Retour au papier
L’administration du Grand Cognac tient sur un petit tabouret. Ce mardi 22 octobre 2019, les employés de la communauté d’agglomération charentaise s’en servent tour à tour pour accéder aux classeurs d’une grande étagère. Puis ils redescendent sur la moquette grise et regagnent leur poste. De retour devant leur écran, où un logiciel est occupé à scanner le disque dur, chacun plonge dans un mille-feuille de dossiers pour extraire ici une donnée financière, là un document d’urbanisme. Mais tout n’y est pas. Dix jours plus tôt, la collectivité a perdu une grande partie de ses données.
Dans la nuit de vendredi à samedi 13 octobre, vers une heure du matin, un virus a apparemment pénétré un ordinateur via la messagerie pour se propager sur le réseau. Quelques e-mails ont ensuite été envoyés pendant le week-end, sans jamais arriver à destination. Personne ne s’en est inquiété avant de revenir au bureau, le lundi suivant. Le président de l’agglomération, Jérôme Sourisseau, et ses équipes ont alors réalisé que des milliers de fichiers étaient illisibles. Sur le serveur central, des informations internes mais aussi des documents d’urbanisme étaient chiffrés. Voyant jusqu’à 10 années de travail partir en fumée, les agents ont été invités à partir en vacances.
Alors que la police et la gendarmerie lançaient une enquête mercredi 16 octobre, l’agglomération de près de 70 000 habitants se mettait à la recherche de nouveaux ordinateurs. Le dimanche suivant, une demande de rançon lui a été adressée. Un pirate réclamait 200 000 dollars (179 000 euros) contre une clé permettant de déchiffrer les données perdues. Sachant que les dégâts sont évalués à « au moins 150 000 euros », Jérôme Sourisseau affirme n’avoir aucune intention de payer. Il préfère pour l’heure essayer de récupérer les informations auprès d’autres organismes et promet que le fonctionnement redeviendra normal en une dizaine de jours.
Au cours de leurs recherches, les forces de l’ordre ont identifié une opération non seulement similaire, mais aussi concomitante. Dans la nuit de vendredi à samedi 13 octobre, un autre virus se propageait aux ordinateurs de la chaîne M6, privant ses équipes de cartes, d’images d’archives, d’e-mails et de lignes téléphoniques. L’attaque se distingue de celle subie par TV5Monde en 2015, en ceci qu’elle n’avait pas pour but de diffuser des messages à l’antenne. Cette fois, « une demande de rançon » a été évoquée en interne. La direction a beau démentir, tout porte à croire que M6, comme Grand Cognac, a été victime d’un ransomware, un logiciel malveillant qui prend en otage des données afin d’en tirer de l’argent.
Aux États-Unis, ce type d’offensives a été multiplié par 48 entre 2013 et octobre 2019, selon les chiffres compilés par StateScoop. Depuis le début de l’année, le média en ligne en a recensé 97. Six d’entre elles faisaient partie des dix plus lucratives. Dans un rapport publié en mai dernier, l’analyste Allan Liska pointe l’augmentation du nombre de piratages de collectivités américaines par des ransomwares. Après le pic de 2016, il a observé une baisse l’année suivante, une légère résurgence en 2018, et surtout une forte hausse cette année. Outre-Atlantique, une centaine d’intrusions par ransomware ont été repérées par le secteur public, contre 51 l’an passé.
Pour Allan Liska, cette inflation s’explique par un changement de stratégie des hackers. Au lieu de cibler une Ville particulière, ils passent par les prestataires qui gèrent les serveurs de nombreuses petites collectivités de manière à faire coup double en exploitant une brèche. Une approche sans discernement qui n’est pas sans rappeler celle utilisée par le premier auteur d’un ransomware, en 1989.
Tache d’huile
À l’aéroport Schipol d’Amsterdam, ce jour d’avril 1989, un cri résonne dans le hall. « Le docteur Popp a été empoisonné ! » hurle un homme en parlant de lui à la troisième personne. En transit entre le Kenya et les États-Unis, le biologiste américain Joseph Popp fait une nouvelle crise de paranoïa. Nouvelle crise, car ce consultant de l’Organisation mondiale de la santé (OMS) est convaincu que « les gouvernements du tiers monde » conservent des techniques de protection contre le sida hors de portée de leurs populations pour contrôler la croissance démographique.
Ces délires l’ont poussé à diffuser sa propre infection : entre le 7 et le 11 décembre 1989, 20 000 personnes ont reçu une enveloppe contenant une disquette de « renseignements introductifs sur le Sida ». En réalité, elle recelait un programme qui chiffre les données et propose de les restaurer contre une redevance annuelle de 189 dollars. Le virus s’appelle PC Cyborg. En se laissant aller à une nouvelle crise paranoïaque, à l’aéroport de Schipol d’Amsterdam, Joseph Popp se trahit. La police intervient. Parmi ses affaires, elle retrouve un autocollant « PC Cyborg ».
Pendant plus d’une décennie, ce ransomware reste un cas isolé. Il faut attendre la popularisation des e-mails pour que d’autres pirates tentent d’extorquer des internautes. En 2006 une flopée de programmes baptisés Gpcode, TROJ.RANSOM.A, Jrotten, Cryzip, WinLock, MayArchive ou Archiveus font tache d’huile. Au fur et à mesure de leur montée en puissance, leurs auteurs voient plus gros et se tournent vers les institutions. En 2012, Reveton imite d’abord un message du FBI pour tromper les particuliers. Un peu plus d’un an plus tard, le ransomware CryptoLocker s’en prend à la police de Swansea, dans le Massachusetts. Ses responsables avertissent le FBI, le vrai, et prennent la « décision professionnelle » de lâcher 750 dollars pour récupérer leurs données.
Derrière CryptoLocker et Gameover Zeus, un autre virus alors très utilisé, l’agence américaine remonte la trace d’Evgeniy Bogachev. Si les programmes sont mis hors d’état de nuire, le pirate russe court toujours et une récompense de trois millions de dollars est aujourd’hui promise contre sa capture. À partir de 2016, une nouvelle menace émerge sous le nom de SamSam. Ce logiciel assiège Newark, dans le New Jersey, l’agence des transports du Colorado, le port de San Diego et même d’Atlanta, ville de 498 000 habitants.
Tandis que Newark et New Jersey paient 30 000 dollars, Atlanta refuse de céder. L’intransigeance a peut-être l’avantage de décourager d’autres hackers. Mais selon un rapport de l’Atlanta Journal Constitution, la commune de Georgie pourrait en avoir pour près de 17 millions de dollars de dégâts. Alors, en mars 2019, le comté de Jackson débourse 400 000 euros pour réparer le préjudice du ransomware Ruyk. Trois mois plus tard, c’est Baltimore qui subit le chiffrement de RobinHood. Ses élus, qui refusent de payer, ont depuis renvoyé le responsable de l’informatique.
Selon Liska, ils sont d’ailleurs moins enclins à le faire que les particuliers : 17 % des institutions publiques sortent le porte-feuille contre 45 % des victimes privées. Les hackers ont donc sans doute plus intérêt à s’en prendre à une entreprise bien dotée qu’à une collectivité. Cela dit, cette dernière comporte un avantage : elle donne à l’attaque une large couverture médiatique. Au regard de son importance, le piratage de M6 a fait couler bien peu d’encre par rapport à celui de Grand Cognac.
Les attaques contre le secteur public vont en tout cas se poursuivre car « elles fonctionnent », constate Eli Sugarman, directeur du programme de cybersécurité de Hewlett Foundation. « Les Villes ont du mal à sécuriser leur systèmes complexes et souvent obsolètes. » Désormais, elles vont devoir prendre le problème au sérieux.
Couverture : Dianor S.