softease.
Le coin geek • Qu’est-ce qu’un rançongiciel ? Comment les éviter ?

Qu’est-ce qu’un rançongiciel ? Comment les éviter ?

Introduction

Les attaques par rançongiciel sont de plus en plus fréquentes et font partie des menaces les plus importantes aujourd’hui. Les rançongiciels ont beaucoup évolué, en effet, cela touchait principalement les particuliers ou les petites entreprises au départ car les attaquants profitaient du manque de sécurité de leur infrastructure. Mais maintenant les techniques des attaquants ont bien évolué et cela peut toucher les très grandes entreprises, les multinationales ou même les organismes de l’Etat.

Définition

Un ransomware ou rançongiciel est un logiciel malveillant qui a pour objectif d’obtenir une rançon, généralement en crypto-monnaie. Le programme malveillant va alors chiffrer les données et/ou verrouiller l’accès aux machines puis proposer de payer une rançon pour la récupération de l’accès aux machines et aux données. Les cybercriminels exercent une pression plus importante sur les victimes en les menaçant de divulguer leurs données dans le cas de non-paiement. Un fichier texte ou html intitulé généralement README est déposé sur le bureau de la victime avec des menaces de divulgation et des instructions pour le paiement. A savoir que parfois, les cybercriminels ne récupèrent pas vraiment les données avant de les chiffrer ou de bloquer les accès, cela dépend du logiciel malveillant utilisé. Aussi, le paiement de la rançon ne garantit pas la récupération des données ou des accès. Les principaux types de rançongiciel :

  • Les rançongiciels de chiffrement ou Crypto : Cette attaque consiste à chiffrer (rendre inutilisables) les données des machines infectées. La promesse en échange du paiement de la rançon est la clé de déchiffrement.
  • Les rançongiciels de verrouillage ou Locker : Cette attaque consiste à bloquer complètement l’accès à la machine de la victime, les fonctionnalités de base de l’ordinateur sont alors touchées. La victime peut seulement voir à l’écran les instructions des cybercriminels pour récupérer l’accès à son appareil. Ce type de rançongiciel ne chiffre pas forcément les données de l’ordinateur et la victime peut retrouver ses données intactes.
  • Les alarmiciels (scareware) : Cette attaque consiste à bloquer l’ordinateur ou à afficher une multitude de fenêtre pop-up alarmante qui informe que des problèmes ont été trouvé sur l’appareil comme des virus, des logiciels sans licence, des propositions de faux support informatique, des faux messages de l’Etat demandant de payer des amendes ou des impôts (l’Etat ne demandera jamais des paiements de cette façon). Pour résoudre ces faux problèmes le programme demande de payer. A noter que les rançongiciels peuvent infecter divers systèmes d’exploitation et même les téléphones. Exemples de ransomware : WannaCry, GandCrab, Petya, Mischa, Popcorn Time, Locky, CryptoLocker, Cerber, Ryuk, …

Méthode d’infection

Il y a plusieurs méthodes d’infection par rançongiciel possibles :

  • Hameçonnage : Par le biais d’e-mail contenant des pièces-jointes piégées ou des liens vers des sites malveillants. Pour plus d’information, vous pouvez cliquer ici :
  • Comment repérer et éviter les attaques d'hameçonnage en ligne - Softease
  • Kit d’exploitation : Les développeurs de logiciels malveillants se servent de vulnérabilités connues ou pas encore connues/corrigées (faille ZeroDay) pour infecter n’importe quel appareil sur un réseau ayant les vulnérabilités en question. Les vulnérabilités peuvent concerner les logiciels, les systèmes d’exploitation ou encore les périphériques ou objets connectés aux appareils.
  • Faille de bureau à distance (Remote Desktop Protocol) : Le protocole RDP, servant à se connecter à distance à un ordinateur peut présenter des failles exploitées par les attaquants : o Dans le cas où le système cible n’a pas fait ses dernières mises-à-jours de sécurité et a donc des failles connues dans le protocole en lui-même, cela permet aux attaquants d’injecter du code pour accéder au système cible sans même avoir besoin d’identifiants et de mot de passe. o À la suite d’une mauvaise configuration du RDP, le système cible peut-être exposé ouvertement à Internet sans passer par une passerelle ou contrôlé par un pare-feu, avec le port par défaut 3389 non protégé. De plus, si le nombre de tentative de connexion n’est pas configuré, cela induit que l’attaquant peut ensuite essayer de deviner les identifiants comme il le souhaite.
    o Il peut y avoir des attaques par brute force des ordinateurs ou serveurs exposés sur Internet, ce type d’attaque consiste à essayer toutes les combinaisons de noms d’utilisateur et mot de passe de manière automatisée à l’aide d’un programme. Si les identifiants sont faibles il y a de forte chance pour que cela fonctionne.
  • Publicité malveillante : lorsque la victime clique sur une publicité par inadvertance, un logiciel malveillant va alors s’installer sur son appareil.
  • Téléchargements furtifs : Il se peut aussi que le programme puisse s’installer sans même cliquer sur une publicité, simplement le fait de consulter la page web infectée peut exécuter l’installation du logiciel malveillant.
  • Téléchargements et exécutions volontaires : Il se peut que votre ordinateur soit infecté après avoir télécharger et exécuté un logiciel provenant d’un site non-officiel.
  • Clés USB : Votre ordinateur peut être infecté après l’exécution d’un fichier ou d’un logiciel contenu sur une clé USB.

Comment se protéger ?

  1. Mettre à jours régulièrement tous les systèmes : micrologiciel (firmware), systèmes d’exploitation, logiciels, anti-virus, … Cela peut déjà éviter que les cybercriminels exploitent des failles de sécurité connues.
  2. Appliquer des politiques de mots de passe fortes pour éviter les attaques par brute force. Pour plus d’information à ce sujet : Guide pratique de gestion des mots de passe - Softease
  3. Ne pas cliquer sur des liens ou fichiers provenant d’e-mail ou d’Internet car cela peut déclencher le téléchargement d’un ransomware ou autre malware.
  4. Ne pas faire de téléchargement depuis des sites Web non fiables.
  5. Eviter d’utiliser des supports USB inconnus.
  6. Utiliser un VPN lors d’une connexion à un réseau public car parfois les réseaux Wi-Fi public sont piégés.
  7. Sécuriser les accès RDP avec un VPN et des règles de pare-feu.
  8. Paramétrer correctement son pare-feu, la méthode la plus sécurisé est de bloquer toutes les connexions non utiles et de restreindre les accès.
  9. Mettre en place une surveillance du réseau pour repérer les activités suspectes.
  10. Segmenter le réseau pour appliquer des règles pare-feu appropriés.
  11. Personnaliser les droits des utilisateurs sur les données, notamment en écriture et modification.
  12. Mettre en place différent type de sauvegarde, notamment hors connexion, pour permettre une reprise d’activités en cas d’attaque malveillante et limiter les pertes. En complément, il est intéressant de migrer ses données vers le Cloud.
  13. Ne pas donner de droit d’administrateur à un utilisateur.

Les risques

Pour une entreprise, cela peut avoir un impact très important :

  • La perte financière : Dans le cas de paiement de la rançon, de perte de clientèle, de perte de confiance, d’exploitation, de poursuite judiciaire, …
  • La perte d’exploitation : Arrêt de la production ou des services durant une durée indéterminée.
  • La perte de confiance : Des clients et des prestataires, la méfiance concernant l’utilisation de leurs données personnelles ou même de leurs coordonnées bancaires.
  • La perte de clientèle : Dans le cas où l’attaque empêche l’entreprise de continuer son activité, les clients ne peuvent pas les solliciter ou des clients potentiels vont préférer une autre entreprise qui fait la même activité et qui sera en mesure de répondre à leur demande.
  • La perte de données : Les données ne peuvent pas toujours être récupérées avec la méthode du déchiffrement et si la société n’a pas fait de sauvegarde ou que les sauvegardes ne sont pas à jours, cela engendre de grande perte de données et de temps de travail.
  • Le risque de poursuite judiciaire : Au risque d’avoir des poursuites judiciaires dans le cas de fuite de données personnelles, il est impératif de faire un signalement à la CNIL et d’avertir les personnes concernées (les clients, les prestataires, les internes de la société, …).

Que faire en cas d’infection ?

  1. Isoler les réseaux et machines infectées. Déconnecter les câbles réseaux.
  2. Avertir le service informatique ou le prestataire informatique si vous en disposez pour qu’il puisse prendre les premières mesures nécessaires.
  3. Ne pas payer la rançon.
  4. Réunir toutes les preuves numériques possibles et analyser la situation pour déterminer la source de l’infection.
  5. Signaler l’incident aux autorités en déposant plainte.
  6. Signaler l’incident à la CNIL dans le cas d’atteinte à des données personnelles.
  7. Signaler l’incident à son assurance, dans le cas où le contrat d’assurance présente une couverture contre les cyber-risques. A noter que tous les signalements doivent être effectuée dans les 72h suivant la découverte de l’incident.
  8. Tenter un déchiffrement des données dans le cas de chiffrement par le ransomware.
  9. Désinfecter toutes les machines touchées.
  10. Réinstaller les machines proprement.
  11. Restaurer les sauvegardes si elles existent et/ou mettre en place des sauvegarde complémentaires.
  12. Sécuriser le réseau en mettant en place une politique de sécurité plus stricte et en conséquence de l’attaque.

Le signaler ? Le signaler aux autorités : Il est important de déposer plainte soit au commissariat de police soit à la gendarmerie ou en écrivant au procureur de la République dont vous dépendez en fournissant toutes les preuves en votre possession. C’est important car :

  • Les forces de l'ordre ont besoin de données techniques, nombreuses et récentes pour enquêter sur les cybercriminels et les retrouver.
  • Ils vont valider la recevabilité et l’intégrité des preuves numériques fournies dans un premier temps.
  • C’est une preuve supplémentaire pour l’assureur. Le signaler à la CNIL : c’est légalement obligatoire dès lors qu’il existe un risque pour la vie privée des personnes. Cette notification doit s’effectuer sous 72h, au-delà il sera demandé de justifier le retard. La CNIL va alors déterminer si une communication aux personnes concernées est nécessaire si elle n’a pas déjà été faite. Cette communication est importante car ces personnes pourront alors prendre les mesures nécessaires pour se protéger. Multiplication des attaques par rançongiciel : comment limiter les risques ? | CNIL A l’assurance : Dans le cas où le contrat d’assurance couvre les cyber-risques, cela permet d’être indemnisé pour les pertes financières et l’arrêt des services et/ou de production. Ils vont évaluer les preuves numériques fournies et mener l’enquête également. Pour conclure, ils donneront leur accord pour la remise en fonctionnement du matériel si les preuves numériques fournies sont validées. Cybermalveillance.gouv : Softease est référencé sur cybermalveillance.gouv, cela veut dire que nous pouvons vous apporter notre aide si vous signalez votre incident de sécurité sur leur site web. Nous vous assistons alors dans la résolution de votre incident de sécurité, du dépôt de plainte jusqu’à la remise en fonctionnement du matériel. Nous mettons aussi des sauvegardes en place et nous sécurisons votre infrastructure pour éviter que cela se produise à nouveau.

Liens ressources

Qu’est-ce qu’un ransomware et comment s’en protéger ? | Avast

Définition Ransomware - Actualité Informatique (actualiteinformatique.fr)

Que signifie Rançongiciel? - Definition IT de Whatis.fr (lemagit.fr)

Multiplication des attaques par rançongiciel : comment limiter les risques ? | CNIL

Qu’est-ce qu’un rançongiciel ? | Sécurité Microsoft

Rançongiciel — Wikipédia (wikipedia.org)

Qu'est-ce qu'un ransomware ? - Numerama

Qu’est-ce qu’un ransomware ou rançongiciel ? - Assistance aux victimes de cybermalveillance

Qu'est-ce qu'un ransomware ? | Protection contre les ransomwares | Kaspersky

Ransomwares : de quoi s'agit-il et comment s'en débarrasser | Malwarebytes

White Paper - Ransomware | WatchGuard Technologies

Risques de sécurité et vulnérabilités du protocole de bureau à distance port TCP 3389 - Specops Software France

En cas d’incident | Agence nationale de la sécurité des systèmes d'information (ssi.gouv.fr)

Ransomware ! Avez-vous bien calculé les risques d'une Cyber attaque ? - Groupe ROUGE