Il suffit d’une seconde d’inattention pour qu’un ransomware bloque l’accès à tous vos fichiers et applications informatiques et vous fasse perdre de l’argent. Mesures et solutions de prévention, bons réflexes en cas d’incident, voilà ce qu’il est indispensable de savoir pour lutter contre un véritable fléau.
3 millions de nouveaux malwares apparaissent chaque jour, soit 3 fois plus qu’il y a 2 ans, selon Symantec. 24 000 cyber attaques ont été déjouées en France en 2016 selon le Ministère de la Défense. Après le FIC 2017, forum de la cybersécurité qui s’est tenu récemment à Lille, tous les curseurs sont dans le rouge pour cette année en matière de sécurité informatique.
Les ransomwares (ou rançongiciels en français) sont en tête de liste des menaces informatiques. Ils peuvent toucher les ordinateurs et smartphones des particuliers et des organisations à tout moment. Et ces programmes ont maintenant une nouvelle cible : les systèmes connectés.
Ces programmes qui vous prennent en otage
Quel est le mode opératoire des ransomwares ? Ces programmes malveillants se propagent le plus fréquemment par email et sa pièce jointe, ouverte par mégarde. Cette ouverture active le chiffrement de tous les fichiers d’un terminal, et aussi des dossiers qu’il partage en réseau. Et ils deviennent inaccessibles.
S’en suit une demande de rançon, comme l’exemple ci-dessus, affichée sur l’ordinateur infecté, avec des instructions pour le paiement dans un délai assez court. Si vous ne payez pas, la menace est claire : vos fichiers seront supprimés. Si vous payez, une somme qui peut être conséquente selon les organisations touchées, vous recevrez une clé de déchiffrement et l’accès aux fichiers sera rétabli. Ce qui, disons-le d’entrée n’est jamais garanti.
Hôtel, hôpitaux, écoles, objets connectés : tous concernés
Les cas de racket numérique se succèdent et dans tous les secteurs : tourisme, santé, éducation. Très récemment, c’est un hôtel de luxe autrichien qui a fait les frais de ce type d’attaque. Impossible pour les clients d’entrer dans leurs chambres avec leur carte. Impossible pour les gérants d’accéder au système de réservation. L’établissement a payé 1 500 euros en Bitcoin pour rétablir la situation. L’année 2016 a été émaillée d’autres exemples.
Dans la santé, le système de prise de rendez-vous d’un des plus grands centres hospitaliers anglais regroupant 3 établissements a été paralysé pendant 4 jours. Aux USA, l’hôpital Hollywood Presbyterian Medical Center s’est acquitté de 17 000 $ pour reprendre le contrôle de son système IT. Dans l’éducation, un lycée de Los Angeles a versé 28 000 $ pour retrouver l’accès à ses ordinateurs.
Pour l’Internet des Objets, on parle aussi de la tendance du Ransonware of Things (RoT). Ce ne sont plus les fichiers numériques qui sont bloqués mais les accès aux objets connectés et à leurs fonctionnalités qui motivent la demande de rançon. Comme l’exemple de l’hôtel autrichien. La menace s’amplifiera en 2017, juge Digital Security du groupe Econocom.
La mauvaise idée : payer !
C’est une tendance inquiétante. Pour revenir à un fonctionnement normal, 25% à 70% des organisations sont prêtes à payer une rançon, selon les enquêtes, parfois même jusqu’à 1 million de dollars pour sortir rapidement de ce mauvais pas. 325 millions de dollars ont été rackettés en 2015. Mais seules 32% des entreprises qui payent recouvrent leurs données, selon Trend Micro. Et payer est évidemment une fausse bonne idée. Elle nourrit la prolifération du piratage selon l’auteur d’un rapport de la Cloud Security Alliance sur ce phénomène.
Comment réagir ?
À titre préventif, en tant qu’utilisateur, plusieurs mesures permettent de limiter les risques :
- Ne pas ouvrir les emails ou pièces jointes suspects
- Sauvegarder régulièrement ses fichiers
- Mettre à jour son système d’exploitation, les logiciels et applications de sécurité
Pour les entreprises, la sensibilisation des collaborateurs est cruciale car ils sont la porte d’entrée idéale. Des solutions qui améliorent la sécurité globale de l’IT et permettent l’analyse comportementale des utilisateurs et des assets sont aussi à disposition pour limiter les risques.
En cas d’attaque, déconnectez tout !
C’est la première des mesures préconisées par l’ANSSI.
- Débrancher son terminal du réseau internet. Déconnecter le câble Ethernet, l’accès au Wi-Fi pour éviter la prolifération du programme.
- Ne pas payer la rançon, l’attaque peut aussi compromettre votre carte de paiement. Et pour récupérer vos fichiers, la sauvegarde peut permettre de restaurer vos documents sur un autre terminal. Des sociétés se sont spécialisées dans la récupération de fichiers.
- Porter plainte au commissariat.
Pour les entreprises, des outils de décryptage sont proposés par les acteurs de la sécurité informatique et recourir aux sauvegardes offline sont les premières mesures à prendre. Déclarer l’attaque et demander l’appui des autorités de référence comme l’ANSSI peut permettre de limiter les dégâts.
Sources : FranceTVInfo, CCM, The Next Web, Ubergizmo, Developpez.com, WeLiveSecurity, Digital Security/Econocom, CNet
