KeyRanger, Cryptolocker, Koler, CTB Locker, Cryptowall, Critroni, TorLocker, ces noms ne vous évoquent peut-être rien du tout (dans ce cas vous avez de la chance), sinon vous vous doutez sûrement du sujet que nous allons aborder : les ransomware. Ces derniers temps, nous avons constaté une recrudescence d’entreprises touchées par des ransomware. La faute, en partie, à l’émergence du cryptoware Locky. En conséquence, nous vous proposons de découvrir cette variété, particulièrement dangereuse, de malware, ainsi que les meilleurs moyens de se protéger.
Le ransomware, ou rançongiciel en français, est un logiciel malveillant visant à soutirer une rançon en prenant en otage votre poste de travail et votre réseau. Concrètement, le but de ce malware est de bloquer totalement l’accès à votre poste de travail en demandant une somme d’argent afin de pouvoir le déverrouiller. Cette catégorie de malware fait partie des plus tenaces et des plus dangereuses à l’heure actuelle d’autant plus qu’elle peut s’attaquer à tous les types d’appareils (smartphones, tablettes, ordinateurs…).
Il en existe deux variantes. Le ransomware classique qui va se contenter de bloquer l’écran sur une image détaillant le processus de paiement pour le déblocage du poste. L’écran de blocage peut prendre différentes formes, défini en fonction de l’adresse IP, afin de rendre le message crédible. C’était par exemple le cas du « virus gendarmerie » qui prenait la forme d’un message des forces de l’ordre et avertissait le destinataire que le poste était verrouillé pour cause de téléchargement illégal ou de consultation pédopornographique. La rançon s’apparentait donc à une amende.
L’autre variante, appelée aussi cryptoware, suit le même processus à la différence qu’il est capable de crypter tous les fichiers présents sur l’appareil, les rendant ainsi illisibles. L’écran de blocage indique donc un décompte supplémentaire (deux ou trois jours en général) qui correspond au temps restant avant la destruction de la clé de décryptage. Il est important de savoir que certains cryptoware ont une technologie suffisamment avancée pour infecter également les lecteurs réseaux comme les clés USB, les disques durs externe mais aussi les serveurs locaux !
Les cas d’attaques deviennent de plus en plus fréquents. C’est le cas d’un hôpital californien dont la mésaventure a largement été relayée dans les médias. Victime d’une cyber-attaque, l’établissement a cédé au chantage des rançonneurs et déboursé la somme de 17 000 dollars pour récupérer le contrôle de son système. Outre l’attaque en elle-même, cette nouvelle a fait couler beaucoup d’encre, en particulier à cause de la mise en lumière de la mentalité actuelle. Selon certains sondages, il s’avère que près d’un quart des entreprises sondées seraient prêtes à céder au chantage.
Néanmoins, il ne faut pas croire que ce genre d’action ne touche que les grosses structures.
Pour preuve l'exemple d'une société française attaquée démontre que personne n’est à l’abri.
Attaquant : Cryptoware Locky le 1er mars 2016
Déclenchement de l’attaque : Infection par un mail
Conséquences : Plus d’accès à l’application de gestion de production et à la messagerie
Durée de l’arrêt de l’activité : 1 jour
Remédiation : Passage d’un antivirus sur les postes et restauration des données à partir des sauvegardes
On s’en est rendu compte car la base de données de notre chef d’atelier ne répondait plus. Il a voulu redémarrer mais le logiciel disait que la base de données était introuvable. Ça s’est ensuite propagé sur l’application de gestion commerciale avec les mêmes symptômes. Après avoir prévenu les salariés, nous avons contacté notre gestionnaire informatique (une société de service extérieure) qui n’avait pas les ressources pour nous aider. Nous avons donc fait appel à des professionnels de la sécurité informatique via COMAXESS qui sont intervenus en urgence. Ils sont passés sur tous les postes pour identifier la source, nettoyer et relancer les serveurs à partir des sauvegardes. Il s’avère que la source était un mail d’un pseudo cabinet d’avocat avec une pièce jointe. L’ouverture du mail a suffi pour propager l’infection dans le réseau.
Nous n’avions jamais testé la procédure de restauration, c’est donc inespéré car nous risquions de perdre toutes nos données depuis la dernière sauvegarde : 3 jours pour la gestion commerciale mais surtout 2 mois pour la GPAO (gestion de production assistée par ordinateur) !
Cette expérience a radicalement changé ma vision sur notre informatique. Nous sommes trop petits pour justifier d'une infrastructure en propre et nous n’aurons jamais assez de protection contre les attaques, ou cela coûterait trop cher. Nous lançons donc une étude pour externaliser l’hébergement sécurisé de nos applications messagerie et de gestion commerciale, ainsi que sur la mise en place de bonnes pratiques pour les utilisateurs et la vérification régulière de nos sauvegardes.
Enfin bref chacun son métier, le nôtre est de fabriquer et vendre des fenêtres et non pas de gérer une informatique vulnérable.
Sur votre appareil mobile, n’installez pas d’application provenant de sources inconnues ou depuis des stores non-officiels. Installez également une solution de protection pour votre appareil.
Surfez responsable : évitez les sites douteux, ne cliquez pas sur des liens suspects, n’ouvrez pas la pièce jointe de l’e-mail d’un inconnu. Pour les plus provoqants, vous pouvez opter pour une extension de navigateur qui bloque le JavaScript (telle que NoScript).
Ajustez les réglages de sécurité de votre navigateur pour en améliorer le niveau de protection.
Il incombe aussi en grande partie aux responsables informatiques d’éduquer les utilisateurs à des pratiques saines pour éviter ce genre de problème. En effet, Intel Security a d’ailleurs créé un test (toujours disponible) pour évaluer la perspicacité des internautes : 10 emails sont proposés et c’est à vous de définir si le message est légitime ou s’il s’agit d’une arnaque. L’entreprise a publié les chiffres et il s’avère que pas moins de 80% des participants ont été bernés et auraient fait confiance à un mail à tort. Preuve, si vous en doutiez encore, que la prévention est un véritable enjeu.
Mais la prévention a ses limites car l’erreur humaine est toujours possible. Il est donc nécessaire de penser à sécuriser son système informatique. Outre le fait d’avoir un anti-virus avec une base de données mise à jour de façon régulière, il existe plusieurs choses à savoir si l’on veut renforcer la dernière ligne de défense de vos données.
Utiliser un pare-feu en coupure du réseau, ce qui constitue une première barrière de protection qui peut aussi filtrer un certain nombre de pièce-jointes indésirables.
Gardez la fonction « contrôle du compte de l’utilisateur » (UAC : User Account Control) activée. Ce mécanisme de protection intégré dans Windows vous avertit lorsque des modifications sont sur le point d’être effectuées sur le système et requièrent des droits d’Administrateur.
Utilisez une solution anti-virus sur les postes et les serveurs avec des analyses en temps réel, ainsi que des modules anti-malware et anti-exploit. Conservez les paramétrages optimaux et mettez constamment à jour cette solution.
Utilisez un bloqueur de publicité pour limiter les publicités malveillantes.
Utilisez un filtre anti-spam pour réduire le nombre de mails malveillants. Certaines solutions comme MailinBlack, seront plus drastiques en demandant à l’expéditeur de prouver qu’il est bien un être humain (captcha).
Contre les virus dit « Zero Day » qui ne sont pas encore connu des éditeurs d’anti-virus, le dispositif peut être complété par des logiciels bloquant les comportements anormaux sur les postes.
Maintenez votre système d’exploitation à jour ainsi que vos programmes et vos extensions de navigateur, en particulier Java, Adobe Reader et Microsoft Silverlight. Les exploits utilisent leurs failles pour installer automatiquement des malwares.
Si malgré toutes ces précautions la ligne de protection a été franchie et que vous êtes victime d’une attaque, il ne reste qu’une solution. Utiliser la sauvegarde, faite au préalable, de vos fichiers et applications, afin de pouvoir restaurer votre système à une période antérieure à l’infection.
Cependant faire une sauvegarde ne suffit pas si vous n’êtes pas en mesure de restaurer votre système ! N’oubliez donc jamais que sauvegarde va de pair avec restauration.
Il faut sauvegarder de manière régulière votre système IT afin de ne pas avoir à restaurer une sauvegarde trop ancienne pour éviter une perte de données trop importante.
Conservez les sauvegardes à l’extérieur de votre réseau principal. Que ce soit dans le Cloud, sur un disque dur, ou dans un Datacenter, il faut que les données soient externalisées pour éviter une éventuelle propagation qui engendrerait la détérioration de ladite sauvegarde.
Multipliez le nombre de sauvegardes à différents endroits, afin de réduire le risque que la totalité de vos données soient corrompues (Loi des probabilités).
Il est important de faire des tests de restauration régulièrement afin de s’assurer de la bonne consistance des sauvegardes. Un protocole de restauration écrit vous apportera la sérénité nécessaire lors de la phase de récupération de données consécutive à une attaque.
La sauvegarde sur bande, avec externalisation de la ou des bandes dès la réalisation de la sauvegarde, reste une solution très sûre pour avoir un contrôle total et une sécurité maximale sur vos sauvegardes.
Une fois toutes ces précautions appliquées, même si le risque zéro n’existe jamais, vous pouvez diminuer radicalement les risques de subir la loi des ransomware.
Après avoir lu ces quelques lignes, êtes-vous capable de dire « oui, j’ai confiance en mon système de défense informatique » et « je suis en mesure de bien réagir en cas d’attaque » ?
Sous combien de temps vais-je pouvoir ré-accéder à mes applications ? Vais-je retrouver l’intégralité de mes données ?
Et quelles en seront les conséquences pour mon entreprise ?
Nos experts sécurité et nos spécialistes de la protection des données pourront vous aider à évaluer la résistance de votre système d’informations aux cyber-attaques, d’en détecter les failles et d’évaluer les risques pour votre entreprise.
Nos offres de sécurité et de sauvegarde vous permettront de renforcer vos protections par la consolidation de vos solutions actuelles ou la mise en œuvre de nouvelles.
Nous pouvons vous proposer d’externaliser tout ou une partie de vos sauvegardes pour en améliorer l’efficacité et pourquoi pas vous décharger de l’exploitation et l’administration de vos infrastructures en les hébergeant dans nos DataCenters.
eaZySecure pour diagnostiquer vos infrastructures et détecter les failles de sécurités sur vos serveurs et machines virtuelles
eaZySave pour la sauvegarde et restauration de vos serveurs, machines virtuelles et postes de travail
eaZyBox pour le partage sécurisé de vos fichiers
eaZymail pour une messagerie collaborative sécurisée
eaZyRun pour vos projets d’externalisation d’infrastructure
eaZyWeb pour l’hébergement de votre site Web
Toutes nos solutions peuvent être déployées sur vos infrastructures ou en mode Cloud.
N’hésitez pas à nous solliciter à travers le formulaire ci-dessous pour un avis, un audit ou une demande de chiffrage, nous sommes là pour vous aider.