Le ransomware, nouvelle attaque informatique d’ampleur visant les entreprises en Europe

Un ransomware est, comme son nom l’indique, basé sur le principe de la rançon. Autrement dit, un hacker va prendre en otage les données informatiques en les cryptant, puis demander à l’utilisateur une somme d’argent pour lui fournir une clé permettant de décrypter les données volées.

Pour arriver jusqu’à un utilisateur, les hackers vont utiliser un simple mail composé d’une pièce jointe ou d’un lien hypertexte. Tout d’abord, les adresses utilisées n’attirent pas l’attention et paraissent crédibles. Parfois ce sont même des extensions qui correspondent à des interlocuteurs connus. Cette mise en scène bien préparée fait que le destinataire ouvre bien souvent la pièce jointe sans appréhension.
C’est alors au tour de l’antivirus de se faire berner. La pièce jointe n’étant pas pernicieuse, il ne s’en préoccupe pas. Mais une fois ouvert, le document va télécharger une clé de cryptage qui va infecter les fichiers et les rendre inutilisables. Ce cryptage va peu à peu se répandre au serveur de l’entreprise dans le cas ou cet ordinateur est en réseau… ce qui est toujours le cas !

En ce qui concerne le ransomware NotPetya, le premier bulletin du CERT est tombé le mardi 27 juin vers 12h. Il s'agit effectivement d'un code inspiré de WannaCry qui peut infecter des terminaux Windows plus anciens, remontant jusqu'à la version NT1 du système d'exploitation de Microsoft. Mécaniquement, il touche par conséquent un nombre plus important de machines. Microsoft avait publié le 14 mars dernier un bulletin (MS17-010) et une mise à jour de sécurité permettant de combler la faille EternalBlue. Une faille découverte initialement par la NSA... L'agence l'avait gardée secrète jusqu'au moment où elle a été rendue publique sur Wikileaks. C'est là que les pirates s'en sont emparés.

Se protéger par la prévention

Le premier réflexe consiste à payer le hacker afin de récupérer l’intégralité de ses données. Mais peut-on réellement faire confiance à un pirate ? Rien ne garantit que ce dernier tiendra parole et permettra le décryptage des données. Rien ne certifie non plus qu’il ne récidivera pas puisque le payeur devient à ses yeux un « bon client », d’autant que les hackers regorgent d’imagination pour extorquer les entreprises. Pour le cas de Popcorn, l’une des dernières en date, les hackers proposaient à leurs victimes une alternative au paiement pour le décryptage de leurs données : fournir un certain nombre d’adresses mails susceptibles de payer pour voir leurs données libérées.

Pour se prémunir des ransomwares, les entreprises peuvent s’équiper d’un programme qui permet de les détecter. Ce dernier permet l’ouverture des pièces jointes dans un cloud sécurisé qui va vérifier leurs comportements. Si les pièces jointes tentent de télécharger des éléments externes, elles seront automatiquement traitées comme un document potentiellement dangereux. Mais aujourd’hui, ces programmes deviennent rapidement obsolètes par l’agilité mise en place par les hackers pour les contourner.
La meilleure prévention reste la sauvegarde externe des données avec du versioning pour éviter le risque de récupérer une sauvegarde elle-même corrompue. Le versioning va permettre, après avoir identifié le moment de l’infection, de ramener le système à une version antérieure pour récupérer les données. Il est donc indispensable d’en effectuer des copies régulières.

Pouvoir compter sur une aide externe tout en redoublant de vigilance

Sur le plan technique, de nombreux outils permettent la mise en place d’une sauvegarde autonome et sécurisée, sur un datacenter par exemple. Toutefois, les DSI, responsables de la stratégie de la sécurité IT de leur entreprise et bien que conscients des réalités d’une attaque informatique ne se posent pas toujours les bonnes questions quant au choix de la solution. 64% des DSI et/ou RSSI doutent même que leur entreprise puisse faire face à une cyberattaque mobile, selon une étude de Check Point. Il est alors important pour elles de se faire accompagner par un prestataire externe capable à la fois de les conseiller en fonction de leur activité et de leur fournir des garanties notamment en termes de temps de rétablissement.
La vulnérabilité des sociétés porte également sur la réactivé tardive d’une cyberattaque. Une société peut se rendre compte 30 jours après l’attaque que ses données se cryptent ou téléchargent. Un ransomware n’agit pas en une seule fois mais de manière progressive. La découverte tardive de ce type d’attaque peut ainsi être très handicapante car, pour récupérer des données saines, l’entreprise devrait recharger une sauvegarde à X-1 et perdrait par conséquent un mois entier de travail… Ces situations sont catastrophiques pour les entreprises qui risquent non seulement de perdre leurs données mais également de se voir doter d’une mauvaise réputation auprès de leurs clients.

À noter qu’en France, une société est attaquée toutes les 10 secondes et les entreprises peuvent se retrouver en banqueroute dans le pire des cas. Elles n’ont donc pas intérêt à baisser la garde et rester en constante vigilance au vu du nombre croissant des cyberattaques, qui sont de plus en plus sournoises !

Par Alexis TAILLAN, Directeur de Division IT - Groupe DFM