Les États Unis veulent traiter le ransomware comme le terrorisme

Aux États Unis, le ransomware fait les gros titres chaque semaine : après l’attaque qui a paralysé Colonial Pipeline, c’est le géant de l’agroalimentaire JBS qui faisait cette semaine les frais du groupe Revil. En parallèle de cela, le conglomérat japonais Fujifilm a annoncé cette semaine avoir été affecté par une attaque au ransomware l’ayant contraint à suspendre l’activité de son système informatique. Dans plusieurs cas, les attaquants sont parvenus à extorquer des paiements de rançons aux entreprises touchées : on a ainsi appris que Colonial pipeline s’était délesté d’une rançon de 4,4 millions de dollars afin d’obtenir la clef de déchiffrement utilisée par les pirates ayant paralysé son système.

Tout mettre en commun

Dans ce contexte chargé, les États Unis ont indiqué auprès de Reuters leur intention de revoir leur approche en matière de cybercriminalité. Selon un fonctionnaire américain interrogé par Reuters, les États unis souhaitent mettre en place un groupe de travail centralisé basé à Washington et chargé de coordonner les efforts des autorités locales sur les cas de ransomware.

Les États Unis cherchent ainsi à avoir une vision plus large du phénomène et de l’implication des différents acteurs de l’écosystème cybercriminel, en obligeant les procureurs et enquêteurs à centraliser les informations découvertes au cours de leurs investigation au sein d’une cellule centrale. Cette cellule visera à rassembler et recouper les informations techniques et les détails des affaires impliquant des ransomware, mais aussi d’affaires connexes liées à l’écosystème cybercriminel qui s’est mis en place autour de cette activité : botnets, bourse d’échange de cryptomonnaies, service d’hébergement « bulletproof » et services de blanchiment d’argent seront également dans le collimateur de ce groupe de travail spécialisé.

La méthode n’est pas neuve et a déjà été mise en place par les États Unis dans les affaires de terrorisme et certains phénomènes criminels touchant directement à la sécurité nationale. La paralysie des services de Colonial Pipelines a été un électrochoc pour les États Unis, en montrant la façon dont les attaques au rançongiciel peuvent affecter des infrastructures jugées essentielles par le pays.

La France prend également le tournant

En France aussi, la récente épidémie de ransomware a poussé les autorités à revoir leurs méthodes en matière d’investigation. Si les attaques au ransomware ne sont pas traitées par le parquet national antiterroriste, la section J3 du parquet de Paris dispose en revanche d’une compétence nationale sur les sujets liés au cybercrime, qui lui permet de centraliser les informations concernant les attaques au ransomware.

La lieutenante colonelle Fabienne Lopez, qui dirige le service d’enquêtes cyber de la gendarmerie, le C3N, expliquait ainsi en fin d’année 2020 que chaque service enquêteur travaillant sur ces sujets s’était spécialisé sur différentes « familles » de rançongiciels, « à la demande de la section J3 du parquet de Paris ». Des échanges d’informations entre les différents services sont organisés, notamment grâce à la mise en place d’une base de données commune permettant de partager des informations. Du fait de la nature internationale de ces enquêtes, les investigateurs sont également en lien avec les services d’Europol, qui travaillent également à leur niveau à permettre le partage d’information sur les cas de ransomware. Un tournant amorcé en 2020 pour faire face à la recrudescence des attaques, comme le rapportait le Monde en début d’année.

L’Anssi et les services de renseignement travaillent également de leur coté à identifier et suivre la trace des groupes à l’origine d’attaques informatiques. Le partage d’information entre ces agences et la justice est en revanche plus compliqué, mais le nouveau projet de loi renseignement adopté cette semaine par l’assemblée nationale prévoit plusieurs articles visant à faciliter la transmission d’informations venant d’agences et d’administrations publiques aux services de renseignement.