18
May, 2017

Ransomware : quand la prise d’otage devient numérique

une vague de cyberattaques déferle sur plus de 150 pays bloquant de nombreux hôpitaux, entreprise et usine de production. D’après le directeur d’Europol, Rob Wainwright, il y aurait « plus de 200 000 victimes dans le monde » en quelques heures seulement. « C’est du jamais vu à ce niveau » estime le patron de l’organisme européen de coopération policière. Et la crainte d’une nouvelle vague n’est pas écartée…

 

Que vous soyez entrepreneurs, salariés ou DSI, cet article vous concerne et apportera les réponses aux questions que vous vous posez.

 


Qu’est-ce qu’un ransomware ?

Wannacrypt - Wannadecypt0r

Définition de « ransomware » :

Un ransomware, ou rançongiciel en français, est un logiciel informatique malveillant qui prend en otage les données de la machine infectée. Le ransomware crypte les fichiers contenus sur votre ordinateur les rendant ainsi illisibles et inaccessibles. À la différence d’un virus « traditionnel » tel qu’un trojan ou cheval de troie, le ransomware ne vol aucune donnée.


Comment le ransomware infecte votre ordinateur ?

 

1 – Phishing ou Hameçonnage

De manière générale, une attaque commence par une erreur humaine. L’un des collaborateurs de l’entreprise reçoit un mail qui, à première vu, est inoffensif (Relance de paiement, question sur une facture, contrat de vente…).

Si la méthode d’infection via une campagne d’emails malveillants reste traditionnelle, le risque de social engineering est souvent sous-estimée par les entreprises et dirigeants : on ne se rend pas compte à quel point l’éducation et la sensibilisation aux risques informatiques et à ses pièges est inexistante.

 

« On ne se rend pas compte à quel point l’éducation et la sensibilisation au risques informatiques et à ses pièges est inexistante »

 

2 – Ouverture d’une pièce jointe vérolée

Vous venez d’ouvrir une pièce jointe qui, à première vu, ne correspond en rien au contenu du message. Si c’est le cas, éteignez immédiatement votre ordinateur et contactez votre service informatique.

Si l’ouverture d’une pièce jointe vérolée n’est pas automatiquement un ransomware elle expose vos données et celles de l’entreprise à un risque de vol, de corruption ou de destruction. Plus ou moins redoutable, le rançongiciel s’exécute de manière automatisée et invisible et à pour objectif de rendre inutilisable l’ensemble des fichiers disponibles sur la machine hôte.

 

Les signes alarmants :

  • La pièce jointe est un fichier Zip crypté (.zip) ou possédant un mot de passe (les anti-virus ne peuvent pas analyser le contenu de ce fichier)
  • La pièce jointe possède l’extension suivante .pif (photos.pif par exemple) ou .com ; .bat ; .exe ; .vbs ; .lnk
  • Le message vous semble inhabituel (langue étrangère, fautes d’orthographe, contenu non professionnel etc …)
  • Si vous avez le moindre doute, ne cliquez pas.

 

Allons plus loin – Wannacrypt, la NSA et Edward Snowden

Confidentiel
Photo credit: adactio via VisualHunt / CC BY
Le Ransomware Wannacrypt s’appuie sur une faille de sécurité touchant uniquement le système d’exploitation Windows. Connue de personne sauf de la NSA, cette faille s’inscrit dans une vaste collection d’outils de piratage permettant de mener à bien des opérations d’espionnage sans quitter le sol Américain.

En outre, EternalBlue et DoublePulsar sont deux exploit développés par la NSA. Ils permettent aux hackers de pénétrer sur votre machine via une simple pièce jointe, de la contrôler à distance et, une fois intégrés à Wannacry, de mener la plus grande cyberattaque de l’histoire d’internet.

 

 

[Traduction] « Si la NSA avait discrètement fait part de la brèche utilisée lors de l’attaque des hôpitaux britanniques [à Microsoft], et non pas lorsqu’elle l’a perdue, tout ceci ne serait peut-être pas arrivé ». En effet, des nombreux outils de piratage ont été dérobés par un mystérieux collectif et laisse entendre que d’autres attaques auront lieues.

 


Comment se protéger ?

1 – Effectuer des mises à jour régulières

Le plus souvent les hackers utilisent des failles pour passer aux travers des sécurités. Ainsi votre antivirus, votre firewall et même vos équipements de sécurité réseaux peuvent être contournés. La mise à jour automatique de l’ensemble de vos logiciels et plus particulièrement de votre système d’exploitation est indispensable.

2 – Sensibiliser ses employés

Aujourd’hui, la formation du personnel pour prévenir les risques d’attaque informatique doit être une priorité pour la sécurité de votre entreprise. Selon Kaspersky, une fois sur cinq, la perte de données est imputable à un manque de vigilance de l’utilisateur ou à un manque de sensibilisation à la sécurité informatique.

De nombreux cours et séminaires de sensibilisation aux dangers du web sont disponibles. Pour notre part, nous vous recommandons le site de l’ANSSI et son guide « Précautions élémentaires ». Entièrement gratuit, il permet de promulguer une première formation à vos collaborateurs.

 

3 – Réaliser des sauvegardes externes régulière

Depuis de nombreuses années les constructeurs d’ordinateur et de disque dur nous sensibilisent à la perte de données et à leurs impact sur nos entreprises :

  • Perte de chiffre d’affaire
  • Difficultés de gestion suite à la corruption de données cruciales
  • Faillite de l’entreprise

 

Pour éviter le pire, de nombreux utilisateurs réalisent des backups sur des périphériques externes tel qu’une clé USB, un disque dur externe ou un lecteur réseau. Mais pour que ces sauvegardes soient efficaces elles doivent être effectuées de manière régulière sur un équipement déconnecté du réseau. En effet, les dernières versions de ransomware sont plus virulentes que leurs ainées et profitent de l’accès réseau pour se propager.

« Les dernières attaques du ransomware Wannacrypt remettent en cause de nombreuses stratégies de sauvegarde utilisant des disques dur réseaux tel que les NAS ou serveurs de fichiers. Wannacrypt utilise une technologie permettant de se propager au sein du réseau local et ainsi de crypter l’ensemble des lecteurs réseaux accessible en écriture. »

Marvin BIR, Technicien télécom HIPCOM

 

Le coin des experts – À quoi ressemble une sauvegarde fiable

Sauvegarde externe

  • droits d’écriture limités au logiciel de sauvegarde (non partagées sur le réseau avec des droits d’écriture : les dernières versions de ransomware parcourent l’ensemble du réseau à la recherche de lecteur accessible en écriture) ;

 

  • sauvegardes historisées (incrémentales, différentielles…) : s’il n’y a pas d’historique (suffisant pour remonter avant l’infection, J-3 par exemple si l’attaque a lieu vendredi soir et qu’on restaure le lundi suivant), la sauvegarde est inutile;

 

  • sauvegardes automatisées : il ne faut pas que l’utilisateur final ait à faire une copie manuelle de ses données. L’utilisation d’un disque dur externe, qu’on ne branche que pour la copie, est la meilleure façon d’oublier et d’utiliser une sauvegarde obsolètes datant de plusieurs semaines ;

 

  • sauvegardes testées : un disques dur est soumis à des pannes. Des secteurs peuvent se corrompre rendant la sauvegarde inutilisable. Des statistiques sur les supports physiques (SMART) et autres mécanismes de vérification sont intégrés aux logiciels de sauvegarde qui vous préviennent en cas de défaillance.

 

  • sauvegardes redondées : la majorité des solutions de sauvegarde externe redondent les données sur plusieurs supports physique et en plusieurs lieus rendant la sauvegarde sûre, sécurisée et garantie.

adapté de l’article numerama.com


Que faire si ma machine est contaminée ?

1 – DÉCONNECTER L’ORDINATEUR DU RÉSEAU

2 – Ne pas payer la rançon

Il n’est jamais garanti que le paiement de la rançon vous redonne l’accès à vos fichiers. Vous ne savez pas avec qui vous négociez et vous devez imaginer le pire des scénarios. Par ailleurs, le fait de payer la rançon encourage les hackers à continuer ce type d’attaque et la rend rentable. Enfin, le fait de céder au chantage peut exposer vos informations bancaires et créer un préjudice plus important pour vous et votre entreprise.

argent ransomware

L’ANSSI recommande de débrancher l’ordinateur infecté du réseau en premier lieu. Souvent, les logiciels antivirus déploient des mises à jour rapides pour contrer les attaques les plus importantes : n’hésitez pas à installer cette mise à jour quel que soit le logiciel que vous utilisez.

3 – Alertez le responsable de la sécurité ou le service informatique

 

4 – Restaurer ses données

Une fois que le ransomware est en place il est très difficile de décrypter les informations et la meilleure solution reste la remise à zéro de l’ordinateur et la restauration des données corrompues.

 


EN BREF

Un ransomware est un logiciel malveillant développé par des hackers qui crypte les données de la machine infecté dans le but de recevoir une rançon. Les dernières versions se propagent au travers du réseau local pour être encore plus dévastatrices.

Les moyens de protection disponibles pour l’utilisateur sont :

  • Mise à jour systématique des systèmes d’exploitations et logiciels
  • Bannissement des systèmes d’exploitations obsolètes
  • Stratégie de sauvegarde professionnelle et externalisée
  • Sensibilisation des collaborateurs aux risques du Web

Lorsqu’une machine est infecté le premier réflexe est de la déconnecté du réseau. Il faut ensuite procéder à une réinstallation du système d’exploitation et à la restauration des données.

Le dernier ransomware en date se prénomme Wannacry. Il utilise une faille du système d’exploitation Windows pour s’infiltrer et crypter le disque dur. Secret perdu de la NSA, de nombreuses autres vulnérabilité zero day existent et sont actuellement mises en vente aux enchères.


EN SAVOIR +

 

Nos experts se tiennent à votre disposition pour répondre à vos questions. En cas de besoins, n’hésitez pas à nous contacter pour réaliser un audit technique de votre structure et mettre en place une stratégie de sauvegarde professionnelle.

CONTACTER UN EXPERT

Copyright © 2016 - Mentions légales Fx Com'unik