Ne pas payer de rançon
Le chantage est actuellement une arnaque très prisée des cybercriminels qui cherchent à obtenir un gain financier rapide. Différents types d'attaques sont utilisés pour extorquer de l'argent à une victime. Les attaques DDoS, qui visent à perturber la disponibilité des sites et des services web, en font partie.
La Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI) a déjà fait état à plusieurs reprises cette année de telles attaques et des chantages qui les accompagnent de la part des groupes Armada Collective et DD4BC, qui ont fait sensation dans les médias en Suisse. MELANI déconseille vivement de répondre aux exigences de ces groupes de chantage.
Les attaques DDoS sont un phénomène connu depuis longtemps. Jusqu'à présent, les motifs étaient généralement l'activisme politique ou le préjudice causé à un concurrent. Cette année, les attaques à motivation purement financière se sont toutefois multipliées. Les auteurs ont choisi en priorité des entreprises dont le modèle commercial accorde une importance particulière à la disponibilité du site Web et qui présentent donc un potentiel de chantage correspondant. Sous la pression d'une menace d'inaccessibilité de leur propre site web et dans l'espoir d'une solution "rapide", certaines entreprises envisagent également un paiement. En payant, on n'offre pas seulement aux malfaiteurs un succès de chantage, mais on leur donne aussi des moyens financiers pour renforcer leur infrastructure d'attaque et intensifier les attaques. Les pirates utilisent souvent des services dits "booter" ou "stresser". Il s'agit d'outils qui déclenchent des attaques DDoS contre paiement (quasiment un "DDoS as a service"). Plus un pirate dispose d'argent, plus il peut se procurer de volumes d'attaques (tant en termes d'intensité que de longueur) auprès d'un tel prestataire de services. En revanche, si aucune rançon n'est payée, le modèle commercial des criminels tombe en désuétude. Pour les raisons suivantes, MELANI déconseille le paiement d'une rançon :
- Il n'est pas garanti que le paiement de la rançon mette fin à l'attaque.
- Il n'y a aucune garantie que l'attaque ne soit pas répétée sous un autre prétexte et sous l'étiquette d'un autre groupe.
- Le paiement de la rançon révèle ses propres faiblesses et incite les pirates à tester d'autres vecteurs d'attaque sur la même victime.
- Les cybercriminels sont bien organisés. La nouvelle se répand rapidement lorsqu'une victime est prête à payer et la probabilité d'être attaqué par d'autres groupes augmente en conséquence.
- Le paiement finance et renforce l'infrastructure d'attaque des criminels. Avec l'argent gagné, ils peuvent s'offrir une meilleure infrastructure d'attaque. La prochaine attaque sera donc encore plus puissante. Par conséquent, le coût d'une défense efficace contre une telle attaque augmente également.
- Un paiement renforce les agresseurs dans leur démarche. La motivation de continuer augmente.
- Le montant utilisé pour la rançon manque pour financer les mesures de protection appropriées.
Le paiement d'une rançon constitue donc tout au plus une lutte à court terme contre les symptômes, sans garantie, et ne contribue pas à la résilience à long terme de sa propre infrastructure ni à la sécurité d'Internet face aux attaques DDoS - au contraire : en se renforçant financièrement, les attaquants ont davantage de possibilités de lancer des attaques plus longues et plus puissantes, et leur propre capacité de résistance, ainsi que celle de tous les autres participants, s'affaiblit toujours plus par rapport à celle des attaquants, comme le souligne MELANI.
En cas de chantage, MELANI recommande de porter plainte auprès du poste de police local ou au moins de signaler l'incident au Service de coordination de la lutte contre la criminalité sur Internet (SCOCI) à leur connaissance. Plus les informations recueillies sur une bande de racketteurs sont nombreuses, plus les chances de réussite de l'enquête sur les auteurs sont grandes.
Les mesures préventives pour se protéger des attaques DDoS sont les suivantes ici consultable.