Ransomwares : vers la chienlit ?

Bon, pour ceux qui étudient de près le sujet, rien de nouveau ni d’étonnant : on y a retrouvé peu ou prou les méthodes ainsi que les dispositifs techniques et organisationnels décrits dans le Guide Cyber opus 2 (cf. le site de l’Apssis[1]), avec certes une présentation qui valait le détour. Je vous conseille d’aller visionner la conférence en replay sur le site des Assises.

Mais, à la sortie de la conférence, je me suis permis de poser à Gérôme la question suivante : en matière de ransomwares, à quoi doit-on s’attendre dans les prochaines années ? Globalement, selon l’interlocuteur, trois réponses peuvent être formulées :

– Selon l’Anssi et certains managers, ce risque finira par être maîtrisé comme l’a été par le passé la piraterie maritime en Méditerranée, qui a tout de même empoisonné la vie des Européens pendant plus d’un siècle ;
– Selon certains consultants, auditeurs, RSSI, ce risque sera ramené à un niveau acceptable qui rejoindra la longue liste des risques IT déjà connus (inondations, bugs, etc.) et finira par être modélisé par les assureurs et leurs tables de risques ;
– Selon d’autres acteurs du secteur (RSSI, consultants et, entre autres, votre serviteur, mais pas que), on va en revanche assister à une explosion non maîtrisée des attaques, à tel point que l’on va devoir se fermer comme des coquilles tant la « durée de vie » d’un PC sur Internet ne dépassera pas les quelques minutes.
Tentons un peu de modéliser ce risque.

Dans l’éternel conflit entre les défenseurs et les attaquants, il est possible de produire une équation simple :
– Pour un défenseur, le coût est de A + nB, A étant le « ticket d’entrée » du système de défense, B le coût additionnel de chaque attaque et n le nombre d’attaques ;
– Pour un attaquant, de façon similaire, on a X + nY.
Pour un défenseur, défendre le château de Montségur (château Cathare juché au sommet d’un piton rocheux) se traduit par A très grand (aller construire ce truc n’a pas dû être de la tarte), mais B tout petit.
Pour un attaquant, envahir un atoll du pacifique se traduit par X et Y tout petits, alors qu’envahir la Russie se traduit par X et Y immenses. Bon, vous avez compris l’idée générale.

Or, les ransomwares ont ceci de spécifique qu’il s’agit de la seule menace connue (si quelqu’un a un autre exemple, je suis preneur) pour laquelle :
– Le défenseur doit défendre de multiples points d’accès (A très grand) et le coût de chaque attaque peut être énorme (B très grand) ;
– L’attaquant, dans le même temps, peut s’équiper à coût modique (X petit, on trouve des plateformes RaaS faciles sur le Net) et Y petit (il faut juste appuyer sur le bouton).
Pire encore, à l’époque de la piraterie du xviii^e siècle, les assaillants ne risquaient rien de moins que leur peau pendant les assauts (sans parler du risque de se faire attraper ensuite), alors qu’avec les ransomwares vous pouvez lancer dix attaques depuis votre canapé avec quasi aucun risque juridique, puis laisser les bots et autres PC zombies bosser pour vous tout en allant déguster un latte au café du coin.

Certes, l’on m’objectera que les procédures juridiques inter-États vont se muscler, et que Darwin va éliminer les hackers les plus mauvais… sauf que Darwin dit aussi que ceux qui vont échapper à cette première sélection naturelle seront plus forts, plus furtifs, plus voraces. Dans un contexte de menace fortement asymétrique (coûts et risques très élevés pour le défenseur et structurellement très faibles pour l’attaquant), j’ai du mal à voir le bout du tunnel dans cette histoire. Bref, je ne suis pas du tout, mais alors pas du tout optimiste, au contraire des deux premières catégories d’interlocuteurs susnommés.

L’Anssi considère que cet état de menace va durer environ cinq ans avant stabilisation : Gérôme et moi nous sommes donné rendez-vous dans cinq ans pour faire le bilan. Et j’aimerais vraiment, mais alors vraiment, être celui des deux qui se sera trompé.

[1]   https://www.apssis.com/nos-actions/publication.html