Un nouveau fléau sévit sur nos environnements informatiques, les ransomwares ou rançongiciels, dont la fréquence et l’ampleur des attaques atteint des sommets inquiétants. Mais qu’est un ransomware et comment s’en protéger ?
Qu’est-ce qu’un ransomware ?
Vous arrivez à votre entreprise un beau matin, et un de vos collègues vous signale que le réseau est en panne, qu’il ne peut plus accéder à ses dossiers ou que son mot de passe n’est pas accepté. Vous jetez un œil sur le serveur et là, surprise, la plupart des fichiers sont illisibles ! Un message sibyllin mais non crypté vous prévient que vous avez 4 heures pour payer une coquette somme, sinon vos données seront définitivement perdues. Tout le monde s’affole : que peut-on faire maintenant sans ordinateur ?
Vous êtes en présence d’un ransomware. Et oui, aujourd’hui, ce n’est plus la fille du patron que l’on prend en otage, ce sont les précieuses données de l’entreprise. Le principe est simple : un attaquant mal intentionné s’introduit dans votre système informatique et crypte toutes vos données. Puis il vous prévient gentiment qu’il possède la clé de décryptage qu’il est prêt à vous remettre moyennant une bonne rétribution, en fonction des dégâts qu’il estime pouvoir causer à votre entreprise.
Le nombre des attaques par rançongiciels est en forte augmentation.
Jusqu’à présent, seules les grosses sociétés étaient touchées par ce problème. Les cybercriminels savaient que leur attaque pouvait faire de gros dégâts dans une société importante et demandaient des rançons en conséquence. Les grandes sociétés se sont rapidement blindées contre ce genre d’attaques, qui se sont « démocratisées » et ont touché des sociétés plus petites et moins protégées. Aujourd’hui, personne n’est à l’abri de ce fléau qui peut toucher des PME et TPE. La rançon demandée est moins forte, mais une PME n’ayant généralement pas les reins très solides, le risque que la société ne s’en remette pas est grand.
Lors des 12 derniers mois, les cyber-attaques ont concerné 90% des entreprises françaises, à des degrés divers, mais jamais sans conséquences (Etude Forrester – Aout 2020). Et les responsables informatiques voient le phénomène s’accélérer et ce surcroit de problèmes n’est pas dû au confinement. Même si une part de l’augmentation peut être imputée aux attaques pendant la phase où il y a eu beaucoup de télétravail, la tendance de fond ne faiblit pas.
Tout le monde a pris conscience de l’importance vitale des données pour les entreprises modernes. Les criminels aussi…
Un autre chiffre fait froid dans le dos : un hacker débutant peut entrer dans un réseau d’une entreprise sur 2 en moins de 3 jours. C’est ce qu’une récente étude de Positive Technologies a récemment mis en évidence.
La prévention : sauvegardez pour repartir
On n’insistera jamais assez : sauvegardez, sauvegardez ! Si vous êtes victimes d’un ransomware, cela veut dire que toutes vos données sont perdues. Votre seule alternative est soit de payer, soit de vous raccrocher aux dernières données valides que vous possédez. Payer n’est pas une option, mais si votre dernière sauvegarde remonte à 6 mois ou si vous n’arrivez pas à la restaurer, vous êtes mal…
Pour vos sauvegardes, utilisez ces deux principes, à adapter en fonction de vos besoins réels, avec le meilleur rapport contrainte (sauvegarde) / bénéfice (restauration) :
- La règle des 3-2-1 (3 sauvegardes, au moins 2 supports différents, au moins 1 à l’extérieur)
- La règle des 7J-4S-6M (une sauvegarde les 7 derniers jours, une de chacune des 4 dernières semaines, une de chacun des 6 derniers mois.
Et testez régulièrement que vos sauvegardes fonctionnent, en faisant des restaurations au plus proche de la réalité. Si vous êtes absolument sûr de vous, ou complètement inconscient, vous pouvez effacer vos vraies données pour remettre votre sauvegarde. Avant d’en arriver là, faites des tests, afin d’acquérir la certitude que votre sauvegarde est apte à vous faire redémarrer de zéro.
En ce qui concerne les ransomware, un point est crucial : vos sauvegardes ne doivent pas se résumer à une copie automatique sur un autre poste du réseau. Si votre attaquant à réussi à crypter vos données, crypter un disque de sauvegarde sur le même réseau est tout autant à sa portée, et vous pouvez parier qu’il l’a fait. Une bonne sauvegarde est idéalement fraiche du jour, dans un coffre-fort, loin de l’entreprise, récupérable très rapidement.
Encore prévenir : se blinder pour résister
Après la possibilité de redémarrage au mieux telle que l’on vient de voir, on peut aller plus loin et chercher à éviter d’être victime d’un ransomware. Pour cela, toutes les dispositions visant à éviter une intrusion dans votre réseau sont à faire :
- Architecturer votre réseau en couches : les postes client avec un minimum de données confidentielles et des accès utilisateurs ayant le moins de droits d’administration possibles. Le cœur de votre système doit être un sanctuaire quasi inaccessible, par des tunnels parfaitement connus et en montrant patte blanche.
- Surveillez les accès : pas tous bien sûr ! L’attaquant aura besoin d’avoir les droits d’administrateur à un moment donné. C’est là qu’il faut surveiller s’il n’y a pas une activité suspecte.
- Évitez les trous : mettez à jour dès qu’une faille de sécurité est publiée. Mettez à jour régulièrement les logiciels anti-virus et anti-malware.
- Éduquez vos collaborateurs pour qu’ils ne tombent pas dans le panneau du premier hameçonnage venu et apprennent à se méfier d’un email un peu louche ou de la question bizarre de ce directeur de filiale dont ils n’avaient jamais entendu parler.
Que faire en cas d’attaque par ransomware ?
La première chose à notre avis est de constituer une cellule de crise, avec des intervenants aux fonctions bien précises, notamment :
- Une personne chargée de coordonner la remise à flot du système d’information
- Une personne chargée de la protection anti-récidives.
- Une personne chargée de la communication.
Bien sûr, selon les organisations, ce pourra être les rôles d’une même personne, ou plusieurs personnes et des équipes derrière, mais cela relève toujours du plus haut niveau hierarchique, compte tenu des décisions rapides et conséquentes à prendre.
Commencez par enregistrer dans un dossier chronologique tous les évènements et fichiers liés (l’heure de l’évènement, la personne en charge, la description de l’évènement, …). Le fichier doit démarrer avec la description la plus exhaustive possible de la détection du problème, des fichiers .log pouvant apporter des informations, …
Évaluez les dégâts occasionnés par l’attaque, notamment un diagnostic des disques de sauvegarde afin d’identifier les possibilités de restauration des données. Déconnectez au plus vite les serveurs d’internet et identifiez s’il y a des parties du réseau qui ne seraient pas touchées. Cet isolement va avoir des conséquences sur la facon de travailler de la société. Anticipez-les (pas de mail, télétravail perturbé, pas de liaison avec les clients et fournisseurs, …) et communiquez.
La restauration doit aussi être faite avec prudence : réinstaller un système « frais », s’assurer de la santé des données de sauvegarde, de préférence antérieures à l’attaque. Prévenir les utilisateurs de l’absence de données postérieures à la sauvegarde qu’ils devront ressaisir…
Fermez la porte ! Vous devez trouver par où s’est faite l’intrusion et blinder cette vulnérabilité, sous peine d’être amené à recommencer l’opération une seconde fois. Changez les mots de passe, notamment des administrateurs. Si vous avez pu identifier le malware, vérifiez son absence par des scans réguliers. Et retardez et limitez la connexion du système vers l’extérieur (internet notamment !) le plus possible.
Vous avez dû recevoir une demande de rançon. Il est conseillé de ne pas payer. Le paiement ne garantit pas le décodage des informations, notamment les bases de données, ni le retour à une situation normale. La demande de rançon s’accompagne souvent d’un compte à rebours, histoire d’accroitre la pression…
Déposez plainte : des professionnels aguerris peuvent vous conseiller utilement pendant la phase de gestion de crise grâce à la plateforme THESEE de traitement en ligne des escroqueries par internet et cela officialise le sinistre auprès des assurances et pour toute action de justice ultérieure.
Assurez-vous de maitriser la communication. Rappelez à vos collaborateurs que les éléments concernant la sécurité de la société sont confidentiels et que toute sollicitation extérieure doit obligatoirement passer par la cellule de crise.
Si vous ne pouvez plus lire vos données, l’attaquant lui le peut, avec les problèmes de divulgation de données personnelles qui peuvent en découler. N’omettez pas ce volet, notamment les actions liées au RGPD. Une prise de contact avec la CNIL est plus que conseillée.
Conclusion
C’est une situation pénible que celle d’être victime d’un ransomware et malheureusement cela n’arrive pas qu’aux autres. Les chiffres sont d’ailleurs plutôt inquiétants, ces attaques progressant à grande vitesse et concernant tout type de sociétés. Nous espérons que ce petit guide vous donnera quelques éléments pour vous prémunir et éventuellement parer une telle attaque. En complément, nous vous conseillons la lecture de « attaques par rançongiciels, tous concernés édité par l’ANSSI.