Rançonné, un patron genevois paye pour récupérer ses données
Piratage
Ralph Eberhard, de la gérance Immogeste, a dû céder aux pirates informatiques pour sauver les données de son entreprise. Plusieurs autres sociétés ont été victimes de ces attaques à Genève depuis le début de l'année.
Ralph Eberhard, à la tête d'Immogeste, petite entreprise genevoise de gérance, courtage et travaux, est un patron indigné. Aussi passe-t-il outre la mauvaise publicité que pourrait lui valoir ce témoignage pour mettre en garde toutes les PME qui, comme la sienne, pourraient être hackées et rançonnées.
Rançonné? Comme il vous le dit. Le 16 mars dernier, il voit s'afficher sur l’écran noir de son ordinateur un message rouge au contenu accablant: on lui signifie que tous ses fichiers ont été chiffrés avec des algorithmes et que «les déchiffrer est seulement possible en utilisant la clé privée et le programme de déchiffrement se trouvant sur notre serveur secret».
Ils m’ont dit que mes machines étaient foutues et que je ne récupérerais pas mes données.
Ralph Eberhard appelle alors la Centrale d'enregistrement et d'analyse pour la sûreté de l'information, Melani, à Berne. «Ils m’ont dit que mes machines étaient foutues et que je ne récupérerais pas mes données, raconte le patron. Qu’il faudrait vingt ans pour trouver la clé de décryptage.» Sauf, bien sûr, à payer la rançon, sous 72 heures. Celle-ci est exigée en bitcoins, monnaie virtuelle. Montant exigé: l’équivalent de 1800 francs par machine.
Interrogé, Melani répond ceci: «Nous déconseillons en général de céder aux demandes des criminels et d'effectuer un paiement. Aucune garantie n'existe en effet que ces derniers respecteront leur engagement. De plus, chaque paiement nourrit la motivation et la capacité des criminels à continuer ces activités. Mais d’autre part, nous ne pouvons pas juger des pertes financières que les victimes subissent, liées à la détérioration de leurs données.»
Un virus caché dans un email
A la base de l’escroquerie, un virus baptisé Locky, qui se cache dans un fichier zip d’un email suspect. C’est ce qu’on appelle un rançongiciel, appartenant à la famille des maliciels, qui chiffrent les données sur l'ordinateur de la victime ainsi que sur les lecteurs réseau auxquels cet ordinateur est relié. Si les fichiers sont déjà chiffrés, aucun anti-virus ne permettra de les récupérer. «Une employée a ouvert le document attaché à un mail qu’elle aurait dû détruire, s’emporte Ralph Eberhard. Si elle avait éteint sa machine, elle aurait pu sauver le système. Mais elle a laissé Locky opérer.» Devant le danger de perdre toutes les données et l’historique de sa société, il n'a d'autre choix que de se soumettre.
Commence alors une course contre la montre. Ralph Eberhard retire 1800 francs en cash à la banque. Car fort heureusement, son informaticien a réussi à bloquer l’expansion du virus aux autres ordinateurs. Puis il file dans le quartier des Pâquis, où se trouve une borne pour payer en bitcoins. Il ouvre un compte dans cette monnaie et introduit l’argent, en espérant que les escrocs lui fourniront la clé de déchiffrement. De retour au bureau, c’est chose faite. «Les pirates ont été honnêtes, ironise Ralph Eberhard, qui déplore un préjudice bien supérieur au montant de la rançon. Car entre le travail, les dégâts informatiques et l’arrêt de la société pendant deux jours, Locky m’aura coûté près de 20 000 francs.»
Plainte contre X
Il a déposé plainte contre X auprès du ministère public genevois, en apportant toutefois plusieurs indices quant à l’identité des escrocs. Car son informaticien, Sebastiano Traina, tient une piste: «Lors de la transaction, nous avons donné l’adresse du destinataire. Mais celui-ci n’est qu’une machine zombie qui va le renvoyer ailleurs. J’ai toutefois pu remonter à la deuxième machine, qui appartient à une société financière aux Etats-Unis.» Serait-ce elle, l’escroc? «Pas directement, répond l’informaticien. Mais pour moi, ces sociétés financières qui réceptionnent et renvoient l’argent plus loin sont complices de l’escroquerie.»
A mon sens, la Confédération en fait trop peu. Informer ne suffit pas.
Ralph Eberhard n’est pas le seul en Suisse à avoir connu cette mésaventure. Melani refuse de donner des chiffres, «car on travaille d’une manière qualitative plutôt que quantitative», justifie-t-il étrangement. En revanche, la brigade de répression du banditisme (BRB) à Genève confirme cinq à six cas dénoncés dans le canton depuis le début de l’année. Les cibles sont des PME et les demandes de rançons vont de 300 à 3000 francs. «A mon sens, la Confédération en fait trop peu, avance Sebastiano Traina. Informer ne suffit pas. Il faudrait demander l’entraide judiciaire aux pays concernés pour bloquer ces machines.» En attendant, le patron d’Immogeste ne doit pas être le seul à avoir payé. Car un maliciel peut avoir la peau d’une PME.
