Lors d\u2019une attaque par ran\u00e7ongiciel, les cybercriminels s\u2019introduisent dans le r\u00e9seau informatique d\u2019une entreprise, g\u00e9n\u00e9ralement par le biais de courriels d\u2019hame\u00e7onnage, de pi\u00e8ces jointes infect\u00e9es ou de failles de s\u00e9curit\u00e9 dans les logiciels, puis, \u00e0 l\u2019aide de programmes malveillants, ils cryptent l\u2019int\u00e9gralit\u00e9 des donn\u00e9es stock\u00e9es sur les serveurs, y emp\u00eachant tout acc\u00e8s. L\u2019ensemble du syst\u00e8me informatique de l\u2019entreprise est alors bloqu\u00e9, ce qui peut causer de longues interruptions de l\u2019exploitation, avec, \u00e0 la cl\u00e9, des pertes financi\u00e8res, des atteintes \u00e0 la r\u00e9putation et des frais \u00e9lev\u00e9s de r\u00e9tablissement de l\u2019infrastructure. Ces attaques sont particuli\u00e8rement graves quand elles touchent des h\u00f4pitaux ou d\u2019autres installations critiques car elles peuvent aussi mettre en danger des vies humaines.<\/p>\n
En \u00e9change du d\u00e9cryptage des donn\u00e9es, les cybercriminels exigent le paiement d\u2019une ran\u00e7on en cryptomonnaie, comme le bitcoin. Le montant r\u00e9clam\u00e9 peut aller de quelques milliers \u00e0 plusieurs millions de francs, selon les auteurs des faits et les entreprises concern\u00e9es. Dans certains cas, la demande de ran\u00e7on est assortie de la menace de publier ou de vendre les donn\u00e9es vol\u00e9es en cas de refus de payer: on parle alors d\u2019une attaque \u00e0 double extorsion.<\/p>\n
Hautement qualifi\u00e9s sur le plan technique et agissant \u00e0 l\u2019\u00e9chelle internationale, les groupes criminels qui commettent des attaques par ran\u00e7ongiciel se r\u00e9partissent g\u00e9n\u00e9ralement les t\u00e2ches et les attributions. Afin de dissimuler leur identit\u00e9 et leur localisation, ils utilisent des services\u00a0VPN, des r\u00e9seaux cach\u00e9s, une communication crypt\u00e9e et des cryptomonnaies. Ils ciblent des entreprises et des institutions dont les syst\u00e8mes informatiques pr\u00e9sentent des failles de s\u00e9curit\u00e9, et ce quelles que soient leur domiciliation, leur activit\u00e9 et leur dimension. Un m\u00eame groupe peut ainsi \u00eatre responsable d\u2019un grand nombre d\u2019attaques \u00e0 travers le monde, en ayant recours \u00e0 des serveurs, des services de communication et des bourses de cryptomonnaies r\u00e9partis dans diff\u00e9rents pays.<\/p>\n
Pour pouvoir identifier les auteurs des attaques et rassembler des preuves, il faut obtenir des donn\u00e9es et des informations issues de diff\u00e9rents pays et ordres juridiques. Comme les autorit\u00e9s suisses ne peuvent pas mener d\u2019enqu\u00eates \u00e0 l\u2019\u00e9tranger, elles doivent emprunter la voie de l\u2019entraide judiciaire internationale. Or, celle-ci s\u2019av\u00e8re souvent trop longue, car des sources de donn\u00e9es cruciales telles que les fichiers journaux sont automatiquement \u00e9cras\u00e9es ou supprim\u00e9es apr\u00e8s un certain temps. Il est donc indispensable d\u2019engager une coop\u00e9ration internationale \u00e9troite et efficace, tant sur le plan policier que judiciaire, par exemple en constituant des groupes d\u2019action internationaux et des \u00e9quipes communes d\u2019enqu\u00eate. C\u2019est l\u00e0 le seul moyen de recueillir rapidement des informations et des \u00e9l\u00e9ments de preuve, mais aussi de proc\u00e9der \u00e0 des arrestations et \u00e0 des perquisitions simultan\u00e9es et coordonn\u00e9es dans diff\u00e9rents pays.<\/p>\n
Les proc\u00e9dures p\u00e9nales relatives aux ran\u00e7ongiciels sont particuli\u00e8rement difficiles \u00e0 conduire car il faut obtenir, d\u00e9pouiller et r\u00e9pertorier r\u00e9guli\u00e8rement d\u2019importants volumes de donn\u00e9es. De plus, pour identifier le mode op\u00e9ratoire du logiciel malveillant mis en \u0153uvre, il faut r\u00e9aliser une analyse technique selon un proc\u00e9d\u00e9 de \u00abr\u00e9tro-ing\u00e9nierie\u00bb. S\u2019ajoutent \u00e0 cela des mesures de surveillance complexes ainsi que des analyses des transactions en cryptomonnaies. De ce fait, les autorit\u00e9s de poursuite p\u00e9nale ont non seulement besoin d\u2019une coop\u00e9ration internationale efficace mais aussi de suffisamment de personnel sp\u00e9cialis\u00e9 en interne pour pouvoir r\u00e9primer de telles attaques. Une \u00e9troite collaboration interdisciplinaire entre le Minist\u00e8re public, les enqu\u00eateurs et les experts en criminalistique informatique est \u00e9galement indispensable.<\/p>\n
Dans le canton de Zurich, c\u2019est le Minist\u00e8re public\u00a0II qui est charg\u00e9 des poursuites dans les cas d\u2019attaques au ran\u00e7ongiciel. Depuis\u00a02019, il conduit avec succ\u00e8s, en \u00e9troite collaboration avec la police cantonale de Zurich, diverses proc\u00e9dures collectives \u00e0 l\u2019encontre d\u2019organisations criminelles internationales en y regroupant tous les cas survenus en Suisse qui mettent en cause les m\u00eames auteurs.<\/p>\n
L\u2019une des enqu\u00eates r\u00e9alis\u00e9es dans ce cadre visait un groupe soup\u00e7onn\u00e9 d\u2019avoir attaqu\u00e9 plus de 1800\u00a0entreprises dans 71\u00a0pays au moyen des programmes malveillants LockerGoga, Megacortex et Nefilim, le pr\u00e9judice total se montant \u00e0 plusieurs centaines de millions de francs. Gr\u00e2ce \u00e0 une action coordonn\u00e9e \u00e0 l\u2019\u00e9chelle internationale[1]<\/a>, douze membres pr\u00e9sum\u00e9s de cette organisation ont pu \u00eatre arr\u00eat\u00e9s en octobre\u00a02021, dont un Ukrainien r\u00e9sidant en Suisse. Fin juillet\u00a02025, le Minist\u00e8re public\u00a0II du canton de Zurich a clos la proc\u00e9dure p\u00e9nale \u00e0 l\u2019encontre de ce dernier par sa mise en accusation au tribunal de district de Zurich. Il lui est reproch\u00e9 d\u2019avoir jou\u00e9 un r\u00f4le d\u00e9terminant dans le d\u00e9veloppement du maliciel en question et d\u2019avoir particip\u00e9, depuis la Suisse, \u00e0 des attaques par ran\u00e7ongiciel contre une douzaine d\u2019entreprises implant\u00e9es sur le territoire helv\u00e9tique et \u00e0 l\u2019\u00e9tranger.<\/p>\n M\u00eame si les autorit\u00e9s de poursuite p\u00e9nale enregistrent r\u00e9guli\u00e8rement des succ\u00e8s notables dans la lutte contre les cybercriminels, la menace que repr\u00e9sentent les ran\u00e7ongiciels reste enti\u00e8re. Par cons\u00e9quent, il est conseill\u00e9 aux entreprises et aux institutions d\u2019investir dans la s\u00e9curit\u00e9 informatique et de sensibiliser leur personnel \u00e0 la n\u00e9cessit\u00e9 d\u2019\u00eatre vigilant, notamment pour d\u00e9celer des fichiers ou liens suspects transmis via des courriels. Si, malgr\u00e9 ces pr\u00e9cautions, elles sont victimes d\u2019une attaque, une r\u00e8gle s\u2019impose: ne pas verser de ran\u00e7on, mais porter plainte imm\u00e9diatement aupr\u00e8s de la police.<\/p>\n