LES DOSSIERS DE LA CYBERCRIMINALITÉ : LE RANSOMWARE

Définition : 

Les « rançongiciels » (« ransomwares » en anglais) sont des logiciels malveillants qui bloquent l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclament à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. La machine peut être infectée après l’ouverture d’une pièce jointe, ou après avoir cliqué sur un lien malveillant reçu dans des courriels, ou parfois simplement en naviguant sur des sites compromis, ou encore suite à une intrusion sur le système. 

Dans la majorité des cas, les cybercriminels exploitent des vulnérabilités connues dans les logiciels, mais dont les correctifs n’ont pas été mis à jour par les victimes. 

L’Agence nationale de la sécurité des systèmes d’information (A.N.S.S.I.) a d’ailleurs définit la pratique du ransomware comme une « forme d’extorsion imposée par un code malveillant sur un utilisateur du système ». 

Le contexte actuel :

D'après la société Forrester, le nombre de ce type d'attaques concernant des entreprises a grimpé de 500% sur un an. [1] 

Précisons à ce propos que tous les systèmes sont potentiellement exposés aux rançongiciels et pas seulement sous Windows.

En effet, dernièrement, NextCry a été identifié, chiffrant les fichiers sur les serveurs Nextcloud sous Linux et PureLocker les systèmes multi-OS.

D’ailleurs, en France, nombre d'organisations ont été victimes de ransomwares cette année. 

À titre d’exemples, il est possible de citer les groupes de distribution et détaillants en vêtements Go Sport et Courir et en début d'année la société Altran visée par un crypto-locker utilisant un « code inédit indétectable par les meilleurs pare-feux et mécanismes de défense informatique », avait indiqué l’A.N.S.S.I. 

Outre ces grands groupes, certaines entreprises de plus petites tailles mais ayant une grande importance stratégique ont également fait les frais de ce type d'attaques.

À titre d’exemple toujours, la société Picoty SA spécialisée dans le négoce de produits pétroliers à qui il avait été demandé une rançon de 500 000 euros pour déchiffrer 80% de ses données. [2]

Précisons enfin que selon Malwarebytes, le nombre d'attaques par ransomware a progressé au deuxième trimestre 2019 de 365% par rapport à l'année précédente. Sur le troisième trimestre écoulé, Kaspersky – leader mondial de la cybersécurité - a de son côté enregistré 229 643 attaques par ransomware, en recul sur un an de 11%.

Il apparaît alors que ces chiffres sont contrastés et font état d'une évolution de la nature des attaques et de leur volume. 

Cela s’explique par le fait qu'auparavant les attaquants réalisaient des attaques massives afin de toucher le plus de monde possible – reprenant la technique du phishing -, ces derniers mois une évolution dans la stratégie d'attaque semble se dessiner, à savoir une sélection plus rigoureuse des cibles. 

Dès lors, il est possible d’observer la tendance selon laquelle des campagnes de ransomwares moins importantes en termes de volumes sont menées de plus en plus ardemment mais sont plus resserrées sur des cibles potentielles et plus « rentables » comme des aéroports touchant moins le grand public que les entreprises. 

Les différentes formes de ransomware :

Les rançongiciels peuvent se présenter sous deux formes : 

- « les cryptowares » chiffrant les données qui se trouvent sur l’ordinateur ; et ce, parfois de manière irréversible, 

- « les virus gendarmerie » tendant à leurrer la victime en lui faisant croire à la présence d’activités illicites sur l’ordinateur bloqué et imposant le paiement d’une « amende », bien évidemment fallacieuse.

Le process de l’attaque :

Une fois les données chiffrées, la victime ne peut plus accéder au contenu de son système d’information sauf à s’acquitter de la rançon demandée. 

Cependant, et il est primordial de le préciser, même en s’acquittant de la rançon, la victime ne pourra pas récupérer lesdites données. En effet, le « hacker » peut ne jamais communiquer la clé privée de déchiffrement. De surcroît, effectuer le paiement s’avère être une parfaite incitation à la réitération pour les hackers, script-kiddies ou autres cyberdélinquants. 

Mêmement, s’acquitter d’une telle somme pourrait avoir pour effet de “financer” indirectement et sa le savoir la mise au point de ransomware plus performants encore et qui causeront des dégâts d’une plus grande envergure encore dans un future proche. 

Le positionnement de la législation française vis à vis des ransomware :

L’article 323-3-1 du Code pénal dispose que « Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. ». 

Il en résulte alors que l’offre, l’importation, la détention, la mise à disposition ou la cession d’un tel programme est susceptible de constituer une infraction. 

Précisons également que les articles 323-1 à 323-3 du Code pénal prohibent l’accès, le maintien dans un système de traitement automatisé de données, l’entrave ou le faussement du fonctionnement d’un tel système ainsi que l’extraction, la reproduction, la transmission, la suppression ou la modification frauduleuse des données qu’il contient.

Mais au-delà de l’appréhension du ransomware par des délits propres au droit pénal des nouvelles technologies, cette pratique est susceptible de revêtir les éléments de délits plus classiques du droit pénal.

Il est ainsi possible d’évoquer l’extorsion, prévue à l’article 312-1 du Code pénal qui dispose que : 

« L'extorsion est le fait d'obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque. »

Le ransomware s’apparente ainsi à une extorsion de fonds en ce que les données du système d’information sont monnayées par ceux qui les ont chiffrées contre le versement d’une somme d’argent. 

En l’espèce, il y a donc bien une menace contraignant la victime à remettre des fonds.

De la même manière, le procédé du ransomware pourrait également s’apparenter à du chantage en ce que l’objectif du délinquant informatique est d’obtenir, en menaçant de révéler ou d’imputer des faits de nature à porter atteinte à l’honneur d’une entreprise ou d’une personne, la remise de fonds (article 312-10 du Code pénal).

Pareillement, la qualification de remise de fonds sous contrainte s’avère également envisageable en ce qu’elle suppose de solliciter, en réunion et de manière agressive la remise de fonds (article 312-12-1 du Code pénal). 

Il conviendra en pareil circonstances de démontrer notamment la participation d’au moins deux personnes à la commission de l’infraction.

Enfin, il convient de souligner le fait que le ransomware ne peut être qu’une infraction initiale servant un plus grand dessein délictuel voire criminel.

En effet, le but du ransomware peut également être de transmettre les données à des tiers, via des montages particuliers. 

Dès lors, la qualification de recel peut également s’appliquer car elle consiste notamment en la transmission d’une chose dont la personne sait qu’elle provient d’un crime ou d’un délit (article 321-1 du Code pénal).

De même, du fait de la soustraction des données, définitivement ou parfois temporairement, le rançongiciel permet un vol de données.

En conclusion, le ransomware est un procédé protéiforme susceptible de revêtir plusieurs qualifications juridiques tant dans le cadre des délits liés aux atteintes aux systèmes d’information, que dans le cadre des délits les plus classiques du droit pénal. 

En cas d’attaque par ransomware, la victime ne doit donc pas céder à ce chantage et contacter un avocat compétent en cybercriminalité qui saura l’aiguiller dans la procédure à suivre afin de maximiser ses chances afin de récupérer les précieuses données devenues inaccessibles à cause du pirate.