La réalité du ransomware aujourd’hui est différente de celle d’il y a quelques années. Les attaquants restent moins longtemps dans votre système, demandent des rançons moins élevées et ne font preuve d’aucune loyauté.
« Auparavant, nous redoutions les criminels du coin de la rue ; aujourd’hui, il s’agit de criminels du monde entier », commence Mikko Hyppönen, Chief Research Officer chez Sensofusion, lors d’un récent événement cyber à Anvers. De plus, ces criminels ne sont plus des hackers chevronnés, mais « principalement des jeunes qui achètent simplement du « ransomware-as-a-service » ou des outils de piratage », explique Geert Baudewijns, PDG et fondateur de Secutec. Comment se déroule une attaque par ransomware aujourd’hui, et qui se trouve de l’autre côté de l’écran ?
Message du hacker
Christophe Van Bortel, chef de l’unité de lutte contre la cybercriminalité d’Anvers au sein de la Police Fédérale belge, et Bjorn Clevers, chef de l’équipe de lutte contre la cybercriminalité de la Police Judiciaire Fédérale de Flandre-Occidentale, sont à la source lorsqu’il s’agit de cyberattaques. Van Bortel a notamment travaillé sur deux cas récents de ransomware, à l’AZ Monica et à l’école anversoise OLV Pulhof.
Si vous avez déjà été confronté à un piratage, vous savez (malheureusement) à quoi ressemble le message d’un cybercriminel. Pour ceux qui n’en ont (heureusement) pas encore l’expérience, ne vous attendez à rien de sophistiqué. « Ils n’utilisent pas de mise en forme ou d’images particulières, juste du texte brut », explique Clevers. Il nous montre une véritable note de ransomware contenant quelques messages typiques et importants.
« Nous avons piraté et téléchargé toutes vos données confidentielles. Si vous souhaitez entamer une conversation avec nous, rendez-vous sur notre site web et saisissez l’identifiant personnel que nous vous fournissons afin que nous puissions entamer les négociations. Vous disposez de 72 heures pour ce faire. Si vous ne nous contactez pas dans ce délai, nous divulguerons toutes les données sur nos sites web. Si vous nous contactez et payez la rançon, nous vous aiderons pour le décryptage et vous conseillerons sur la manière de mieux sécuriser votre réseau. » Enfin, ils vous promettent la preuve que toutes les données volées ont été supprimées et la garantie qu’ils ne vous attaqueront plus.
À la table des négociations
Dès que le message arrive, les négociations commencent rapidement. Baudewijns est désormais un négociateur chevronné avec plus de 600 négociations à son actif. Une négociation dure en moyenne cinq à six jours. Selon lui, ce n’est pas beaucoup ; auparavant, les négociations pouvaient durer jusqu’à quinze jours. « Aujourd’hui, les cyberattaquants sont eux-mêmes soumis à une plus grande pression temporelle et veulent passer plus rapidement à la victime suivante. »
Baudewijns souligne trois éléments importants lors d’une négociation. Le premier et le plus important est le montant. Les montants des rançons ont fortement diminué ces dernières années, car les hackers visent de plus en plus souvent de petites entreprises comptant entre 10 et 500 utilisateurs. Le montant moyen qu’il négocie aujourd’hui se situe entre 50 000 et 500 000 euros, alors qu’il était beaucoup plus élevé auparavant.
Le deuxième élément est le décrypteur, le fichier clé qui permet de déverrouiller les données cryptées. C’est l’un des éléments les plus critiques de la négociation.
Inventaire
Enfin, il y a la liste des données volées. C’est là que, selon Baudewijns, les choses tournent souvent mal du côté de la victime. « Jusqu’à présent, aucune victime n’a été en mesure de me fournir la liste complète. Pour moi, il est beaucoup plus rapide de demander un aperçu des données volées au hacker. Dans tous les cas, j’ai reçu ces données volées deux à trois heures plus tard. »
Je peux obtenir la liste des données volées plus rapidement par le hacker que par la victime.
Geert Baudewijns, PDG et fondateur de Secutec
De plus, la plupart des victimes ignorent comment les cybercriminels se sont introduits dans leurs systèmes. « Le gros problème est que la plupart mentent sur la cause », explique Baudewijns. Il conseille aux entreprises d’être transparentes à ce sujet, non seulement pour elles-mêmes mais aussi pour les autres.
Payer n’est pas une garantie
Selon une étude de Coveware, il s’avère que de moins en moins d’entreprises paient une rançon lors d’une attaque par ransomware. Aujourd’hui, payer ne garantit plus la récupération de vos données. Auparavant, il existait encore une chance que les cybercriminels ne divulguent pas vos données si vous payiez. Aujourd’hui, il en va autrement. « Nous ne pouvons plus le garantir aux entreprises », déclare Baudewijns, « même si elles paient ». Cela est entièrement lié à la loyauté des cybercriminels.
Sous le sweat à capuche
Les attaquants par ransomware sont souvent représentés comme une silhouette sombre et méconnaissable portant un sweat à capuche, mais ils ont bel et bien un visage et une identité. La Police Fédérale en a une vision claire. Clevers nous montre, en marge de l’événement cyber, une liste de plusieurs grands groupes de ransomware qui attaquent activement les entreprises belges.
Qilin est le plus important et le plus connu à l’heure actuelle. Pas seulement en Belgique, mais à l’échelle internationale. « Ils ont déjà fait plus de 16 000 victimes dans le monde. Qilin est suivi par Akira, apparu en 2003 et qui a fait 1 400 victimes dans le monde. La troisième place revient au nouveau venu « The Gentleman », apparu en septembre 2025. »
Clevers met également un vrai visage sur l’un des attaquants par ransomware les plus recherchés. On nous montre la photo d’un jeune homme de 29 ans actuellement. Il a commencé sa carrière dans le ransomware à l’âge de 21 ans, en tant que membre du célèbre groupe LockerGoga. « Cet homme figure en bonne place sur la liste des personnes les plus recherchées par Europol. Si vous le croisiez dans la rue tout à l’heure, vous pourriez gagner dix millions d’euros, une récompense du département de la Justice des États-Unis. Enfin, il est également lié à des attaques en Belgique. »
Pensez comme un hacker
« Le ransomware n’est pas seulement une question de technologie. Il s’agit de (jeunes) personnes qui utilisent la technologie en pensant jouer à un jeu. Il s’agit d’entreprises qui pensent que cela ne leur arrivera pas. Ne pensez pas que c’est une chose du futur. C’est déjà une réalité. Agissez maintenant », conseille Clevers.
« Les cybercriminels sont comme les autres criminels, ils seront toujours là, tout comme nous ne pouvons pas éradiquer les bandits ou les mauvaises personnes de ce monde. C’est un phénomène de tout temps », déclare Hyppönen.
« Ce n’est que lorsque vous serez capable de penser comme un hacker que vous pourrez trouver une solution. Soyez plus malin qu’eux. C’est la cybersécurité du futur », conclut Baudewijns.