Bonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de ZDNet. Je m'appelle Louis Adam et aujourd'hui, je vais vous parler du Ransomware-as-a-Service et de la façon dont ces groupes ont changé le visage du cybercrime. 

Aujourd'hui, on parle beaucoup d'informatique « as-a-service », que ce soit pour du logiciel, de l'infrastructure ou des données. Le monde cybercriminel n'échappe pas à la tendance. Ces dernières années, le concept de Ransomware-as-a-Service (RaaS) a émergé afin de décrire les nouvelles organisations cybercriminelles spécialisées dans le ransomware.

Un ransomware (ou rançongiciel en bon français) est un logiciel malveillant qui va chiffrer les données de la victime et rendre l'appareil inutilisable. Seul le paiement d'une rançon permet d'obtenir la clé de déchiffrement et de récupérer l'accès aux données. Depuis le début des années 2010, ce type de logiciel est devenu une manne financière considérable pour les cybercriminels. Mais développer et maintenir un rançongiciel n'est pas à la portée de n'importe qui.

Alors, assez naturellement, les cybercriminels se sont réparti les tâches. Ceux qui étaient en capacité de développer des logiciels de ransomware ont proposé à d'autres groupes de les utiliser.

C'est ce modèle qui a fait le succès de groupes connus, comme Conti, REvil ou encore Lockbit. Le groupe initial se concentre sur la conception, le développement et la maintenance du rançongiciel. Celui-ci doit être mis à jour régulièrement afin de contourner les protections des antivirus, et il faut aussi s'assurer que les outils de chiffrement et de déchiffrement fonctionnent comme prévu. Dans certains cas, le groupe s'occupe également de négocier les rançons avec les victimes et de diffuser d'éventuelles données volées pour accentuer la pression.

Autour de ces groupes gravitent d'autres cybercriminels qui viennent louer l'utilisation du rançongiciel : on les appelle généralement les « affiliés ». Ils se chargent d'infiltrer les cibles, de se déplacer dans le réseau pour prendre le contrôle des appareils les plus intéressants et ensuite d'activer le rançongiciel. Et si au passage, ils peuvent mettre la main sur des données confidentielles, c'est toujours ça de pris.

Ce mode de fonctionnement a commencé à voir le jour aux alentours de 2016, avant de se populariser largement au cours des deux dernières années. Et c'est un business florissant pour les développeurs de ransomwares.

Différents modèles économiques sont proposés par les acteurs de ce type : certains proposent une simple location du ransomware à l'usage, tandis que d'autres passent des accords plus poussés avec leurs affiliés, prévoyant un partage des rançons récupérées.

Et ce modèle rend les choses plus compliquées pour les forces de l'ordre : ce sont les affiliés qui prennent l'essentiel des risques et qui sont le plus souvent arrêtés par les policiers. Les concepteurs du rançongiciel, eux, restent généralement à l'abri et se contentent de trouver de nouveaux volontaires pour faire tourner leur business.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.