« > Si vous souhaitez revoir vivants les fichiers stockés sur votre disque dur, déposez 200 dollars sur le compte offshore mentionné ci-après, à l'attention Monsieur Chombier-Tartinel, International Cybercrook Ltd, La Barbade. Si vous prévenez la police, nous disparaissons avec la clef ». Le principe de cette nouvelle forme d'escroquerie détectée par Websense est simple : en utilisant des techniques virales classiques, des cyber-rançonneurs diffusent sur les disques de leurs victimes une charge utile qui crypte tous les documents qu'elle rencontre. Docs, XLS, PPT et autres PDF sont donc toujours accessibles, mais « brouillés » et rendus inexploitables par un algorithme de cryptage dont la clef est vendue pour « la modique somme de... ».

Nos confrères de Red Nova se penchent également sur le problème et rapportent l'avis de Joe Stewart du Lurhq, lequel minimise l'affaire en expliquant que de telles pratiques ont peu de chance de se répandre : un lien tangible -le compte en banque sur lequel est versé la rançon- permet de suivre à la trace le truand et constitue donc une « faille » dans le système de protection de l'attaquant. Propos optimistes, peut-être un peu trop hâtifs, probablement destinés à masquer une totale impuissance face à cette nouvelle forme de chantage. Plusieurs raisons à cela.

D'une part, les menaces d'attaque en déni de service associées à des demandes de rançon, à l'encontre des organismes financiers en ligne et autres Web marchands, sont souvent couronnées de succès. Et dans des cas pareils, il faut bien aussi que le fruit du chantage soit transféré. Des filières et des méthodes existent donc, et, selon le degré de « sensibilité » des données et le secteur d'activité de la victime, l'impunité des cyber-escrocs est plus ou moins garantie.

D'autre part, la génération montante des technocriminels a parfaitement compris quelques grands principes enseignés par les fournisseurs de services. Notamment qu'une multitude de micro-payements peut constituer une grande rivière financière. Que n'importe quel artisan acceptera sans broncher de récupérer, pour 100 euros, le contenu du disque contenant sa comptabilité ou le fruit de son travail en cours. Que 99% de la population informatisée ne peut « casser » le plus simple des cryptages, et que la charge utile d'un tel virus peut très bien n'être qu'un EXOR combinant deux textes -le document à crypter et une phrase clef choisie au hasard-. Que la récente et lamentable histoire des enfants australiens jouant le rôle de « mules » dans une vaste opération de détournement de fonds prouve qu'il est même très simple de cloisonner un réseau de récolte d'argent. Notamment par le biais de successions de comptes situés dans des paradis fiscaux. Que, si les mailles du filet policier se resserrent sur l'un de ces voleurs d'un nouveau genre, rien ne les retient de fuir et de laisser les victimes à leur triste sort. Que le temps que passera la police à tenter de capturer les truands est autant de temps durant lequel les données demeurent inaccessibles... si tant est que l'enquête soit couronnée de succès.

Qui donc doit craindre ce genre de menaces ? Pour une fois, certainement pas les banques. Une attaque de ce genre peut tout au plus enquiquiner le RSSI d'un groupe d'agences, le temps de récupérer le backup du jour... à condition que le virus puisse survivre assez de temps pour accéder aux données, et toujours à condition que ledit virus puisse s'adapter aux systèmes d'exploitation mainframe rencontrés en chemin. En revanche, les petites entreprises et structures indépendantes, qui ne pratiquent pas de politique de sauvegarde et de déploiement de correctifs assidue, demeurent des victimes en puissance.

Certains confrères américains insistent sur le fait que cette « première » reposait sur une faille particulière, et que l'application d'une simple rustine suffisait donc à se protéger. C'est là une affirmation bien hâtive, car ce qui caractérise cette nouvelle menace, ce n'est pas sa manière, mais sa méthode. Qu'importe que la charge d'encodage soit véhiculée par un BoF d'Internet Explorer ou un ver affectant tel ou tel client de messagerie. L'école du Phishing nous enseigne que la rapidité de réaction des codeurs travaillant pour le compte de cyberescrocs dépasse et de très loin celle des « response team » de Microsoft, Mozilla ou Oracle réunis. Pour les pros du chantage, tous les « moyens » sont bons pour acheminer la charge elle-même. La complexité de la charge ou ses fondements techniques ne sont pas non plus d'une importance cruciale. En fait, 80 % de cette menace est constituée d'un matériau détonnant, fortement instable et contre lequel aucun antivirus ne peut agir : la manipulation psychologique.

. Web-profils.com, la place de marché du conseil et de l'ingénierie