Vous avez dit ransomwhat ? (avis d’expert)

Selon une étude récente conduite par des chercheurs de Google, Chainalysis, l’Université de Californie et la NYU Tandon School of Engineering, les ransomwares ont rapporté plus de 25 millions de dollars aux cybercriminels en deux ans. Rien qu’en 2017, les ransomwares WannaCry et NotPetya se sont succédés en mai et juin et ont bloqué des centaines d’entreprises dans le monde. De nombreux experts s’accordent pour dire que d’autres sont à prévoir ; parmi eux, Locky, ransomware star de l’année 2016, ferait son retour avec deux nouvelles variantes. Les entreprises doivent donc rapidement prendre les devants pour ne pas être touchées par une attaque. Pour ce faire, comme l’écrit Sun Tzu dans « L’art de la Guerre », il faut connaître son ennemi pour mieux le combattre.

Comprendre le fonctionnement du ransomware

Étymologiquement, le terme ransomware est la contraction en anglais de ransom (rançon) et de software (logiciel). Il est aussi appelé en français « rançongiciel » : un logiciel malveillant qui bloque, par le biais d’un système de chiffrement, l’accès d’un utilisateur à ses fichiers jusqu’au versement d’une rançon. Il peut verrouiller l’ensemble de l’appareil, rendant impossible toute utilisation, même basique, telle que l’arrêt ou le redémarrage du terminal. Un ransomware correctement conçu recoure à un algorithme de chiffrement asymétrique créant deux clés, une publique et une privée : les données sont chiffrées avec la clé publique et ne peuvent être débloquées qu’avec la clé privée correspondante.

Le cyber-attaquant vise généralement les informations personnelles, ou les données précieuses d’une entreprise, pour inciter la victime à payer la rançon en bitcoins, afin d’empêcher toute traçabilité. Elle reçoit alors des instructions lui indiquant la marche à suivre pour la payer et débloquer ses fichiers. Les montants demandés varient suivant la quantité de données chiffrées ainsi que leurs valeurs. Dans le cas de l’attaque WannaCry, les victimes étaient invitées à payer entre 300 et 600 dollars pour débloquer leurs fichiers. Une somme qui, associée à des coûts annexes tels que l’interruption de l’activité par exemple, peut rapidement se multiplier. Les organisations finissent donc la plupart du temps par payer les rançons, sans pour autant avoir la garantie de récupérer leurs données. C’est pourquoi elles doivent impérativement anticiper ces attaques et s’en prémunir. Et pour ce faire, elles doivent se connaître parfaitement.

Gérer les droits d’accès et administrateurs

Pour Sun Tzu, « si vous connaissez vos ennemis et que vous vous connaissez vous-même, mille batailles ne pourront venir à bout de vous. Si vous ne connaissez pas vos ennemis mais que vous vous connaissez vous-même, vous en perdrez une sur deux. Si vous ne connaissez ni votre ennemi ni vous-même, chacune sera un grand danger. » Transposé à la cyberguerre, et face au niveau de sophistication des attaques actuelles, il ne suffit pas de savoir ce qu’est un ransomware et son fonctionnement pour être à l’abri ; les outils de cyberprotection classiques ne sont hélas pas suffisants non plus. Les entreprises ont tout d’abord besoin de connaître parfaitement leur environnement et ce qu’elles doivent protéger.

Aujourd’hui, les cybercriminels n’utilisent plus nécessairement de droits administrateurs pour compromettre une machine et son endpoint. Ennemis patients, ils s’introduisent insidieusement dans les systèmes via des techniques de phishing par exemple, et attendent, tapis dans les zones d’ombres du réseau, le moment adéquat pour dérober les informations clés. Ainsi, pour contrer les ransomwares avec succès, les entreprises doivent allier la révocation des droits administrateurs locaux inutiles et la gestion des droits d’accès via la mise en œuvre d’un principe de moindres privilèges, à un contrôle et une gestion fine des applications, notamment avec la mise en place de greylisting.

Pour reprendre le parallèle avec l’art de la guerre, plus les entreprises anticipent les attaques et s’y préparent, plus leurs chances de les éviter, ou de les contrer, seront renforcées. Le ransomware n’a rien de nouveau, c’est la capacité des pirates informatiques à renouveler constamment leurs techniques qui fait la différence. Aux organisations et aux spécialistes de la sécurité de s’adapter et d’en faire autant !

Par Jean-Christophe Vitu, directeur avant-vente Europe ouest et sud de CyberArk, spécialiste de la sécurisation des comptes à privilèges.

Lire également :

Wannacry : former, le remède anti-ransomware de l’IT ?

Sécurité : Cyberark s’offre Conjur pour 42 millions de dollars