Ransomwares : vol à la tire, ou désastre à venir ?

Mi-mai 2017, un ransomware baptisé WannaCry a été le bras armé d’une campagne de cyberattaques qui a affecté plus de 300,000 personnes dans 150 pays. Le 28 juin dernier, la CERT-FR, cellule nationale des menaces informatiques, a émis un bulletin d’alerte qui indique que cette campagne de « rançongiciels » dispose de multiples capacités de propagation.

Leurs noms ? Petya, Locky, Cerber, Zepto ou GoldenEye pour les plus répandus. Mais rien que sous Windows, plus de 150 nouvelles formes de ransomwares ont été détectées en 2016. Cette même année, 22% des entreprises françaises ont été attaquées par un ransomware, selon une enquête de la DFCG.

Les raisons d’une épidémie

Les motifs de cette multiplication : l’appât du gain et la maîtrise technique. D’après Tanguy de Coatpont, Directeur Général France de Kaspersky Lab, la cybercriminalité et la cyberfraude rapportent plus aujourd’hui que le trafic de drogue. Interpol confirme : « Les hackeurs romantiques ont disparu des écrans ; le crime organisé a pris leur place. L’extorsion de fonds fait partie de ses spécialités, tout comme l’enlèvement contre rançon. »

Les capacités techniques, ensuite. Selon l’éditeur McAffee, les développeurs « pionniers » des ransomwares (CryptoLocker, CryptoWall) ont une parfaite maîtrise des opérations cybercriminelles. « Ils ont tiré les leçons de leurs premières tentatives et s’adaptent rapidement en modifiant leur infrastructure ou leur code au premier signe de ralentissement de leurs activités. » Aucun doute que ces groupes continueront à exploiter le filon.

Qu’est-ce qu’un ransomware ?

Déclenché à partir de l’ouverture d’une simple pièce jointe ou via connexion à un lien piégé, ce logiciel va rendre inutilisables, en les encryptant d’une clé de très haute sécurité, tous les fichiers bureautiques, et d’autres, tant sur le disque dur de la machine que sur le réseau. Le monde du terminal mobile commence à être attaqué, notamment par Android/Jisut, et les Macs n’y échapperont pas, d’après Christophe Auberger, Directeur Technique France de Fortinet.

Pendant qu’il encrypte les données, le ransomware bloque le clavier et empêche l’utilisateur d’intervenir. Le message arrive, plus ou moins ironique : montant de la rançon (en bitcoins) et marche à suivre. Certains affichent un compte à rebours à l’issue duquel les données seront irrémédiablement détruites. Le montant de la rançon peut aller croissant jusqu’à la date fatidique.

Un piratage à la portée de tous

Grâce au RaaS (Ransomware as a Service), plus besoin d’être un as de la programmation pour devenir cyberfraudeur. Les nouveaux hackers mettent à la disposition de toute personne navigant sur le DarkNet des ransomwares on-demand (Petya par exemple) configurables et exécutables par n’importe quel utilisateur. Certains de ces programmes vont jusqu’à proposer le paiement aux résultats !
Dans ces conditions, ce n’est pas un mystère si le business des ransomwares est en train d’élargir son rayon d’action : grandes entreprises, administrations, hôpitaux, collectivités publiques, PME, TPE, experts-comptables, particuliers… personne ne se trouve à l’abri face à un système peu couteux… et bien moins dangereux pour les malfaiteurs que le vol à main armée. Les exemples abondent ces derniers mois.

Quels sont vraiment les risques pour une entreprise ?

Petite délinquance. Pour le commissaire François Beauvois, de la sous-direction à la lutte contre la cybercriminalité, « (les ransomwares) constituent une nouvelle petite délinquance, très dispersée et portant généralement sur des montants limités à quelques centaines ou quelques milliers d’euros, sauf cas exceptionnels – pour l’instant. » Ce que confirme Tanguy de Coatpont, de Kaspersky, qui parle, lui de « 500 à 600 euros ». Pour la Police, ces délits s’assimilent donc à du vol à la tire – et elle ne peut lui consacrer que des moyens limités. Pour autant il n’est pas recommandé de payer la rançon – on verra pourquoi.

Un vol à la tire qui peut avoir des effets désastreux. Le 5 juillet dernier, le groupe britannique Reckitt (Nurofen, Dettol, Durex…) a annoncé s’attendre à une baisse de ses ventes de plus de 110 millions d’euros sur un seul trimestre en raison des dommages causés par NotPetya – sans parler des dépenses engagées pour lutter contre cette crise. « L’attaque a perturbé la capacité de l’entreprise à fabriquer et à distribuer des produits à des clients sur de multiples marchés. Par conséquent, nous n’avons pas pu expédier et facturer des commandes aux clients avant la clôture du trimestre », témoigne la société. Le numéro 1 mondial du transport, Maersk, a dû fermer plusieurs sites le temps que ses principales applications fonctionnent à nouveau normalement. Saint-Gobain, TNT Express, se sont vu également forcés de tourner au ralenti, avec les conséquences financières que l’on imagine.

La mise en danger des actifs les plus précieux. Interrogé récemment, Laurent Mahéo, Président de la DFCG Ile-de-France, déclarait : « La perte de données est d’une grande violence (…), un choc psychologique : la lumière s’éteint ». Et il enchaînait : « Un grand groupe ça l’ennuie beaucoup. Une PME, ça la met en danger ». On ne peut que lui donner raison, quand on sait qu’aujourd’hui beaucoup considèrent que la plus grosse partie de la valeur d’une entreprise est constituée par ses données…

Les risques les plus redoutables sont peut-être ailleurs

L’attaque d’un ransomware peut entraîner les mêmes conséquences que l’usurpation d’identité qui suit le vol d’un portefeuille. Car quand le malfaiteur libère les données cryptées en fournissant à sa victime, contre rançon, un code de décryptage, il prend aussi la main sur les données. Ou même en l’absence du paiement de la rançon : apparemment, un malware comme NotPetya (également appelé Petrwrap, GoldenEye, ou encore Nyetya) vise à détruire les fichiers piratés… après les avoir récupérés.

Que feront de ces données les commanditaires de l’attaque ? Ils peuvent choisir de faire à nouveau chanter leur victime, en menaçant par exemple de publier sur internet son fichier client et ses détails, ou des informations confidentielles. C’est la technique du doxing. On imagine le risque de réputation correspondant. L’entreprise se verra en outre, dès 2018, menacée des foudres du GDPR, dont les sanctions peuvent s’élever jusqu’à 150,000 € au premier manquement, et ensuite jusqu’à 300,000 € ou 5% du chiffre d’affaires hors taxes du dernier exercice clos.

Autre possibilité, les cybercriminels utiliseront ces données pour leur ingénierie sociale. Quand ils connaîtront la structure et les coulisses de l’entreprise, ils pourront monter le scénario le plus efficace d’usurpation d’identité : fraude au président, au faux fournisseur, au faux banquier, à l’avocat, aux services sociaux… A la clé : des pertes financières directes.

Que faire si votre entreprise est attaquée par un ransomware ?

• Débranchez l’ordinateur du réseau (RJ45 et WiFi). N’éteignez pas l’ordinateur.
• Ne payez pas la rançon. Vous ne feriez qu’encourager les malfaiteurs à vous faire chanter davantage, sans aucune garantie de
• récupérer vos données désencryptées.
• Appelez un spécialiste du piratage informatique. Les éditeurs d’antivirus tiennent à disposition les coordonnées de leurs partenaires.
• Déposez plainte : vous aiderez ainsi la Police à compléter sa maîtrise d’un phénomène qui menace absolument tout le monde.

Avantage au cloud

Afin d’abord d’optimiser la productivité de leur service informatique, nombreuses sont les entreprises qui ont choisi de virtualiser des éléments importants de leur système d’information, d’abord en interne, puis en s’orientant vers l’externalisation.
L’usage d’applications dans le cloud et l’hébergement des données correspondantes garantit, en théorie au moins, contre la perte des données. Ce devrait être une bonne raison pour décider les PME françaises, en retard en ce domaine sur les grandes entreprises, à faire avancer leur usage du cloud et des applications déportées.

La prévention, forcément

« Se protéger de ces attaques nécessite de traiter le problème sur plusieurs axes : défense en profondeur, cloisonnement, durcissement, réduction de la surface d’attaque, politique de moindre privilège, détection d’intrusion… Mais la principale réflexion à mener reste la sensibilisation des utilisateurs, très souvent à l’origine des incidents de sécurité », déclare Christophe Faucault, consultant cybersécurité chez IT Link. A prévoir, donc : formation, rappels réguliers, organisation de la remontée d’incidents, et partage d’expérience interne après les accidents.

Côté informatique, « il faut garder à l’esprit qu’une faille doit exister pour permettre au malware de pénétrer le système d’information, et qu’une vulnérabilité doit être présente pour que le malware introduit puisse compromettre le système infecté », rappelle pour finir Christophe Faucault. La sécurité informatique a du pain sur la planche.

Pour aller plus loin :

Fraude en entreprise : êtes-vous menacé ?
La fraude, une menace en expansion
Quizz : Fraude, savez-vous reconnaître un fraudeur ?