Spécial - Outrunning the Red Queen - Analysis of Ransomware Scripts - Parce que... c'est l'épisode 0x605!
Parce que… c’est l’épisode 0x605!
Shameless plug
12 au 17 octobre 2025 - Objective by the sea v8
10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
17 au 20 novembre 2025 - European Cyber Week
25 et 26 février 2026 - SéQCure 2065
Description
Dans cet épisode spécial du podcast enregistré lors de l’événement Cyberco, l’animateur reçoit Vicky Desjardins, candidate au doctorat en criminologie à l’Université de Montréal et spécialiste en réponse à incident. Vicky présente les résultats de sa recherche de cinq années sur les rançongiciels, offrant une perspective unique qui combine criminologie et cybersécurité.
Parcours et motivation de la recherche
Vicky a débuté sa thèse avant la pandémie, cherchant à comprendre pourquoi les défenseurs semblaient toujours surpris et en mode réaction face aux attaques de rançongiciels. Malgré son manque initial d’expertise technique, elle était déterminée à contribuer à résoudre ce problème croissant. L’arrivée du Covid-19 a considérablement amplifié l’ampleur du phénomène qu’elle étudiait.
Son expérience dans l’industrie a transformé sa perspective de recherche. Elle a réalisé qu’il existait souvent un fossé important entre la recherche académique et la réalité terrain. Cette prise de conscience l’a amenée à adopter une approche différente, se concentrant non pas sur ce qui change constamment dans les techniques d’attaque, mais plutôt sur les éléments stables et prévisibles du comportement criminel.
Approche criminologique des rançongiciels
L’originalité de la recherche de Vicky réside dans son approche criminologique. Plutôt que de se concentrer uniquement sur les aspects techniques qui évoluent rapidement, elle a choisi d’analyser les comportements humains sous-jacents aux attaques. Sa philosophie est que les techniques ne sont que des outils utilisés par des humains pour commettre des actes criminels.
Cette perspective lui a permis de découvrir que les attaques de rançongiciels sont beaucoup moins sophistiquées qu’on pourrait le croire. En réalité, la plupart peuvent être exécutées en quelques lignes de commande une fois l’accès obtenu. Cette simplicité contraste avec l’image de tours de magie technologiques souvent véhiculée dans les médias.
Constats sur la simplicité des attaques
L’un des enseignements les plus marquants de sa recherche concerne la banalité technique des attaques. Vicky observe que les méthodes utilisées aujourd’hui sont essentiellement identiques à celles d’il y a six ans. Les attaquants utilisent toujours la même approche : ils “se tapent la tête” sur différents systèmes jusqu’à ce qu’ils trouvent une faille exploitable.
La principale évolution qu’elle note est l’augmentation de la spécialisation des tâches. Alors qu’auparavant, un même attaquant gérait l’ensemble du processus, on observe maintenant une séparation entre ceux qui obtiennent l’accès initial (Initial Access Brokers) et ceux qui mènent l’attaque finale. Cette fragmentation n’augmente cependant pas la complexité technique fondamentale des attaques.
Problèmes de base en cybersécurité
Vicky souligne que beaucoup d’organisations investissent massivement dans des produits de cybersécurité sophistiqués sans maîtriser les fondamentaux. Elle observe fréquemment des entreprises qui possèdent des outils avancés mais mal déployés ou mal configurés, parfois même pas mis en place du tout.
Sa première question lors d’interventions de réponse à incident est révélatrice : “Savez-vous ce que vous avez dans votre environnement ?” La réponse est souvent approximative, ce qui illustre le problème fondamental. Sans une connaissance précise de son infrastructure et une configuration appropriée des éléments de base, les investissements en cybersécurité perdent leur efficacité.
Dépendance des attaquants à l’infrastructure des victimes
L’une des découvertes les plus importantes de la recherche concerne la forte dépendance des attaquants vis-à-vis de l’infrastructure des victimes. Cette observation est cruciale car elle identifie un point de contrôle pour les défenseurs. Contrairement aux outils d’attaque qu’on ne peut pas contrôler, l’infrastructure appartient à l’organisation et peut être configurée de manière à compliquer considérablement le travail des attaquants.
Cette dépendance se manifeste dans tous les aspects de l’attaque : reconnaissance, mouvement latéral, élévation de privilèges, et exfiltration de données. En rendant l’infrastructure moins “accueillante” pour les attaquants, on peut augmenter significativement la difficulté de leurs opérations.
Importance critique des comptes valides
Les comptes valides représentent la technique la plus stable et la plus utilisée dans l’arsenal des attaquants de rançongiciels. Vicky les observe à toutes les étapes du processus d’attaque : entrée initiale, évasion des défenses, reconnaissance interne, élévation de privilèges, persistance, et mouvement latéral.
Cette omniprésence des comptes valides dans les attaques souligne l’importance cruciale de repenser complètement la gestion des accès. Il ne s’agit plus seulement d’appliquer le principe de moindre privilège, mais d’adopter une approche beaucoup plus granulaire et contextuelle.
Recommandations pour la gestion des accès
Vicky propose une approche révolutionnaire de la gestion des accès basée sur plusieurs dimensions. D’abord, une segmentation par groupes d’employés avec des accès spécifiques à leurs besoins réels, pas théoriques. Ensuite, l’implémentation de restrictions temporelles : la plupart des employés ne travaillent pas après 21h, leurs comptes ne devraient donc pas avoir accès aux systèmes critiques durant ces heures.
Elle suggère également des restrictions géographiques, bloquant les connexions depuis des emplacements non autorisés. Ces mesures forcent les attaquants à opérer dans des créneaux temporels et géographiques spécifiques, compliquant considérablement leurs opérations et potentiellement les décourageant de cibler l’organisation.
Cibles privilégiées des attaquants
L’analyse révèle que certains éléments de l’infrastructure sont systématiquement ciblés. Les antivirus et firewalls sont désactivés par des scripts automatisés. Les solutions de détection (EDR) voient leurs configurations modifiées. L’Active Directory et les contrôleurs de domaine sont particulièrement visés car ils donnent accès à des privilèges étendus.
Le cloud est devenu une cible majeure depuis 2020, coïncidant avec la migration massive due à la pandémie. Les services d’accès distant (VPN, bureaux à distance) constituent des portes d’entrée privilégiées. Ces observations permettent de prioriser les efforts de sécurisation sur les éléments les plus à risque.
Stratégies d’évasion et de dissimulation
Les attaquants investissent énormément d’efforts dans l’évasion de la détection plutôt que dans la sophistication technique. Leur avantage principal réside dans leur capacité à rester indétectés le plus longtemps possible avant de révéler leur présence.
Vicky observe de nombreuses techniques de brouillage du trafic réseau, rendant la détection difficile dans le volume normal des communications. Cette approche furtive explique pourquoi une détection précoce peut transformer radicalement la dynamique de l’incident, forçant les attaquants à opérer sous pression et à commettre des erreurs.
Aspects comportementaux et motivations
L’approche criminologique révèle des aspects souvent négligés. Les attaquants ont des vies personnelles et des contraintes temporelles. Beaucoup opèrent selon des horaires de travail normaux dans leur fuseau horaire. Cette humanisation des attaquants ouvre des possibilités de défense basées sur l’analyse comportementale.
Concernant les motivations, au-delà de l’aspect financier évident des rançongiciels, Vicky identifie des problématiques plus subtiles comme les Initial Access Brokers qui vendent des accès pour des sommes dérisoires. Ces cas révèlent souvent des motivations personnelles (frustration professionnelle, problèmes financiers personnels) plutôt que purement lucratives.
Méthodologie multidisciplinaire
La force de cette recherche réside dans son approche multidisciplinaire, combinant écologie, économie, criminologie et technique. Cette convergence permet de créer une nouvelle chaîne d’attaque (kill chain) basée sur les techniques les plus fréquemment observées, offrant des points d’intervention plus précis.
L’approche évite l’écueil de la sur-sophistication des menaces. Plutôt que de se préparer contre des groupes APT ultra-sophistiqués qui ciblent rarement les PME, elle encourage une évaluation réaliste des menaces appropriées à chaque organisation.
Impact de la spécialisation criminelle
L’évolution vers une spécialisation des rôles dans l’écosystème criminel reflète une professionnalisation du secteur. Les Initial Access Brokers se spécialisent dans l’obtention d’accès qu’ils revendent ensuite. Cette séparation des tâches, bien qu’augmentant l’efficacité globale, crée aussi de nouveaux points de vulnérabilité dans la chaîne criminelle.
Le marché des accès révèle des prix parfois dérisoires, suggérant que certains vendeurs sont motivés par autre chose que le profit pur. Cette réalité soulève des questions importantes sur la gestion des risques internes et la satisfaction des employés ayant accès à des systèmes critiques.
Recommandations stratégiques
La recherche aboutit à des recommandations pragmatiques centrées sur le “security by design”. Il s’agit de repenser fondamentalement l’architecture de sécurité plutôt que d’ajouter des couches successives de protection. Cette approche reconnaît qu’il n’est jamais trop tard pour réviser ses configurations de base.
L’objectif n’est pas de créer une forteresse impénétrable, mais de rendre l’environnement suffisamment “ennuyeux” ou difficile pour décourager les attaquants opportunistes. Dans l’esprit de Vicky, “le meilleur truc en cybersécurité, c’est juste être plus embêtant que quelqu’un d’autre”.
Cette philosophie pragmatique reconnaît les limites des ressources et se concentre sur l’efficacité maximale avec les moyens disponibles, privilégiant une approche de risque proportionné plutôt que de protection absolue.
Collaborateurs
Nicolas-Loïc Fortin
Vicky Desjardins
Crédits
Montage par Intrasecure inc
Locaux réels par Cybereco
Canada - english