Suivez l’argent * si vous voulez comprendre le succès des virus-chiffreurs, explique Andy Patel de F-Secure. Jamais, jusqu’à présent, un cyberchantage n’a autant amassé d’argent, aussi facilement. A se demander pour quelle raison il existe encore des acharnés de l’attaque en déni de service ou des menaces de publication d’inscription à tel ou tel site internet pour adultes.
Le marché annuel dépasserait les 100 millions d’Euros et ne saurais que croître si l’on considère les efforts d’inventivité des escrocs du chiffrement. Chiffre que semble confirmer une étude de la Cyber Threat Alliance (CTA), laquelle situait au-delà de 300 M$ les revenus engrangés par la seule filière Cryptowall durant ces trois dernières années. Les traditionnelles cibles anglophones (USA, UK, Australie …) ne suffisent plus, et l’on voit apparaître de nouvelles formes de courriels diffuseurs de Cryptolocker ou codes de la même espèce s’adressant à des consommateurs Suédois (ndlr et même Français).
Mais les améliorations les plus importantes sont constatées dans le suivi de clientèle. Les truands de la filière PadCrypt ont misé sur l’ergonomie de leur interface, et font tout pour aider leur victime à utiliser TOR et poussent l’attention jusqu’à assurer une « hotline » via une messagerie instantanée.
D’autres,qui savent combien la crypto-monnaie semble cryptique à la majorité des usagers, préfèrent des moyens de payement plus pratiques : carte Apple Itunes ou bon-cadeaux Amazon, lesquels sont immédiatement revendus sur eBay histoire de blanchir l’argent perçu.
D’autres encore jouent la carte de la pression psychologique, et menacent d’effacer définitivement des fichiers pris au hasard si l’usager tarde à payer. Ou a contrario affirment reverser une partie de l’argent perçu à des œuvres caritatives (sic).
Certains spécialistes es-sécurité (étrangers à F-Secure) ont même été témoins de pratiques dignes des grands sites de vente en ligne. Les pirates-chiffreurs expédient un module de déchiffrement « de test » fonctionnant sur un petit nombre de fichiers, échantillon destiné à prouver à la victime qu’elle peut payer en étant certaine que les données kidnappées seront bel et bien libérées. « Parole d’homme » disait-on dans le mitan des romans de Simonin.
Cette créativité marketing s’étend, on peut s’en douter, aux méthodes de développement et de contre-mesure. Les nouvelles versions de Locky chiffrent contre vent et marée, malgré l’interdiction d’écriture de certaines branches de la base de registre de Windows qui avaient le pouvoir de bloquer les anciennes versions. Et lorsque sont apparus des scripts tels que CryptoBlocker (lequel verrouille tous les droits d’un « utilisateur » qui écrirait le moindre fichier portant l’extension « .locky »), les codeurs mafieux ont immédiatement répliqué en utilisant des suffixes aléatoires. Cette adaptation en quasi-temps réel fait également partie du service après-vente garanti par les développeurs des Cryptowall ou Cryptolocker. Lesquels se considèrent avant tout comme des éditeurs de logiciels (ils n’utilisent jamais eux-mêmes leurs propres productions) et reconnaissent à leurs clients le droit d’exiger une obligation de résultats.