Les pirates informatiques ne sont pas au bout de leurs ressources pour faire chanter leurs victimes. Après l'hameçonnage et la «fraude au président», voilà la prise d'otage qui s'attaque non pas à des personnes, mais à des données informatiques. Le nombre d'incidents reliés à ce type de fraude, connu depuis près de trois ans, a doublé en 2014, selon la société de sécurité informatique Symantec.

L'ATTAQUE

La prise d'otage est assez simple. L'utilisateur d'un ordinateur ouvre une pièce jointe dans un courriel (facture, fichier ZIP, document Word ou PDF) ou navigue sur un site web corrompu. Le virus s'active ensuite et crypte les données qui se trouvent dans l'ordinateur. Le pirate envoie par la suite un message qui indique à l'utilisateur qu'il enverra la clé de décryptage, nécessaire pour pouvoir décoder le tout, une fois une rançon acquittée. La somme doit être payée en bitcoins, une monnaie virtuelle. Une fois la rançon acquittée, la clé est envoyée à la victime et tout rentre dans l'ordre.

« Les pirates vont même correspondre avec vous pour montrer la marche à suivre et vous dire comment acheter les bitcoins. Ils sont assez bien organisés. » - Éric Parent, président d'Eva Technologies.

Pour les entreprises, ce type d'attaque peut être un vrai casse-tête, car les ordinateurs infectés peuvent contenir des données essentielles, comme ç'a été le cas récemment pour un hôpital d'Hollywood.

LA POLICE SANS RESSOURCES

La somme moyenne demandée par les pirates est de 500 $. Une somme que paient la plupart des victimes pour acheter la paix. Il est difficile de connaître le nombre d'entreprises attaquées de cette façon, car aucune loi ne les oblige à déclarer ce type de chantage. D'ailleurs, compte tenu de la somme demandée, rares sont ceux qui portent plainte à la police, et ceux qui le font sont souvent déçus.

« Les pirates s'attaquent à toutes les organisations, peu importe leur grosseur. Ils ne connaissent même pas les données qu'ils piratent. Ils réussissent à faire cela en toute impunité, car ils sont souvent basés en Russie. Alors, même si on les retrace avec les transferts d'argent, encore faut-il que les autorités locales collaborent et c'est rarement le cas », constate Éric Parent.

LA CYBER... QUOI ?

Pas étonnant que les pirates aient la voie facile : sur 100 employés, une quinzaine va cliquer sur n'importe quoi et normalement, moins de 12 h sont nécessaires pour pénétrer un système, estime le spécialiste en cybersécurité. Plus étonnant encore, 46 % des membres de conseils d'administration demandent moins d'une fois par année des informations sur la cybersécurité, selon un sondage de PcW auprès de 200 organisations canadiennes. « Les entreprises sont conscientes des risques, même que 59 % croient que la cybercriminalité va augmenter, mais étrangement, elles ne savent pas comment intervenir de manière efficace ni gérer ce type d'incident », allègue PcW. Les choses ne risquent pas de s'améliorer, car les logiciels permettant la prise en otage de données sont facilement accessibles sur l'internet invisible (Dark Web).

PRÉVENIR AU LIEU DE GUÉRIR

Pour éviter cette vulnérabilité, la solution est simple, selon Laurent Carlier, directeur chez Richter. « Cesser de faire affaire avec n'importe quelle entreprise en sécurité informatique. Arrêter d'acheter des solutions toutes faites sur internet. Investir en cybersécurité. Payer 10 $ par mois n'est pas toujours la meilleure idée. » M. Carlier recommande aussi de mettre en place un système automatisé de changement de mots de passe.

Éric Parent suggère de toujours faire une copie de sauvegarde de son ordinateur, de mettre ses systèmes à jour et même de contrôler les sites sur lesquels les employés peuvent naviguer.