De 2014 à 2016[1], le monde informatique a vu naître et proliférer un nouveau type de logiciel malveillant. Aucun antivirus n’y était préparé.
Il s’appelle ransomware, ou rançongiciel en français.
Comme son nom l’indique, une fois présent sur votre machine ou réseau, le maliciel prend en otage vos données en les chiffrant, les rendant ainsi illisibles.
Pour les récupérer, cela risque de ne pas être simple. Si vous avez une sauvegarde, faite au préalable et non touchée par le virus, vous pouvez remplacer les fichiers touchés. Mais la restauration peut prendre du temps et vous risquez quand même une perte des données les plus récentes.
La raison pour laquelle on les appelle rançongiciels est qu’ils vous donnent la possibilité de payer un montant en bitcoin (ou autre cryptomonnaie) en échange de la clé de déchiffrage de vos fichiers. Dans le cas d’une infection, payer est très souvent déconseillé car cela encourage les criminels à continuer avec ce type d’attaques et il est difficile de leur faire confiance quant à l’intégrité des fichiers récupérés.
Le 16 février 2016, le ransomware appelé Locky a été envoyé à plusieurs millions d’adresses e-mails. L’e-mail se présentait comme ceci :
Please find attached our invoice for services rendered and additional disbursements in the above-mentioned matter.
Hoping the above to your satisfaction, we remain
Sincerely,
(random name)
(random title)
En pièce-jointe, il y avait un document word nommé « invoice.doc ». Le fichier est vide et se referme tout seul mais une macro a été lancée à son ouverture qui va commencer le chiffrage des fichiers.
L’e-mail étant distribué à des millions d’adresses, on estime à 400’000 le nombre de victimes seulement lors de la première semaine.
Locky est l’un des premiers rançongiciels à être connu du grand public. Un cas qui a beaucoup fait parler est celui de l’hôpital privé Hollywood Presbyterian Medical Center. Ils n’avaient pas de sauvegardes utilisables des données patients et ont pris la décision de payer 17’000$ aux pirates.
Cet e-mail a été reçu par beaucoup d’employés d’entreprises de tous secteurs. De nombreuses personnes ont ouvert la pièce-jointe et infecté les fichiers sur lesquels ils avaient les droits d’écriture (ceux qu’ils pouvaient modifier).
Parce que l’on apprend souvent de ces erreurs, ce type de virus nous rappelle :
- L’importance des sauvegardes (et de leur vérification)
- L’importance d’une bonne gestion des droits sur le système de fichiers
- L’importance de la sensibilisation de tous les employés à la sécurité informatique
KPMG élabore chaque année un rapport contenant des statistiques nommé «Clarity on Cyber Security». Ils y présentent des statistiques relatives à la Suisse. Entre 2016 et 2017, le pourcentage des entreprises suisses interrogées ayant été victimes d’une attaque a augmenté de 34% (54% en 2016 contre 88% en 2017). Trois ans plus tard, les rançongiciels sévissent toujours et deviennent de plus en plus sophistiqués. Leurs victimes en 2019 comprennent : le groupe M6 (octobre), plusieurs hôpitaux en Alabama (octobre), le gouvernement local du Texas (août) ainsi que des villes américaines (Baltimore, Albany) et beaucoup d’entreprises.
En 2019, l’organe pour la sûreté de l’information de la confédération suisse (MELANI) met encore une fois en garde les entreprises suisses contre les rançongiciels. (source)
Matthias Bossardt, responsable Cyber Security de KPMG écrit « L’efficacité des mesures de cybersécurité doit être renforcée d’urgence. Pour cela, il est impératif d’intégrer beaucoup plus fortement le comportement humain dans la conception des mesures. La convivialité de la cybersécurité est déterminante dès lors qu’il s’agit de maîtriser les cybermenaces. Le maillon le plus faible de la chaîne était, est et reste l’être humain »
A l’image d’un bâtiment sécurisé dans lequel on voudrait s’introduire, ne serait-ce pas plus simple de demander à quelqu’un, par un quelconque prétexte, de nous laisser rentrer plutôt que d’essayer de faire péter la porte blindée ?
SECU-IT vous propose des formations pour apprendre les bonnes pratiques en matière de sécurité informatique, pour les non-spécialistes. A travers une approche pédagogique et ludique, notre formation propose une méthodologie permettant de déjouer les principaux pièges tendus par les criminels informatiques tout en évitant les termes trop techniques. Cette formation alterne les exercices pratiques et théoriques et intègre des cas réels.
Liliana Loureiro pour SECU-IT
15.10.2019
[1] Les ransomware sont toujours d’actualité, mais la plupart des anti-virus d’aujourd’hui peuvent en mitiger les effets.
Rétroliens/Pings