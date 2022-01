Par Olivier DELAGARDE

A ne pas en douter, le cyberespace et ses méandres technologiques n’ont pas fini de faire l’actualité. Des cybercriminels affirment détenir des fichiers du ministère français de la Justice, et ils menacent de les publier dans deux semaines si le ministère ne répond pas à leurs demandes de rançon. A l’heure actuelle, la gravité de la situation reste difficile à évaluer, et le ministère se montre prudent. Explications.

Coup de bluff ? Ce 27 janvier, le groupe de cybercriminels « LockBit » a lancé un compte à rebours de quatorze jours sur son site. Les brigands du web prétendent qu’en fin du décompte, soit le 10 février à 11h23 précisément, ils publieront plus de 10.000 fichiers appartenant au ministère de la Justice française. Autrement dit, les cybers voyous affirment qu’ils auraient réussi à pénétrer des systèmes informatiques de la Justice, à en extraire des données, qu’ils menacent désormais de faire fuiter. L’objectif de ce chantage est évident : monnayer la non-publication des fichiers contre de l’argent.

« Le ministère de la justice a pris connaissance de l’alerte, et s’est immédiatement organisé pour procéder aux vérifications nécessaires, en lien avec les services compétents dans ce domaine« , indique laconiquement le ministère de la place Vendôme à Paris. Mais d’après notre confrère de la très sérieuse publication française « Acteurs Publics », qui cite des sources internes, il y aurait bien eu une cyberattaque sans que son ampleur ne soit pour l’instant connue.

A l’heure actuelle, de trop nombreux questionnements pèsent encore sur cette affaire, de sorte qu’il soit impossible de savoir s’il s’agit d’un coup de bluff de LockBit, d’une faille de sécurité mineure ou d’une menace de sécurité grave pour la justice française. Pour vous expliquer cette étrange situation, nous avons isolé trois questions sur ce dossier.

Qui est le maître-chanteur LockBit ?

LockBit est un groupe de cybercriminels qui opère en utilisant un « rançongiciel », c’est-à-dire un logiciel malveillant capable de paralyser le système informatique d’une organisation. Concrètement, ces malfaiteurs s’infiltrent dans le réseau de la victime grâce à des vulnérabilités logicielles ou à une source en interne. Une fois introduits sur le système informatique, les malfaiteurs du web vont essayer d’obtenir l’accès au plus grand nombre de machines possible, afin d’en dérober les données. Dans un second temps, ces derniersinstallent et mettent en œuvre le rançongiciel, celui-ci ayant pour mission de chiffrer les données des systèmes de la victime, autrement dit de les rendre illisibles et incompréhensibles. En conséquence, tous les éléments touchés (ordinateurs, logiciels, portiques de sécurité…) deviennent ainsi inutilisables.

C’est à cette étape que les malfaiteurs tentent ainsi de viser leur profit. Il ne leur reste plus qu’à proposer à la victime de débloquer sa situation en échange du paiement d’une rançon. Si la victime refuse -comme le conseilleautorités et spécialistes-, alors le gang passera à une seconde étape : le chantage à la divulgation de données.

LockBit est redevenu un des gangs les plus actifs du secteur l’an dernier, avec la publication d’une nouvelle version de son rançongiciel -d’où son nom LockBit 2.0-, celui-ci comptant à son tableau de chasse plusieurs entreprises et collectivités françaises, dont la mairie de Saint-Cloud pour le cas le plus récent.

Pourquoi les cybercriminels font du chantage à la divulgation de données ?

Le chantage à la divulgation de données s’est popularisé entre 2018 et 2019 et est désormais devenu la norme dans le petit milieu du rançongiciel. Lorsque les cybercriminels ne parviennent pas à faire payer la rançon à leurs victimes, ceux-ci tirent sur cette seconde ficelle, pour à nouveau demander de l’argent.

Concrètement, ils publient une annonce sur leur propre plateforme, le plus souvent un site en « .onion » accessible uniquement par le réseau « anonyme » Tor, afin d’éviter la mauvaise rencontre de l’uniforme. Se faisant, ils rendent la cyberattaque publique, ce qui déclenche d’autres leviers de pression contre les victimes. Ces dernières peuvent ainsi craindre de se retrouver sous les feux des projecteurs médiatiques et les dommages qu’elle peut par conséquent causer sur leur image auprès des clients. Elles peuvent aussi craindre l’attention des régulateurs en cas de fuites de données sensibles et selon leur secteur d’activité.

Quelles seraient les conséquences en cas d’exécution de la menace ?

La gravité de la situation est le plus gros point d’interrogation de l’affaire. Un volume de dix mille fichiers n’est pas impressionnant comparé aux fuites presque quotidiennes de centaines de milliers voire millions de fichiers. Mais ce qui compte le plus dans ce genre de situation, c’est la qualité des fichiers : les cybercriminels de LockBit pourraient aussi bien avoir récupéré des documents de la communication du ministère français de la Justice, que des fichiers confidentiels rattachés à des dossiers sensibles. Dans le premier cas, une publication serait insignifiante pour le ministère puisque ces documents seraient déjà publics et ne contiendraient pas d’informations sensibles. Dans le second cas, la fuite pourrait déstabiliser des procédures de justice en cours ou bien encore révéler des informations nominatives ou de faits d’enquêtes.

Tout l’enjeu tient désormais dans la capacité du ministère français de la Justice à crédibiliser les menaces de ces cybercriminels, mais plus que tout à identifier l’éventuel point de fuite -si ce n’est pas déjà fait-, afin d’adopter une réponse adaptée à la faille. Heureusement, il persiste plusieurs motifs d’espoir qui laissent envisager une moindre gravité de l’incident. D’une part, les documents les plus sensibles sont généralement les mieux protégés sur les réseaux, et donc les plus hors de portée des intrus. D’autre part, une cyberattaque de grande ampleur passe rarement inaperçue, puisqu’un rançongiciel peut paralyser l’activité de milliers d’employés : l’éventuelle attaque dont le ministère français serait victime aurait donc une ampleur modérée. Enfin, les récentes menaces de LockBit contre des entreprises françaises n’ont mené qu’à la divulgation de données de faible importance. Enfin jusqu’à ce jour.

