La Hôpital municipal de Handa de Tsurugi est un tas morne de taille modeste dans un coin somnolent de l’île de Shikoku. Il donne sur une rivière, est adossé à une colline et dessert une population locale vieillissante, dont le dernier chiffre était de 8 048.
L’endroit idéal, par conséquent, pour que les cyber-gangs les plus impitoyables du monde étendent leur assaut sur la vie quotidienne, déplacent le front de guerre mondialisé contre les ransomwares profondément en Asie et confrontent un tout nouveau paysage de victimes avec l’un des débats les plus atroces des affaires modernes.
À ce stade, l’hôpital Handa est sur le point de revenir à la normale, à moins d’excuses et de rapports d’incidents. Mais pendant deux mois à la fin de l’année dernière, il a été paralysé – incapable d’accepter de nouveaux patients et d’effectuer d’autres fonctions de base après une attaque de ransomware ciblant le point idéal des dossiers médicaux des extorqueurs.
L’assaut contre un hôpital japonais rural étendu pendant une pandémie offrirait, en toutes circonstances, un rappel effrayant de la façon dont les gangs de rançongiciels impénitents sont à la recherche d’un jour de paie. Comme l’a montré une décennie d’attaques en augmentation rapide (les incidents signalés ont plus que doublé au Royaume-Uni entre 2020 et 2021), aucune entreprise ou institution n’est hors limites, aucune faiblesse inexploitable, aucune menace collatérale trop impitoyable.
Les industries médicales, éducatives, des infrastructures, juridiques et financières sont des cibles privilégiées précisément parce que les enjeux sont si importants et les menaces si angoissantes. Ils deviennent également plus sophistiqués. Le temps moyen passé à l’intérieur du réseau d’une entreprise avant qu’une demande de rançon ne soit faite est en augmentation. Le temps supplémentaire, disent d’anciens responsables du GCHQ lors de sombres briefings sur la question, est consacré à la menace la plus douloureuse.
L’ampleur du carnage financier, elle aussi, continue d’augmenter. Dans son rapport 2021, Sécurité IBM a calculé que, à l’échelle mondiale, le coût moyen d’une violation de ransomware avait atteint un record de 4,62 millions de dollars – un chiffre qui n’incluait même pas le paiement de la rançon, qui, selon certains experts, est remis dans au moins un tiers des cas.
Mais l’incident de Handa, disent les négociateurs de cyber-rançons de Nihon Cyber Defense (NCD) – une agence qui conseille le gouvernement japonais et dont l’équipe comprend le chef fondateur du National Cyber Security Center du Royaume-Uni – souligne une tendance importante. Les gangs criminels les plus puissants – de grandes équipes de rançongiciels riches en ressources et hautement professionnelles, censées opérer principalement depuis la Russie, la Biélorussie et d’autres parties de l’Europe de l’Est – ont maintenant le Japon dans leur ligne de mire comme la prochaine victime la plus facile à saisir. Ses défenses et ses attentes d’attaque sont généralement faibles, et la volonté des entreprises et institutions japonaises de payer est, à ce stade, élevée.
Depuis quelques années, les États-Unis et l’Europe sont les principaux terrains d’alimentation des attaquants de rançongiciels mais, alors même que les gangs adoptent de nouvelles stratégies et dissimulent leur expansion via des structures « affiliées », les affaires dans ces pays deviennent moins attrayantes. À mesure que ces marchés sont devenus saturés d’activités criminelles, l’expérience et la résilience des victimes ont augmenté. Le rapport coût-récompense de chaque attaque est d’autant plus faible. Les nouvelles vulnérabilités créées par les blocages de Covid et le travail à distance ont fourni une aubaine lucrative, mais ces avantages diminuent désormais.
Idéalement pour les gangs, il existe de nouveaux pâturages en Asie qui ont jusqu’à présent été relativement sous-pâturés et l’une des défenses naturelles les plus riches du Japon – sa langue – s’évapore rapidement.
Les attaques de rançongiciels et les violations du système dépendent d’un point d’accès initial. Cela repose souvent sur le fait qu’une personne dans une entreprise ou une institution tombe dans un piège soigneusement tendu. Autrefois, les e-mails et autres communications qui construisaient des pièges étaient en japonais si maladroit que les victimes visées sentaient un rat. Maintenant, avec l’aide de logiciels de traduction IA, de gangs criminels locaux et, disent des experts, de traducteurs professionnels qui ne savent peut-être pas comment leur travail sera utilisé, l’appât est suspendu dans un japonais dangereusement plausible.
Selon les dirigeants de NCD, l’effet a été une forte augmentation des attaques au Japon et contre les opérations des entreprises japonaises dans le monde. Le nombre d’incidents signalés reste très faible — seulement 146 en 2021 – mais représente probablement une fraction du chiffre réel.
Le Japon sera donc confronté au sombre dilemme risque-récompense familier dans d’autres parties du monde. Les entreprises et les organisations devraient-elles payer la rançon ? Et, surtout, les gouvernements devraient-ils largement rendre légal (comme au Royaume-Uni) ou illégal (comme aux États-Unis) de le faire ? Comme le Japon le découvrira à ses dépens, la capacité des criminels à faire monter la barre de leur menace n’est limitée que par leur désir que tout l’incident se termine avec leur paiement.
Ce qui n’est pas sur la table, comme l’ont découvert l’hôpital Handa et ses patients, c’est l’espoir que l’obscurité, la taille et la ligne de travail soient une protection.