Évolution des ransomwares :comment les cybercriminels ciblent les crypto-monnaies

En mai 2023, la municipalité de Dallas a été fortement perturbée par une attaque de ransomware. Les attaques de ransomware sont ainsi appelées parce que les pirates derrière elles chiffrent des données vitales et exigent une rançon afin de décrypter les informations.

L'attaque de Dallas a mis un terme aux audiences, aux procès et aux fonctions de juré, ainsi qu'à la fermeture éventuelle du tribunal municipal de Dallas. Cela a également eu un effet indirect sur les activités plus larges de la police, avec des ressources limitées affectant la capacité à mettre en œuvre, par exemple, des programmes d'été pour les jeunes. Les criminels ont menacé de publier des données sensibles, notamment des informations personnelles, des affaires judiciaires, l'identité des prisonniers et des documents gouvernementaux.

On pourrait imaginer qu’une attaque contre le gouvernement municipal et les forces de police, provoquant des perturbations généralisées et prolongées, ferait la une des journaux. Mais les attaques de ransomware sont désormais si courantes et si routinières que la plupart passent sans qu’on y prête attention. Une exception notable s'est produite en mai et juin 2023, lorsque des pirates ont exploité une vulnérabilité dans l'application de transfert de fichiers Moveit, ce qui a conduit au vol de données dans des centaines d'organisations à travers le monde. Cette attaque a fait la une des journaux, peut-être en raison du nombre de victimes très médiatisées, parmi lesquelles British Airways, la BBC et la chaîne de pharmacies Boots.

Selon une enquête récente, les paiements de ransomware ont presque doublé pour atteindre 1,5 million de dollars américains (1,2 million de livres sterling) au cours de l'année écoulée, les organisations les mieux rémunérées étant les plus susceptibles de payer les attaquants. Sophos, une société britannique de cybersécurité, a constaté que le paiement moyen d'un ransomware avait augmenté par rapport à 812 000 $ US l'année précédente. Le paiement moyen effectué par les organisations britanniques en 2023 était encore plus élevé que la moyenne mondiale, à 2,1 millions de dollars.

Parallèlement, en 2022, le Centre national de cybersécurité (NCSC) a publié de nouvelles directives exhortant les organisations à renforcer leurs défenses, face aux craintes de nouvelles cyberattaques parrainées par l'État et liées au conflit en Ukraine. Cela fait suite à une série de cyberattaques en Ukraine soupçonnées d'avoir impliqué la Russie, ce que Moscou nie.

Cet article fait partie de Conversation Insights
L'équipe Insights génère un journalisme de longue durée issu de recherches interdisciplinaires. L'équipe travaille avec des universitaires d'horizons différents qui ont participé à des projets visant à relever des défis sociétaux et scientifiques.

En réalité, il ne se passe pas une semaine sans que des attaques ne touchent les gouvernements, les écoles, les hôpitaux, les entreprises et les associations caritatives, partout dans le monde. Ces attaques ont des coûts financiers et sociétaux importants. Elles peuvent affecter aussi bien les petites entreprises que les grandes entreprises, et peuvent être particulièrement dévastatrices pour les personnes concernées.

Les ransomwares sont désormais largement reconnus comme une menace et un défi majeur pour la société moderne.

Vous pouvez écouter plus d'articles de The Conversation, racontés par Noa, ici.

Pourtant, il y a dix ans, ce n’était qu’une possibilité théorique et une menace de niche. La manière dont cette situation a rapidement évolué, alimentant la criminalité et causant des dégâts incalculables, devrait être une préoccupation majeure. Le « modèle économique » des ransomwares est devenu de plus en plus sophistiqué avec, par exemple, les progrès des vecteurs d'attaque des logiciels malveillants, des stratégies de négociation et de la structure même de l'entreprise criminelle.

On s’attend à ce que les criminels continuent d’adapter leurs stratégies et de causer des dégâts considérables pendant de nombreuses années encore. C'est pourquoi il est essentiel que nous étudiions la menace des ransomwares et que nous anticipions ces tactiques afin d'atténuer la menace à long terme – et c'est exactement ce que fait notre équipe de recherche.

Prévision des coûts mondiaux des dommages causés par les ransomwares - source :Cyber Security Ventures

Alpesh Bhudia, CC BY-ND

Depuis de nombreuses années, nos recherches visent à anticiper cette menace en évolution en explorant de nouvelles stratégies que les criminels utilisant des ransomwares peuvent utiliser pour extorquer leurs victimes. L’objectif est d’avertir et d’avoir une longueur d’avance, sans identifier les détails qui pourraient être utilisés par les criminels. Dans notre dernière recherche, qui a été évaluée par des pairs et sera publiée dans le cadre de la Conférence internationale sur la disponibilité, la fiabilité et la sécurité (ARES), nous avons identifié une nouvelle menace qui exploite les vulnérabilités des crypto-monnaies.

Qu'est-ce qu'un ransomware ?

Les ransomwares peuvent avoir des significations subtilement différentes selon les contextes. En 1996, Adam Young et Mordechai « Moti » Yung de l'Université de Columbia ont décrit la forme de base d'une attaque de ransomware comme suit :

Les criminels violent les défenses de cybersécurité de la victime (soit par des tactiques telles que des e-mails de phishing, soit par le recours à un employé interne/voyou). Une fois que les criminels ont violé les défenses de la victime, ils déploient le ransomware. La fonction principale est de crypter les fichiers de la victime avec une clé privée (qui peut être considérée comme une longue chaîne de caractères) pour empêcher la victime d'accéder à ses fichiers. La troisième étape d'une attaque commence maintenant lorsque le criminel exige une rançon pour la clé privée.

La simple réalité est que de nombreuses victimes paient la rançon, qui peut atteindre plusieurs millions de dollars.

Grâce à cette caractérisation de base des ransomwares, il est possible de distinguer différents types d’attaques. À un extrême, nous trouvons les attaques de « bas niveau » dans lesquelles les fichiers ne sont pas cryptés ou les criminels ne tentent pas d’extraire des rançons. Mais à l’autre extrême, les attaquants déploient des efforts considérables pour maximiser les perturbations et obtenir une rançon.

L’attaque du ransomware WannaCry en mai 2017 en est un exemple. L'attaque, liée au gouvernement nord-coréen, n'a pas réellement tenté d'obtenir une rançon des victimes. Néanmoins, cela a entraîné des perturbations généralisées à travers le monde, y compris au sein du NHS du Royaume-Uni, certaines organisations de modélisation des risques de cybersécurité affirmant même que les pertes économiques mondiales se chiffraient en milliards.

Il est difficile de discerner le mobile dans ce cas, mais, d'une manière générale, l'intention politique ou une simple erreur de la part des attaquants peuvent contribuer au manque de cohérence dans l'extraction de valeur par l'extorsion.

Nos recherches se concentrent sur le deuxième extrême des attaques de ransomware, dans lesquelles les criminels cherchent à extorquer de l'argent à leurs victimes. Cela n’exclut pas un motif politique. En effet, il existe des preuves de liens entre les principaux groupes de ransomwares et l’État russe. Nous pouvons distinguer dans quelle mesure les attaques de ransomware sont motivées par le gain financier en observant l’effort investi dans la négociation, la volonté de soutenir ou de faciliter le paiement de la rançon et la présence de services de blanchiment d’argent. En investissant dans des outils et des services facilitant le paiement de la rançon et sa conversion en monnaie fiduciaire, les attaquants signalent leurs motivations financières.

L'impact des attaques

Comme le montre l'attaque contre le gouvernement de la ville de Dallas, les impacts financiers et sociaux des attaques de ransomware peuvent être divers et graves.

Les attaques de ransomware à fort impact, comme celle qui a ciblé Colonial Oil en mai 2021 et a mis hors service un important pipeline de carburant américain, sont évidemment dangereuses pour la continuité des services vitaux.

En janvier 2023, une attaque de ransomware contre Royal Mail au Royaume-Uni a entraîné la suspension des livraisons internationales. Il a fallu plus d’un mois pour que les niveaux de service reviennent à la normale. Cette attaque aurait eu un impact direct et significatif sur les revenus et la réputation de Royal Mail. Mais, peut-être plus important encore, cela a eu un impact sur toutes les petites entreprises et les personnes qui en dépendent.

En mai 2021, le NHS irlandais a été touché par une attaque de ransomware. Cela a affecté tous les aspects des soins aux patients avec des annulations généralisées de rendez-vous. Le Taoiseach Micheál Martin a déclaré :« C’est une attaque choquante contre un service de santé, mais fondamentalement contre les patients et le public irlandais. » Des données sensibles auraient également été divulguées. L'impact financier de l'attaque pourrait s'élever jusqu'à 100 millions d'euros. Toutefois, cela ne tient pas compte de l'impact sanitaire et psychologique sur les patients et les médecins touchés par la perturbation.

Outre les services de santé, l’éducation constitue également une cible privilégiée. Par exemple, en janvier 2023, une école de Guilford, au Royaume-Uni, a subi une attaque dans laquelle des criminels menaçaient de publier des données sensibles, notamment des rapports de protection et des informations sur des enfants vulnérables.

Les attaques sont également chronométrées pour maximiser les perturbations. Par exemple, une attaque en juin 2023 contre une école de Dorchester, au Royaume-Uni, a empêché l’école d’utiliser le courrier électronique ou d’accéder aux services pendant la période principale des examens. Cela peut avoir un impact profond sur le bien-être et la réussite scolaire des enfants.

Ces exemples ne sont en aucun cas exhaustifs. De nombreuses attaques, par exemple, ciblent directement des entreprises et des associations caritatives trop petites pour attirer l’attention. L'impact sur une petite entreprise, en termes de perturbation des activités, de perte de réputation et de coût psychologique lié aux conséquences d'une attaque, peut être dévastateur. À titre d’exemple, une enquête réalisée en 2021 a révélé que 34 % des entreprises britanniques ayant subi une attaque de ransomware ont ensuite fermé leurs portes. Et bon nombre des entreprises qui ont continué à fonctionner ont quand même dû licencier du personnel.

Tout a commencé avec les disquettes

Les origines des ransomwares remontent généralement au virus SIDA ou cheval de Troie PC Cyborg dans les années 1980. Dans ce cas, les victimes ayant inséré une disquette dans leur ordinateur retrouveraient par la suite leurs fichiers cryptés et un paiement demandé. Des disques étaient distribués aux participants et aux personnes intéressées par des conférences spécifiques, qui tentaient ensuite d'accéder au disque pour répondre à une enquête – au lieu d'être infectés par le cheval de Troie. Les fichiers sur les ordinateurs concernés ont été chiffrés à l'aide d'une clé stockée localement sur chaque ordinateur cible. Une victime aurait pu, en principe, rétablir l'accès à ses fichiers en utilisant cette clé. Cependant, la victime ne savait peut-être pas qu'elle pouvait faire cela, car même aujourd'hui, les connaissances techniques en cryptographie ne sont pas courantes parmi la plupart des utilisateurs de PC.

Finalement, les forces de l'ordre ont retracé les disquettes jusqu'à un biologiste évolutionniste formé à Harvard, Joseph Popp, qui menait à l'époque des recherches sur le SIDA. Il a été arrêté et accusé de plusieurs chefs de chantage, et certains l'ont crédité d'être l'inventeur du ransomware. Personne ne sait exactement ce qui a poussé Popp à faire ce qu'il a fait.

Le message à l'écran après l'activation du ransomware AIDS Trojan Horse. wikipédia

De nombreuses premières versions de ransomwares étaient des systèmes cryptographiques assez basiques qui souffraient de divers problèmes liés à la facilité avec laquelle il était possible de trouver les informations clés que le criminel tentait de cacher à la victime. C'est l'une des raisons pour lesquelles les ransomwares ont réellement atteint leur maturité avec l'attaque CryptoLocker en 2013 et 2014.

CryptoLocker a été le premier virus d’attaque de ransomware techniquement solide à être distribué en masse. Des milliers de victimes ont vu leurs fichiers cryptés par un ransomware qui n'a pas pu faire l'objet d'une ingénierie inverse. Les clés privées, utilisées pour le cryptage, étaient détenues par l'attaquant et les victimes ne pouvaient pas restaurer l'accès à leurs fichiers sans elles. Des rançons d'environ 300 à 600 dollars américains ont été exigées et on estime que les criminels se sont enfuis avec environ 3 millions de dollars américains. Cryptolocker a finalement été fermé en 2014 à la suite d'une opération impliquant plusieurs agences internationales chargées de l'application de la loi.

CryptoLocker a joué un rôle essentiel en démontrant que les criminels pouvaient gagner de grosses sommes d’argent grâce aux ransomwares. Par la suite, il y a eu une explosion de nouvelles variantes et de nouveaux types. Il y a également eu une évolution significative dans les stratégies utilisées par les criminels.

Sur étagère et double extorsion

Un développement important a été l’émergence du ransomware-as-a-service. Il s'agit d'un terme désignant les marchés du dark web grâce auxquels les criminels peuvent obtenir et utiliser des ransomwares « prêts à l'emploi » sans avoir besoin de compétences informatiques avancées, tandis que les fournisseurs de ransomwares prennent une part des bénéfices.

Des recherches ont montré à quel point le dark web est le « Far West non réglementé d’Internet » et un refuge sûr où les criminels peuvent communiquer et échanger des biens et services illégaux. Il est facilement accessible et, grâce à la technologie d’anonymisation et aux monnaies numériques, une économie noire mondiale y prospère. On estime qu'un milliard de dollars américains y ont été dépensés au cours des seuls neuf premiers mois de 2019, selon l'Agence de l'Union européenne pour l'application des lois.

Avec le ransomware as a service (Raas), la barrière à l’entrée pour les aspirants cybercriminels, tant en termes de coût que de compétences, a été abaissée.

Dans le modèle Raas, l'expertise est fournie par les fournisseurs qui développent les logiciels malveillants, tandis que les attaquants eux-mêmes peuvent être relativement peu qualifiés. Cela a également pour effet de compartimenter les risques :l'arrestation de cybercriminels utilisant des ransomwares ne menace plus l'ensemble de la chaîne d'approvisionnement, permettant ainsi la poursuite des attaques lancées par d'autres groupes.

Nous avons également constaté une tendance à abandonner les attaques de phishing massives, comme CryptoLocker, qui ont touché plus de 250 000 systèmes, au profit d’attaques plus ciblées. Cela signifie que l’on se concentre de plus en plus sur les organisations disposant des revenus nécessaires pour payer des rançons importantes. Les organisations multinationales, les cabinets juridiques, les écoles, les universités, les hôpitaux et les prestataires de soins de santé sont tous devenus des cibles privilégiées, tout comme de nombreuses petites et microentreprises et organisations caritatives.

Un développement plus récent des ransomwares, tels que Netwalker, REvil/Sodinokibi, concerne la menace de double extorsion. C’est là que les criminels non seulement chiffrent les fichiers, mais exfiltrent également les données en copiant les fichiers. Ils sont alors susceptibles de divulguer ou de publier des informations potentiellement sensibles et importantes.

Un exemple de cela s’est produit en 2020, lorsque l’un des plus grands éditeurs de logiciels, Software AG, a été touché par un ransomware à double extorsion appelé Clop. Il a été rapporté que les attaquants avaient demandé une rançon exceptionnellement élevée de 20 millions de dollars américains (environ 15,7 millions de livres sterling) que Software AG a refusé de payer. Cela a conduit les attaquants à divulguer des données confidentielles de l’entreprise sur le dark web. Cela offre aux criminels deux sources de levier :ils peuvent obtenir une rançon pour obtenir la clé privée permettant de décrypter les fichiers et ils peuvent obtenir une rançon pour empêcher la publication de données sensibles.

La double extorsion modifie le modèle économique des ransomwares de manière intéressante. En particulier, avec les ransomwares standards, la victime est relativement directement incitée à payer une rançon pour accéder à la clé privée si cela permet le décryptage des fichiers, et elle ne peut accéder aux fichiers par aucun autre moyen. La victime doit « seulement » avoir confiance que le cybercriminel lui donnera la clé et que celle-ci fonctionnera.

« L'honneur » parmi les voleurs ?

En revanche, dans le cas de l’exfiltration de données, il n’est pas évident de savoir ce que la victime obtient en échange du paiement de la rançon. Les criminels disposent toujours des données sensibles et peuvent toujours les publier à tout moment. Ils pourraient en effet demander des rançons ultérieures pour ne pas publier les fichiers.

Par conséquent, pour que l’exfiltration de données soit une stratégie commerciale viable, les criminels doivent se forger une réputation crédible d’« honoration » des paiements de rançon. Cela a sans doute conduit à un écosystème de ransomwares normalisé.

Par exemple, les négociateurs de rançons sont des entrepreneurs privés et, dans certains cas, sont tenus, dans le cadre d’un accord de cyber-assurance, de fournir une expertise dans la gestion des situations de crise impliquant des ransomwares. Sur instruction, ils faciliteront les paiements de rançon négociés. Au sein de cet écosystème, certains gangs criminels ransomwares ont développé la réputation de ne pas publier de données (ou du moins de retarder leur publication) si une rançon est payée.

Plus généralement, le cryptage, le déchiffrement ou l’exfiltration de fichiers est généralement une tâche difficile et coûteuse à réaliser pour les criminels. Il est beaucoup plus simple de supprimer les fichiers, puis de prétendre qu'ils ont été cryptés ou exfiltrés et d'exiger une rançon. Cependant, si les victimes soupçonnent qu’elles ne récupéreront pas la clé de déchiffrement ou les données cryptées, elles ne paieront pas la rançon. Et ceux qui paient une rançon et n’obtiennent rien en retour peuvent le révéler. Cela est susceptible d’avoir un impact sur la « réputation » de l’attaquant et sur la probabilité de futurs paiements de rançon. En termes simples, il est payant de jouer « équitablement » dans le monde des attaques d'extorsion et de rançon.

Ainsi, en moins de dix ans, nous avons vu la menace des ransomwares évoluer considérablement, passant du CryptoLocker à une échelle relativement modeste à une entreprise de plusieurs millions de dollars impliquant des gangs criminels organisés et des stratégies sophistiquées. À partir de 2020, les incidents de ransomware et les pertes qui en résultent ont apparemment augmenté d’un autre ordre de grandeur. Les ransomwares sont devenus trop importants pour être ignorés et constituent désormais une préoccupation majeure pour les gouvernements et les forces de l'ordre.

Menaces d'extorsion de cryptomonnaies

Même si les ransomwares sont devenus dévastateurs, la menace va inévitablement évoluer à mesure que les criminels développent de nouvelles techniques d’extorsion. Comme nous l'avons déjà mentionné, un thème clé de nos recherches collectives au cours des dix dernières années a été d'essayer d'anticiper les stratégies probables que les criminels peuvent employer afin d'avoir une longueur d'avance.

Nos recherches se concentrent désormais sur la prochaine génération de ransomwares, qui, selon nous, comprendra des variantes axées sur les cryptomonnaies, ainsi que sur les « mécanismes de consensus » utilisés en leur sein.

Un mécanisme de consensus est toute méthode (généralement algorithmique) utilisée pour parvenir à un accord, à la confiance et à la sécurité sur un réseau informatique décentralisé.

La prochaine cible pourrait être la cryptographie. Shutterstock/sundaematin

Plus précisément, les crypto-monnaies utilisent de plus en plus un mécanisme de consensus dit de « preuve de participation », dans lequel les investisseurs misent des sommes importantes en devises, pour valider les transactions cryptographiques. Ces enjeux sont vulnérables à l'extorsion par les criminels ransomware.

Les crypto-monnaies reposent sur une blockchain décentralisée qui fournit un enregistrement transparent de toutes les transactions effectuées en utilisant cette devise. La blockchain est gérée par un réseau peer-to-peer plutôt que par une autorité centrale (comme pour la monnaie conventionnelle). En principe, les enregistrements de transactions inclus dans la blockchain sont immuables, vérifiables et distribués de manière sécurisée sur le réseau, donnant aux utilisateurs la pleine propriété et visibilité des données de transaction. Ces propriétés de la blockchain reposent sur un « mécanisme de consensus » sécurisé et non manipulable dans lequel les nœuds indépendants du réseau « approuvent » ou « conviennent » des transactions à ajouter à la blockchain.

Jusqu’à présent, les cryptomonnaies comme le Bitcoin s’appuyaient sur un mécanisme consensuel dit de « preuve de travail » dans lequel l’autorisation des transactions implique la résolution de problèmes mathématiques complexes (le travail). À long terme, cette approche n'est pas viable car elle entraîne une duplication des efforts et une consommation d'énergie à grande échelle évitable.

L’alternative, qui devient désormais réalité, est un mécanisme de consensus de « preuve d’enjeu ». Ici, les transactions sont approuvées par des validateurs qui ont misé de l'argent et sont financièrement récompensés pour la validation des transactions. Le rôle du travail inefficace est remplacé par un enjeu financier. Bien que cela résolve le problème énergétique, cela signifie que de grandes sommes d'argent mises en jeu sont impliquées dans la validation des transactions cryptographiques.

Ethereum

L’existence de cet argent mis en jeu constitue une nouvelle menace pour certaines crypto-monnaies de preuve de mise. Nous avons concentré notre attention sur Ethereum, une crypto-monnaie décentralisée qui établit un réseau peer-to-peer pour exécuter et vérifier en toute sécurité le code de l'application, connu sous le nom de contrat intelligent.

Ethereum est alimenté par le jeton Ether (ETH) qui permet aux utilisateurs d'effectuer des transactions entre eux grâce à l'utilisation de ces contrats intelligents. Le projet Ethereum a été co-fondé par Vitalik Buterin en 2013 pour combler les lacunes du Bitcoin. Le 15 septembre 2022, The Merge a fait passer le réseau Ethereum de la preuve de travail à la preuve de participation, ce qui en fait l'une des premières crypto-monnaies de preuve de participation de premier plan.

Le mécanisme de consensus de preuve de participation dans Ethereum s’appuie sur des « validateurs » pour approuver les transactions. Pour créer un validateur, il doit y avoir une mise minimale de 32 ETH, qui est actuellement d'environ 60 000 $ US (environ 43 000 £). Les validateurs peuvent ensuite obtenir un retour financier sur leur mise en exploitant un validateur conformément aux règles d’Ethereum. Au moment de la rédaction de cet article, il y avait environ 850 000 validateurs.

Beaucoup d'espoir repose sur la solution de validation « enjeu », mais les pirates informatiques sont sûrs de chercher comment ils peuvent infiltrer le système.

Dans notre projet, financé par la Fondation Ethereum, nous avons identifié les moyens par lesquels les groupes de ransomwares pourraient exploiter le nouveau mécanisme de preuve de participation à des fins d'extorsion.

Trainant

Nous avons constaté que les attaquants pouvaient exploiter les validateurs via un processus appelé « slashing ». Bien que les validateurs reçoivent des récompenses pour avoir obéi aux règles, des sanctions financières sont prévues pour les validateurs qui semblent agir de manière malveillante. L'objectif fondamental des sanctions est d'empêcher l'exploitation de la blockchain décentralisée.

Il existe deux formes de sanctions, la plus sévère étant le coup de couteau. Le slashing se produit pour des actions qui ne devraient pas se produire par accident et pourraient mettre en danger la blockchain, comme proposer des blocs conflictuels pour être ajoutés à la blockchain ou essayer de modifier l'historique.

Les pénalités sont relativement sévères, le validateur perdant une part importante de sa participation, au moins 1ETH. En effet, dans le cas le plus extrême le validateur pourrait perdre la totalité de sa mise (32ETH). Le validateur sera également contraint de sortir et n’agira plus en tant que validateur. En bref, si un validateur est supprimé, les conséquences financières seront importantes.

Pour effectuer des actions, les validateurs se voient attribuer des clés de signature uniques, qui prouvent essentiellement qui ils sont au réseau. Supposons qu’un criminel s’empare de la clé de signature ? Ensuite, ils pourraient faire chanter la victime pour qu'elle paie une rançon.

Diagramme montrant à quel point cela devient compliqué en cas d'attaque d'extorsion contre des validateurs de preuve de participation, tels qu'Ethereum

Alpesh Bhudia, CC BY-ND

Un « contrat intelligent »

La victime peut être réticente à payer la rançon à moins qu’elle n’ait la garantie que les criminels ne prendront pas son argent et ne restitueront pas/libéreront pas la clé. Après tout, qu’est-ce qui empêcherait les criminels de demander une autre rançon ?

Une solution que nous avons trouvée – qui rappelle le fait que les ransomwares sont en fait devenus une sorte d’entreprise gérée par des criminels qui veulent prouver qu’ils ont une réputation « honnête » – est un contrat intelligent.

Ce contrat automatisé peut être rédigé de manière à ce que le processus ne fonctionne que si les deux parties « honorent » leur part du marché. Ainsi, la victime pourrait payer la rançon et être sûre que cela résoudra la menace directe d’extorsion. Cela est possible grâce à l’Ethereum car toutes les étapes requises sont publiquement observables sur la blockchain :le dépôt, le signe de sortie, l’absence de slashing et le retour de la mise.

Sur le plan fonctionnel, ces contrats intelligents constituent un système de dépôt fiduciaire dans lequel l'argent peut être détenu jusqu'à ce que les conditions préalablement convenues soient remplies. Par exemple, si les criminels forcent à couper avant que le validateur ne soit complètement sorti, le contrat garantira que le montant de la rançon sera restitué à la victime. De tels contrats sont cependant sujets aux abus et rien ne garantit qu’un contrat rédigé par un attaquant soit fiable. Il est possible que le contrat soit automatisé de manière totalement fiable, mais nous n'avons pas encore observé un tel comportement et de tels systèmes n'ont pas encore émergé.

La menace des pools de staking

Ce type de stratégie « payer et quitter » est un moyen efficace pour les criminels d'extorquer des victimes si elles peuvent obtenir les clés de signature du validateur.

Alors, quels dégâts une attaque de ransomware comme celle-ci causerait-elle à Ethereum ? Si un seul validateur est compromis, la pénalité – et donc la demande de rançon maximale – serait de l'ordre de 1ETH, soit environ 1 800 $ US (environ 1 400 £). Pour mobiliser des sommes d'argent plus importantes, les criminels doivent donc cibler les organisations ou les pools de staking chargés de gérer un grand nombre de validateurs.

N'oubliez pas qu'étant donné les coûts d'entrée élevés pour les investisseurs individuels, la plupart des validations sur Ethereum se feront dans le cadre de « pools de jalonnement » dans lesquels plusieurs investisseurs peuvent miser collectivement de l'argent.

Pour mettre cela en perspective, Lido est le plus grand pool de jalonnement d'Ethereum avec environ 127 000 validateurs et 18 % de la participation totale; Coinbase est le deuxième plus grand avec 40 000 validateurs et 6 % de la participation totale. Au total, il existe 21 pools de jalonnement exploitant plus de 1 000 validateurs. Chacun de ces pools de jalonnement est responsable de dizaines de millions de dollars de participation et les demandes de rançon viables pourraient donc également se chiffrer en millions de dollars.

Les mécanismes de consensus de preuve de participation sont trop jeunes pour que nous puissions savoir si l’extorsion de pools de staking deviendra une réalité active. Mais la leçon générale de l’évolution des ransomwares est que les criminels ont tendance à se tourner vers des stratégies qui incitent au paiement et augmentent leurs gains illicites.

Le moyen le plus simple pour les investisseurs et les opérateurs de pools de jalonnement d’atténuer la menace d’extorsion que nous avons identifiée est de protéger leurs clés de signature. Si les criminels ne peuvent pas accéder aux clés de signature, il n'y a aucune menace. Si les criminels ne peuvent accéder qu’à certaines clés (pour les opérateurs disposant de plusieurs validateurs), la menace risque de ne pas être lucrative.

Les pools de jalonnement doivent donc prendre des mesures pour sécuriser les clés de signature. Cela impliquerait une série d'actions, notamment :partitionner les validateurs afin qu'une violation n'affecte qu'un petit sous-ensemble ; renforcez la cybersécurité pour prévenir les intrusions et des processus internes robustes pour limiter la menace interne qu'un employé divulgue les clés de signature.

Que se passe-t-il lorsque des pirates informatiques accèdent aux clés secrètes ? Shutterstock/Andrii Yalanskyi

Le marché des pools de jalonnement pour les crypto-monnaies comme Ethereum est compétitif. Il existe de nombreux pools de jalonnement, tous offrant des services relativement similaires et se faisant concurrence sur les prix pour attirer les investisseurs. Ces forces concurrentielles et la nécessité de réduire les coûts peuvent conduire à des mesures de sécurité relativement laxistes. Certains pools de jalonnement peuvent donc s'avérer une cible relativement facile pour les criminels.

En fin de compte, ce problème ne peut être résolu qu'avec une réglementation, une plus grande sensibilisation et une demande des investisseurs dans les pools de staking d'exiger des niveaux élevés de sécurité pour protéger leurs participations.

Malheureusement, l’histoire des ransomwares suggère que les attaques très médiatisées devront être détectées avant que la menace ne soit prise suffisamment au sérieux. Il est intéressant d’envisager les conséquences d’une violation significative d’un pool de staking. La réputation du pool de jalonnement serait vraisemblablement gravement affectée et sa viabilité sur un marché concurrentiel est donc discutable. Une attaque peut également avoir des implications sur la réputation de la monnaie.

Au pire, cela pourrait conduire à l’effondrement de la monnaie. Lorsque cela se produit, comme cela a été le cas avec FTX en 2022 à la suite d'une autre attaque de piratage informatique, cela a des répercussions sur l'économie mondiale.

Ici pour rester

Les ransomwares constitueront un défi pour les années, voire les décennies à venir.

Une vision potentielle de l'avenir est que les ransomwares deviendraient simplement une partie de la vie économique normale, les organisations étant confrontées à une menace constante d'attaque, avec peu de conséquences pour les gangs de cybercriminels en grande partie anonymes à l'origine de ces escroqueries.

Pour éviter de telles conséquences négatives, nous devons être plus conscients de la menace. Les investisseurs peuvent alors prendre des décisions plus éclairées sur les pools de jalonnement et les devises dans lesquels investir. Il est également logique d'avoir un marché avec de nombreux pools de jalonnement, plutôt qu'un marché dominé par quelques grands pools, car cela pourrait protéger la devise d'éventuelles attaques.

Au-delà de la cryptographie, la préemption implique des investissements dans la cybersécurité sous diverses formes, depuis la formation du personnel jusqu’à une culture organisationnelle qui prend en charge le signalement des incidents. Cela implique également d’investir dans des options de récupération, telles que des sauvegardes efficaces, une expertise interne, une assurance et des plans d’urgence éprouvés.

Malheureusement, les pratiques de cybersécurité ne s’améliorent pas comme on pourrait l’espérer dans de nombreuses organisations, ce qui laisse la porte ouverte aux cybercriminels. Essentiellement, tout le monde doit mieux cacher et protéger ses clés numériques et ses informations sensibles si nous voulons avoir une chance contre la prochaine génération d'attaquants de ransomware.

Pour vous :plus de notre série Insights :

• La fonte de l'Arctique est une scène de crime. Les microbes que j’étudie nous avertissent depuis longtemps de cette catastrophe – mais ils en sont également à l’origine.

• Les contes célèbres de Beatrix Potter trouvent leur origine dans des histoires racontées par des esclaves africains – mais elle est restée très discrète sur leurs origines

• Invisible Windrush :comment les histoires des travailleurs indiens sous contrat des Caraïbes ont été oubliées

Pour découvrir les nouveaux articles Insights, rejoignez les centaines de milliers de personnes qui apprécient les informations factuelles de The Conversation. Abonnez-vous à notre newsletter .