INFO FRANCE INTER – Plusieurs pirates, à l'origine d'attaques contre le quotidien régional Ouest France, le géant du jeu vidéo Ubisoft ou le transporteur Gefco, ont été arrêtés en Ukraine depuis le début de la semaine. Des enquêteurs français participent aux opérations.

Le groupe est soupçonné d'être à l'origine de plusieurs centaines d'attaques à travers des rançongiciels (programmes qui bloquent l'ordinateur et réclament une rançon).
Le groupe est soupçonné d'être à l'origine de plusieurs centaines d'attaques à travers des rançongiciels (programmes qui bloquent l'ordinateur et réclament une rançon). © AFP

C'est une vaste opération franco-ukrainienne. Depuis mardi matin, les polices des deux pays coopèrent pour tenter de démanteler un groupe de cybercriminels, soupçonnés d'être à l'origine de plusieurs centaines d'attaques à travers des rançongiciels (programmes qui bloquent l'ordinateur et réclament une rançon) depuis septembre 2020. Selon les informations de France Inter, des policiers de l’Office central de lutte contre la cybercriminalité de la police judiciaire ont participé à l’interpellation de plusieurs hackers, suspectés d'être en rapport de Egregor, un cyber-groupe criminel : hackers, support logistique et financier, etc.

Coopération inédite

Le parquet J3 Cyber du Tribunal de grande instance de Paris avait ouvert une enquête à l’automne dernier après le dépôt de plusieurs plaintes et des signalements au niveau d’Europol, aux Pays-Bas. Selon  nos informations, les enquêteurs français, leurs homologues européens ont pu remonter la piste des rançons, payées en bitcoin via la  blockchain, avant de localiser plusieurs suspects en Ukraine.

Les hackers avaient utilisé une méthode classique mais redoutablement efficace, à partir d’un "ransomware", un logiciel malveillant qui s'infiltre dans les boîtes e-mails. Le virus informatique peut ensuite non seulement paralyser les systèmes informatiques et les outils connectés de production de l'entreprise, mais également aspirer des données stratégiques de la société pour les diffuser ensuite, en cas de non paiement de la rançon réclamée.

Les demandes de rançons s’impriment toutes seules

Grande nouveauté, les demandes de rançons arrivaient aussi directement en version papier, via des photocopieuses elles aussi piratées. Le plus souvent, les pirates laissaient un délai de trois jours à leurs victimes pour payer et ainsi sauver leurs données, ordinateurs, ou imprimantes.

Le groupe Egregor a revendiqué, depuis son apparition en septembre dernier, plusieurs attaques spectaculaires au ransomware. Le 14 novembre dernier, c’est le géant sud-américain de la distribution Cencosud qui annonçait être  victime d’un rançongiciel très agressif.  Selon plusieurs magazines spécialisés, Egregor a repris une partie des activités de Maze, une autre organisation cyber-criminelle qui frappe sur l’ensemble de la planète.

Puis, c’était au tour du groupe SIPA-Ouest France, et l’une de ses filiales, dans la nuit du 20 au 21 novembre, de voir ses rotatives et imprimantes tomber en carafe les unes après les autres. 

Ce jour-là les hackers Egregor revendiquaient 25 cyber prises d’otages de systèmes informatiques de sociétés, dont Ubisoft ou Gefco. Depuis cet automne, les victimes d’Egregor se comptent par centaines.

Dernière victime en date d'une cyberattaque en début de semaine, l’hôpital de Dax dans les Landes, la cyber attaque la plus violente, la plus dangereuse depuis celle de l’hôpital de Rouen en novembre 2019.

Les attaques aux rançongiciels explosent depuis le début de la crise COVID

Et plusieurs groupes de hackers se partagent ce juteux marché. Mais on connait désormais le procédé qui a provoqué une paralysie des systèmes informatiques vitaux de l’établissement : l'attaque de Dax a par exemple permis  aux équipes de l’ANSSI (l’Agence  nationale de sécurité des systèmes d’information) de mieux comprendre  les faiblesses d’un grand hôpital, et surtout de voir comment on peut redémarrer "à l’ancienne" des outils connectés à de vieux système d’exploitation, qui parfois ne sont plus à jour depuis plusieurs années.

Ce sont ces mêmes équipes de l’ANSSI qui sont à  la manœuvre depuis le début de la semaine pour tenter de contrer cette attaque, en lien avec le service informatique de l’hôpital de Dax et un prestataire privé. Là encore, une enquête judiciaire a été ouverte par le parquet cyber à compétence nationale, à Paris. 

En fin de semaine dernière, face à un afflux d’appel à l’aide de sociétés, l’Anssi a dû remettre à jour sa fiche technique sur les attaques aux ransomwares, les différents types de logiciels malveillants et les conseils pour faire face. Un véritable manuel pour adopter les bons réflexes en cas de cyber attaque. Des demandes de rançon qui ont connu une progression exponentielle en 2020 : 255 %.