre organisation », affirme M. Falco.
Pour Josh Zelonis de Forrester Research, il faut reconnaître que « le paiement d’une rançon constitue une voie de rétablissement valable qui doit être explorée parallèlement à d’autres efforts », écrit-il dans un blog.
Mais pour Randy Marchany, responsable de la sécurité informatique à Virginia Tech University, la meilleure solution consiste à être intransigeant. « Je ne suis d’accord avec aucune organisation ni ville qui paie une rançon », a déclaré M. Marchany.
« Les victimes devront de toute façon reconstruire leur infrastructure. Si vous payez la rançon, les pirates vous donnent la clé de déchiffrage mais vous n’avez aucune assurance que le logiciel ransomware a été supprimé de tous vos systèmes. Vous devez donc les reconstruire quand même », explique-t-il.
Les sociétés ou institutions ciblées omettent souvent de prendre des mesures préventives telles que la mise à jour de leurs logiciels ou la sauvegarde de données qui limiteraient les dégâts provoqués par les attaques.
Mais les victimes peuvent ne pas toujours être au courant des solutions possibles sans payer, a déclaré Brett Callow d’Emsisoft, l’une des entreprises de sécurité proposant des outils de décryptage gratuits.
Il signale les efforts coordonnés des entreprises de sécurité, notamment le projet No More Ransom, partenaire d’Europol, et ID Ransomware, qui peuvent identifier certains logiciels malveillants et parfois déverrouiller des données.
GIPHY App Key not set. Please check settings