Qu'ils demandent des rançons ou qu'ils effacent les contenus des ordinateurs, les logiciels malveillants mettent sur les dents les spécialistes de la cybersécurité, tant l'imagination des pirates semble sans limites.
Parmi la longue liste des «malwares», ces logiciels malicieux qui harcèlent nos réseaux informatiques, les «ransomwares» - ou rançongiciels - se sont multipliés ces derniers temps: ils bloquent les fichiers, ceux-ci n'étant récupérés que contre paiement d'une rançon, si tout va bien.
C'est un jeu d'enfant de s'en procurer sur le darknet, la cour des miracles des tréfonds du web où se croisent de méchants pirates et de nombreux ados, pirates en herbe en mal de sensations fortes.
«La semaine dernière, j'ai acheté un rançongiciel sur le darknet. Il m'a coûté l'équivalent de 2 dollars en bitcoins», raconte à l'AFP Jérôme Robert, responsable marketing d'EclecticIQ, une société néerlandaise spécialisée dans les cybermenaces.
«Il est techniquement pourri, mais tout pourri qu'il est, il est capable de foutre en l'air un système qui n'est pas prêt, comme l'était celui du NHS», le service de santé britannique mis à mal par l'attaque Wannacry en mai, constate-t-il.
Ce logiciel malveillant (malware) est prêt à frapper, détaille Jérôme Robert: «Il y a un système de chiffrage et de déchiffrage des données ciblées, le code source --il est personnalisable, ça prend quelques heures-- et le mode d'emploi». Reste à trouver le moyen de l'envoyer sur les ordinateurs visés.
«Depuis le début de l'année, on identifie 28 nouvelles familles de rançongiciels par mois», relève Loïc Guézo, directeur pour l'Europe du Sud du japonais Trend Micro.
Wannacry a frappé des ordinateurs du monde entier en mai, utilisant une vulnérabilité de Windows que la NSA, l'agence de renseignement américaine, avait dissimulée et dont elle s'est fait voler le secret. Un «patch» avait bien été publié en mars pour protéger les anciennes versions concernées du système d'exploitation de Microsoft, mais il n'a pas été appliqué partout.
Essayer d'anticiper
Résultat: un week-end de panique, pendant lequel ont été affectés le NHS, les chemins de fer allemands, le gouvernement espagnol ou des usines Renault.
Ce qui étonne les participants aux Assises de la sécurité et des systèmes d'information, le congrès de la cybersécurité organisé cette semaine à Monaco, c'est que le dispositif de demande de rançon était plus que rustique, contrastant avec la sophistication du logiciel malveillant. Version d'essai (bêta) envoyée plus tôt que prévu? Test des capacités de réaction du monde développé?
NotPetya, qui a frappé un mois plus tard en exploitant entre autres la même vulnérabilité de Windows, ressemblait à un rançongiciel, mais on ne pouvait pas payer. Son but était clairement d'effacer le contenu des ordinateurs infectés.
NotPetya visait le fisc ukrainien. «Le problème avec l'interconnexion massive des systèmes d'information, c'est qu'avec une attaque en Ukraine, vous faites tomber une usine de chocolats Cadbury en Australie, les magasins Lapeyre en France ou la distribution des colis FedEx aux États-Unis», constate Gérôme Billois, responsable de la cybersécurité chez Wavestone. Il calcule que les dégâts dépassent allègrement le milliard de dollars, dont une bonne partie pour le groupe français Saint-Gobain.
Si les spécialistes hésitent sur les auteurs de Wannacry, la Russie est clairement montrée du doigt pour NotPetya, une cyberarme utilisée à des fins géopolitiques.
Ils appellent à organiser la «cyber-résilience»: mettre au point des réseaux suffisamment compartimentés pour limiter la propagation d'un malware, sécuriser des systèmes de sauvegarde, inventer des canaux de communication d'urgence, et prévoir une reconstruction rapide au cas où.
Et, bien sûr, tenter d'esquiver les attaques. Cela passe par un savant mélange de solutions technologiques (antivirus et autres), d'organisation et de vigilance.
«On est un peu condamnés à attendre le logiciel malveillant suivant», reconnaît Loïc Guézo chez Trend Micro. «Notre quotidien, c'est d'essayer d'anticiper!»
En l'occurrence, les organisations un peu préparées ont échappé à Wannacry et NotPetya, quand bien même ces attaques ont surpris tout le monde.
Mais la profession a senti le boulet passer. «L'étape d'après? Ce serait une attaque massive avec des dégâts matériels, voire des blessés ou des morts», frémit Gérôme Billois.