Ransomware et Cryptolocker : ce qu’il faut savoir
La prise d’otage numérique représente en 2021 la plus grande menace informatique en France, que ce soit pour les entreprises ou les institutions publiques. Elle se caractérise par une prise de contrôle du réseau informatique d’une organisation, à distance, par des pirates opérant le plus souvent depuis l’étranger.
Les postes des employés sont verrouillés, les machines ne peuvent pas démarrer et, surtout : tous les fichiers sensibles sont cryptés sur 2048bits au minimum, générant des clés de chiffrement trop complexes pour être décodées. Plus de documents Word, plus de fichiers Excel, plus de base de données, plus d’Intranet, plus d’images, de photos, de fichiers d’applications, plus de mails, plus d’Internet : plus personne ne peut travailler à moins de verser une rançon, en bitcoins, aux kidnappeurs de données.
D’après Chainalysis, les revenus des cyberattaques par ransomware représentent 350 millions de dollars en 2020. Le montant total n’est pas si élevé en soit, car les rançons réclamées restent souvent petites. La société d’analyse de la blockchain – donc des cryptomonnaies – relève cependant que ce montant représente +311% par rapport à 2019. Cette valeur est certainement sous-estimée dans la mesure où un grand nombre de sociétés et d’organisations gouvernementales ne signalent pas les attaques qu’elles subissent.
Cryptolockers, ransomwares, cryptologiciels, rançongiciels, cryptovirus : qu’est-ce que c’est ?
Beaucoup d’anglicismes désignent aujourd’hui un même type d’attaque par logiciel rançonneur. En anglais on les appelle ransomware. Un programme malveillant s’introduit dans une machine, puis sur tout un réseau interne et paralyse ordinateurs et serveurs.
La forme la plus aboutie des ransomware est apparue en 2013 sous le nom de Cryptolocker. Chaque fichier est complètement encrypté et inutilisable à moins d’en posséder la clé de chiffrement. Si la rançon n’est pas versée, les données du disque dur sont irrémédiablement détruites – aucun espoir de retrouver quoi que ce soit – même en passant par une société de récupération de données perdues.
Le rançongiciel Cryptolocker est devenu une antonomase et a fait des émules. Il a donné son nom à la forme générique du procédé d’attaque. Il désigne aujourd’hui tous les logiciels malveillants du même type ainsi que tous ses dérivés. Cryptowall, CTB-Locker, NoPetya, WannaCry, Ryuk, Maze, Doppelpaymer, Netwalker, Conti, REvil, Snatch, Defray777 ou encore Dharma sont autant de noms de virus de plus en plus familiers des entreprises et du milieu de l’infogérance.
Il est désormais le cauchemar des institutions publiques. Un hôpital paralysé, comme en ce début d’année, ne peut plus opérer ni soigner les patients en état critique.
En 2020, l’Agence Nationale de Sécurité des Systèmes d’Information a dû intervenir en moyenne tous les deux jours pour voler au secours des organisations infestées. Soit trois fois plus qu’en 2019. Les interventions ne se couronnent que très rarement de succès, à moins de payer les cybercriminels.
Comment faire pour se protéger d’un cryptolocker ?
Un chiffre à retenir : 80% des ransomwares s’introduisent par la messagerie électronique. La plus grande faille des entreprises se situe donc entre la chaise et le clavier. Une information complète et une formation de tout le personnel d’une organisation est donc la première politique de lutte à développer.
Les employés doivent savoir reconnaître un mail frauduleux et repérer une tentative de phishing en restant attentif au nom de l’expéditeur, la pertinence du message et celles des urls envoyées avant de cliquer sur ces dernières.
La seule véritable façon de se protéger est donc de déployer méthodiquement une stratégie globale de protection, de formation, tout en surveillant les fichiers des espaces de stockage, leurs méthodes d’accès et leur bonne santé.
La première étape, souvent longue et coûteuse en temps, sera de réaliser ou de faire réaliser un audit complet de la topologie des machines de l’entreprise, des solutions déployées, de l’organisation globale, des stratégies réseau et d’imaginer les meilleures solutions à mettre en place.
Les mesures à prendre pour se prémunir d’un ransomware
Selon le volume des ressources internes dédiées à votre protection, les mesures à déployer contre les ransomwares sont variées. Toutefois, la majorité des entreprises au fait du danger fait appel à des sociétés d’infogérance comme WANDesk. Elles sont habituées à ces types d’attaque et déploient des solutions préventives et curatives.
De façon générique, les bonnes pratiques pour se protéger sont de garder scrupuleusement les dispositifs de protection à jour : antivirus professionnels, sauvegardes multiples, supervision des ressources et sensibilisation des utilisateurs.
