Les rançongiciels sont une menace en constante évolution. Afin de mieux comprendre leur complexité, Jean-Yves Marion, professeur à l’Université de Lorraine, membre du Laboratoire lorrain de recherche en informatique et ses applications (CNRS-Université de Lorraine) et membre IUF Sénior, adopte une perspective systémique, en intégrant les dimensions organisationnelles, humaines, économiques, technologiques et géopolitiques. Ses travaux ont fait la couverture de la prestigieuse revue Communications of the ACM (Association for Computing Machinery).
L’informatique a bouleversé profondément et de manière globale nos sociétés. Évoluant en parallèle, la cybercriminalité s’est développée au rythme du déploiement des infrastructures profitant des failles et de notre relative inadaptation à cette révolution numérique. Les rançongiciels font partie des menaces importantes. Tout le monde est potentiellement leur cible. Les hôpitaux, les universités, les administrations sont touchés, des petites et de grandes entreprises sont aussi attaquées, et également les infrastructures.
Objectif du rançongiciel : un gain financier
Sous ce mot de rançongiciel, il y a un concept protéiforme qui recouvre une réalité hétérogène. Les groupes de rançongiciels structurés, comme Conti, Akira, Lockbit, côtoient des acteurs isolés, et de très nombreuses attaques sont opportunistes et brutales, avec comme seul objectif un gain financier. L’organisation générale suit un modèle qui est appelé « Ransomware as a Service (RaaS) ». Différentes entités fournissent des services qui permettent de mener à bien une cyberattaque.
Le modèle RaaS comporte des fournisseurs d’accès, des développeurs, des serveurs pour héberger des services, et des plateformes de négociation et un programme d’affiliation. L’étude des modèles d’organisation et de l’écosystème des malwares permet de mieux lutter contre ces menaces. Par exemple, des travaux sont menés pour anticiper la manière dont l’IA va modifier les comportements et les modes opératoires des cybercriminels.
Les étapes d’une cyberattaque
Après la compromission initiale, l’objectif d’un cyberattaquant est multiple. En premier lieu, Il doit maintenir sa position dans le système et neutraliser les défenses. Des « portes dérobées » peuvent dans ce contexte être installées pour être utilisées ultérieurement. Le système est ensuite cartographié par l’attaquant qui se propage ainsi dans le réseau de la victime. Des données sont exfiltrées, qui pourront être exploitées par la suite, vendues à d’autres, et surtout utilisées pour faire pression sur la victime. Enfin, la dernière étape est le chiffrement des fichiers de l’ordinateur, rendant le système informatique inopérant, et une demande de rançon est déposée.
L’IA, soutien dans la détection d’une attaque
La détection d’une attaque est toujours une question complexe, qui pourrait se formuler ainsi : « comment identifier un comportement suspect, potentiellement malicieux, dans un flux d’information ? ». Pour cela, des procédures d’analyse sont développées en combinant des concepts de méthodes formelles, d’IA avec une compréhension du domaine. Un programme n’est qu’une donnée, une suite de 0 et 1 lorsqu’il est exécuté. Comment calculer la sémantique de cette donnée-programme ?
Dans ce contexte, l’article publié dans Communication of ACM explore les différentes facettes des rançongiciels. En parallèle le projet DefMal du PEPR Cybersécurité a pour objectif de développer une approche systémique de la lutte contre cette cybercriminalité.
Voir la vidéo :
En savoir plus
- Jean-Yves Marion. Ransomware: Extortion Is My Business. Communications of the ACM, 24 avril 2025.
- Projet DefMal du programme de recherche (PEPR) cybersécurité.
- compte LinkedIn de Jean-Yves Marion
- lien vers la vidéo : https://vimeo.com/1073690117