Ransomware

Un ransomware (ou rançongiciel) est un programme malveillant qui bloque l'accès à votre poste ou à vos données, en réclamant une rançon pour le débloquer. La plupart du temps, les données du poste sont chiffrées (données locales mais aussi les données des partages réseaux). 

Le déchiffrement est impossible, et les pirates ne redonnent pas nécessairement l'accès aux données, même en payant la rançon, souvent par manque de compétence.

En pratique

Comment éviter d'être touché ?

Ce programme malveillant se propage via des mails contenant soit un fichier exécutable dans une archive, soit un lien vers un site web compromis. La vigilance reste de mise : n'ouvrez jamais des pièces-jointes de mails douteux, et ne cliquez jamais sur des fichiers exécutables (.exe, .scr, .cab...), même si le mail semble provenir d'un expéditeur connu.

Par ailleurs, une bonne pratique est de réaliser régulièrement des sauvegardes de ses données importantes, autant à titre professionnel qu'à titre personnel. 

Quelle réaction si j'ai ouvert une pièce-jointe suspecte ?

Tout d'abord, sachez qu'il ne sert en général à rien de payer la rançon : les pirates ne proposent que très rarement un service après vente...

Les seules actions à entreprendre sont de contacter immédiatement votre correspondant sécurité (si vous êtes en entreprise) et d'éteindre votre poste immédiatement pour arrêter le processus de chiffrement et limiter les dégâts, surtout si vous n'avez pas de sauvegarde.

Par ailleurs, il est conseillé de ne pas rallumer le PC ni de se connecter à sa session (dans le cas des utilisateurs Citrix) avant que la désinfection ne soit confirmée.

Creusons

Regardons ce qui s'est passé du côté de deux grandes affaires récentes.

WannaCrypt et NotPetya

Tout d'abord un grand bravo et un grand merci aux Shadow Brokers : pour avoir (officiellement) voulu empêcher la NSA de nous espionner (en révélant leurs outils), ils nous empêchent juste d’utiliser nos ordis. On dirait du Wikileaks ou des Anonymous…  

Ces empaffés sont loin de connaître le principe de responsible disclosure, même s’il est vrai que les outils qu’ils ont mis au jour utilisaient des failles corrigées par Microsoft, mais force est de constater que la mise-à-jour des systèmes informatiques est une discipline difficile, et qu’il est à peu près certain qu’une faille même corrigée peut être exploitée encore longtemps ! Leur seule excuse est qu’ils sont peut-être liés à des acteurs russes[1] ou autres, dont l’intérêt est au contraire de perturber le plus possible les systèmes d’informations étrangers (et la NSA du même coup).

Premier bilan

Des dizaines de milliers d’ordinateurs contaminés[2] par WannaCrypt ! Moi je dis : chapeau. Ces publications sont une aubaine pour les perturbateurs de tout poil (cybercriminels, états, groupe d’intérêts divers)[3].

Cyberattaque

On a parlé dans les media de cyberattaque. Mais ça n’est pas parce que les dégâts sont visibles et parfois importants que nous sommes face à une vraie cyberattaque. Ici, on s’approche plus de la pêche à la ligne que dans la salve de roquettes : on balance un  hameçon et on regarde ce qu’on accroche au fil du temps. On est plus confronté à une cyberdéfaillance ou une cyberinfection qu’à une cyberattaque : l’ampleur des dégâts est proportionnelle à la négligence des services IT qui tardent à faire passer les mises-à-jour de sécurité ou à migrer sur des produits maintenus. Maintenant, les causes profondes peuvent être diverses (le budget IT étant sujet à tellement de contraintes…).

Et ensuite ?

Après, peu importe qui est derrière l’attaque (bien que ce mot soit galvaudé et hors de propos, cf. les propos de Jean-Marc Manach[4], bien que je sois habituellement méfiant de ce qui vient de Slate.fr) : n’importe qui peut être derrière[5], et c’est bien le problème. Il va falloir vivre avec cet héritage de la NSA et de toutes les agences de renseignements du monde dont une cible majeure est désormais nos ordinateurs ; enfin, les ordinateurs des méchants, mais les programmes malveillants ne font pas la différence, et si ces derniers tombent dans des mains criminelles ou inexpérimentées, le scenario de WannaCry se reproduira.

Il faudra redoubler d'attention lors des sauvegardes afin de ne pas sauvegarder les fichiers chiffrés ! Ou sinon s'assurer qu'une gestion de version conservera les versions précédentes, accessibles à l'utilisateur légitime. Microsoft a intégré une protection[6] contre le chiffrement non souhaité dans ses solutions Office 365/OneDrive et Outlook. Reste que j'aimerai bien que Microsoft mette également une solution de chiffrement souhaité.

Quand à NotPetya, arrivé dans la foulée, d'autres éléments tendent à nous faire penser que l'apparence est trompeuse et qu'il s'agirait plutôt d'une véritable attaque informatique camouflée en ransomware ! Chiffrer des données sans garder aucun trace de la clé de chiffrement constitue un très bon moyen d'effacer ces données[7], et donc potentiellement toutes les traces d'une activité illégale.

Voilà l'occasion de rappeler que l'attribution d'une attaque est souvent difficile.

Références

  1. « WannaCry : les Shadow Brokers parlent à nouveau, et c'est confus », sur ZDNet France (consulté le 20 mars 2018)
  2. David Legrand, « WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8 », (consulté le 20 mars 2018)
  3. Paolo GAROSCIO, « WannaCry : quand les pirates utilisent les outils de la NSA », sur Clubic.com, (consulté le 20 mars 2018)
  4. « «WannaCry» n'est pas une cyberattaque, mais une escroquerie », sur Slate.fr, (consulté le 20 mars 2018)
  5. « WannaCry : reflux des attaques, il est trop tôt pour accuser qui que ce soit [MAJ] », sur ZDNet France (consulté le 20 mars 2018)
  6. (en) Mohit Kumar, « Microsoft Office 365 Gets Built-in Ransomware Protection and Enhanced Security Features », sur The Hacker News (consulté le 3 mai 2018)
  7. (en) Positive Technologies, « Bank attacks 2018 » [PDF], sur ptsecurity.com,