Toujours plus pesante au fur et à mesure des années, cette nouvelle manifestation du crime organisé coûte aux entreprises et aux institutions des sommes exponentiellement plus élevées. Mais qu’est-ce qu’un rançongiciel ? Qui sont derrière ces attaques ? Quel est leur impact, et comment s’en prémunir ? Tour d’horizon en 2021.
Qu’est-ce qu’un rançongiciel ?
Un rançongiciel, en anglais ransomware, est un type de logiciel indésirable, ou malware, qui a la particularité de prendre en otage des données, des ordinateurs, serveurs, voire même des appareils mobiles. Les éditeurs de ces rançongiciels, typiquement, demandent une rançon afin de recouvrer l’accès à vos données ou vos appareils.
Bien que ces attaques fassent la une des médias depuis plusieurs années, le tout premier rançongiciel pré-date largement Internet : en 1989, Docteur Joseph Popp, un biologiste de Harvard, aurait distribué 20 000 disquettes à travers le monde, proposant un logiciel éducatif sur le SIDA. Une fois le logiciel sur la disquette lancé, celui-ci déclenchait une routine qui allait chiffrer les fichiers des disques durs des victimes après quelques jours. La rançon s’élevait à quelques centaines de dollars envoyés à une boîte postale au Panama, afin de recevoir la disquette de déchiffrage.
Les rançongiciels contemporains se présentent eux généralement par e-mail, avec une fausse facture à régler, un reçu bancaire ou de revendeur de e-commerce, voire même apparaît comme venant d’une adresse de confiance, au sein même de votre entreprise. Une fois la pièce jointe ouverte, ce logiciel néfaste commence son office en chiffrant toutes vos données avec un algorithme, le plus souvent de niveau militaire, puis bloque l’accès à votre appareil. Des instructions apparaissent sur votre bureau, vous demandant le plus souvent de payer une somme en cryptomonnaies pour recevoir la clé permettant de décrypter vos données.
Cependant, il n’est pas toujours nécessaire d’ouvrir un e-mail piégé pour être infecté : un nombre important d’attaques récentes ont été menées en exploitant des vulnérabilités connues de logiciels qui ne sont pas toujours mis à jour à temps par les administrateurs système des réseaux ayant succombé aux attaques.
WannaCry est un exemple d’une attaque exploitant une faiblesse de Windows. En mai 2017, ce ransomware s’est diffusé de PC en PC, atteignant au total plus de 100 millions d’ordinateurs. Microsoft avait déjà proposé une mise à jour corrigeant la faille exploitée (EternalBlue) deux mois auparavant ; les utilisateurs affectés avaient simplement omis de mettre à jour Windows.
Les instigateurs de ces attaques
Le plus souvent, il est impossible de revenir à la source de toutes ces attaques. Les agences de renseignement mondiales parviennent quelques fois à identifier les développeurs de ces logiciels, grâce à quelques indices. Par exemple, de nombreux rançongiciels sont développés de telle façon à ce qu’il ne se déclenchent pas sur les ordinateurs configurés en russe, en ukrainien ou en syrien, laissant penser que les malfaiteurs seraient d’une de ces nationalités.
Même quand les services de renseignement parviennent à retrouver ces cybercriminels, rares sont les interpellations.
Il est même possible, sur certains forums spécialisés sur le Darknet, de louer les services de ces rançongiciels (une forme de Ransomware as a Service) : le dernier en date, REvil, était un exemple notoire. Les acteurs derrière REvil auraient disparu au 13 ou 14 juillet 2021, ne répondant plus aux demandes. Cependant, il est fréquent que des groupes disparaissent pour se reformer sous un autre nom plus tard ; la menace reste donc très prégnante.
L’impact des rançongiciels
Il est difficile d’estimer l’impact réel des rançongiciel, mais des estimations s’élevant à des centaines de millions de dollars étaient vues dès 2017. Le nombre d’attaque étant en perpétuelle augmentation, ce chiffre est très probablement sous-évalué. La pandémie de SARS-CoV-2 n’a qu’amplifié ce mouvement, les réseaux des entreprises étant toujours plus ouvert, leurs employés devant se connecter depuis chez eux afin de continuer à travailler.
En 2021, United Health Services, l’une des plus gros prestataires de services de soins hospitaliers aux États-Unis, a rapporté dans ses comptes publics une perte de 67 millions de dollars due aux attaques de rançongiciels sur leurs réseaux.
Un exemple plus récent encore, Colonial, l’entreprise exploitant un pipeline crucial dans le transport de gaz naturel et d’essence aux États-Unis, a payé la rançon demandée par les cyber-malfaiteurs plusieurs heures après l’attaque. Celle-ci s’élevait à 75 bitcoins, soit 4,4 millions de dollars au taux du moment. Cette attaque a interrompu la distribution de pétrole dans tout le nord-ouest américain, incitant les habitants à stocker de l’essence par tous les moyens possibles par peur d’une pénurie.
Personne n’est à l’abri : en 2020, une compagnie d’assurance ivoirienne a révélé, lors d’un salon, que de multiples attaques coordonnées sur leurs systèmes leur ont côuté 1,2 milliards de francs CFA. Il est estimé que cette même année, la cybercriminalité à coûté à l’Afrique près de 2 200 milliards de francs CFA (3,3 miliards d’euros).
On voit donc que l’impact ne se limite pas au coût de la rançon elle-même ; à celle-ci s’ajoute le coût de l’arrêt d’activité, avec des effets parfois dévastateurs ; certains rapports d’attaques au rançongiciel dans des systèmes hospitaliers auraient causé la mort de patients en soins intensifs.
Ces attaques sont aussi parfois l’occasion pour les hackers de dérober des données métier aux entreprises ; il faut donc ajouter à ces coûts la fuite de données potentielles (procédés et secrets industriels, propriété intellectuelle…).
Quel plan de défense contre les rançongiciels ?
Les systèmes de sécurité ne sont jamais infaillible. Plus les réseaux d’entreprises sont complexes, plus la surface d’attaque est importante ; il est important d’avoir de multiples stratégies afin de contrer ces attaques, et à défaut de cela, avoir un plan de reprise d’activité rapide.
L’ANSSI propose un guide contenant une mine d’informations sur les diverses parades, qui peuvent se résumer ainsi :
Sauvegarder les données
Le premier point, qui paraît être le plus important, est de sauvegarder régulièrement les données de l’entreprise. Ces sauvegardes seront critiques dans le cas d’une attaque de rançongiciel, mais également pour de nombreux accidents pouvant avoir lieu (incendies, vols, perte d’appareils).
Il ne suffit cependant pas de sauvegarder ses données sur un disque externe : si, au moment d’une attaque, celui-ci est connecté à une machine infectée, les données sur ce disque externe seront à leur tour chiffrées.
Maintenir les logiciels et les systèmes à jour
Dans le cas des attaques sans intervention de l’utilisateur, le plus souvent, une faille, parfois ancienne, est en cause. Il est donc primordial de maintenir à jour tous les systèmes, et de ne jamais retarder les mises à jour proposées par les éditeurs des logiciels que vous utilisez : serveurs, ordinateurs, téléphones mobiles, mais aussi les ordinateurs extérieurs se connectant à votre réseau, et même les imprimantes, scanners et autres appareils connectés.
Il est également important de maintenir les outils anti-virus et anti-malware à jour sur toutes les machines.
Limiter et contrôler les droits utilisateurs sur les ressources réseau
En s’assurant que les utilisateurs ne soient pas administrateurs de leurs machines, et en limitant les accès de façon granulaire aux fichiers stockés sur vos serveurs, vous pourrez cloisonner l’impact potentiel d’une attaque si jamais celle-ci se manifeste. Souvent, des comptes privilégiés sont utilisés pour permettre au rançongiciel de se diffuser plus largement au sein de votre réseau ; un audit accru des accès réseau peut être un bon moyen de se prémunir contre une attaque qui paralyserait toute votre entreprise.
Maîtriser les accès à Internet
En opérant un filtrage de la connexion vers l’extérieur, on peut repérer, voire empêcher les attaques au rançongiciel d’être menées à bien. La mise en place d’une passerelle sécurisée réduit d’autant les risques dus au rançongiciels, en bloquant leur téléchargement ou en empêchant l’exfiltration de données vers des serveurs malveillants.
Superviser les journaux d’événements
En mettant en place une supervision des événements, à l’aide d’une plateforme SOC/SIEM, permet de pouvoir remonter des alertes qui pourraient être des précurseurs à des attaques de rançongiciels. En mutualisant les fichiers journaux de tout un réseau, on peut avoir une vue d’ensemble de celui-ci, permettant d’identifier tôt tout comportement étrange des divers appareils connectés en réseau.
Sensibiliser les collaborateurs
Toutes les techniques de mitigation existantes peuvent bloquer un nombre important d’attaques, mais pas toutes ; aussi, une formation de vos collaborateurs sur les dangers des rançongiciels est un des fondamentaux d’une défense complète face à leurs dangers. Les équipes informatiques ne doivent pas être en reste, puisque ceux-ci ont accès à des logiciels d’administration offrant des privilèges plus élevés sur le réseau ; la compromission d’un de leurs postes de travail pourraient mettre en péril le réseau tout entier, sauvegardes comprises.
Ressources utiles
Des initiatives, portées par Interpol, existent et fournissent parfois des décrypteurs universels pour certains rançongiciels. Le site NoMoreRansom contient un nombre important de décrypteurs, permettant parfois de récupérer ses données sans payer de rançon. Ces décrypteurs se font de plus en plus rares cependant, la complexité et la qualité des attaques augmentant chaque jour.
Conclusion
Une attaque au rançongiciel peut avoir des effets dévastateurs sur votre entreprise, mais n’est pas fatale ; avec un plan de réponse adaptée et des défenses complètes, il est possible de revenir rapidement à une activité normale. Ce type d’attaque devient rapidement la norme, face aux virus d’antan, et ne manquera pas de faire la une des journaux pour de nombreuses années à venir.
Depuis plus de 30 ans, Sonema accompagne ses clients en matière de réseau, mais également en sécurité et en hébergement. Nous proposons de nombreuses solutions répondant directement aux enjeux des entreprises soucieuses de leurs données. Pour plus d’informations, contactez-nous.