Attaque informatique, tout se joue en amont

0
970

GPLExpert-logo-newsletter

Auteur : Thomas Breton  DG GPLEXPERT
Auteur : Thomas Breton DG GPLEXPERT

 
Comment ne pas débuter cette série d’articles ayant pour sujet la sécurité informatique, sans parler du virus phare de ce début d’année, j’ai nommé les « ransonwares ».
Il s’agit d’une menace très en vogue en ce moment et qui se répand comme une traînée de poudre au sein des SI.
Le mot « ransomware » ne vous dit rien ? Peut-être que le terme Locky vous parle un peu plus. En effet « Locky » est, actuellement, la variante la plus couramment rencontrée de cette attaque informatique.
Détaillons le mode de fonctionnement de cette attaque :

Premier chapitre, l’infiltration

Actuellement, ce virus est dissimulé dans des pièces jointes attachées aux mails. Les fichiers les plus couramment utilisés sont des documents « Word » qui, à l’ouverture, encouragent l’utilisateur à activer les macros.

Une fois les macros activées, le petit morceau de code contenu dans le fichier infecté s’active et se connecte à un serveur distant. Un échange rapide des données s’opère et une clé de cryptage solide (AES-128-ECB) est générée.

Deuxième chapitre, la prise d’otage

Silencieusement, la clé de cryptage précédemment générée est alors utilisée afin de crypter tous les fichiers personnels présents sur le poste informatique de la victime.

Selon l’emplacement de stockage et les extensions, les fichiers sont systématiquement cryptés, puis vient le tour des disques durs externes ainsi que les espaces de stockage en réseau.

Les fichiers cryptés voient leur extension changés en « .locky », du moins pour la version actuelle de ce malware. À ce stade vos fichiers ne vous appartiennent plus.

Troisième chapitre, la demande rançon

Démuni de vos fichiers originaux, de nouveaux sont générés et affichent la procédure à suivre afin de les décrypter. La procédure consiste à faire payer une rançon sous forme de « bitcoin », le cours du bitcoin étant très élevé, la somme se compte facilement et rapidement en milliers d’euros.

Pourquoi en bitcoin ? Parce que nous sommes en 2016 et que les lingots sont pénibles à transporter. Enfin, surtout parce que les comptes sont anonymes et qu’il est donc impossible de savoir quelle personne physique se cache derrière un compte de « bitcoin ».

Cependant, rien ne garantit que le paiement assure le décryptage des données. En somme, un paiement de rançon sans obligation de résultat.

Récupérer ses fichiers

Une fois les fichiers cryptés, les récupérer est impossible. Les clés de chiffrement sont tellement solides qu’il est à l’heure actuelle quasiment incassable. Demandez au FBI ce qu’il pense des clés utilisées pour les IPhones,

Se prémunir

La prévention est la seule parade actuellement efficace.

Bien sûr, la sécurisation du Système d’Information contre ce type d’attaque nécessite la mise en place d’une Politique de Sécurité du Système d’Information (PSSI) pointue reposant sur des solutions techniques mais aussi humaines.

De ce fait, la sensibilisation et la formation des utilisateurs sont certainement la clé de voûte d’une politique de sécurité des données. En d’autres termes, communiquer c’est déjà se prémunir d’un grand nombre de risques.

Mais nul n’est infaillible, et la mise en place de solutions techniques concrètes doit venir compléter une solide défense des Systèmes d’Information hospitalier.

Ainsi, pour se prémunir et lutter efficacement contre ces violentes attaques, installer et maintenir un antivirus et un antispam à jour sur les serveurs de mail est la première étape. Bloquer les pièces jointes douteuses, les macros et les clés USB sont alors des parades indispensables. En parallèle, assurer la sécurité du serveur de fichiers grâce à une gestion des droits bien définie permet de limiter également les intrusions.

messages-attaques-informatique

La configuration d’un pare-feu sur le réseau est aussi un moyen efficace de bloquer la connexion au serveur distant, détaillé dans le premier chapitre. Les postes clients peuvent aussi être sécurisés. Ainsi différentes solutions sont envisageables afin de « vacciner », au moins partiellement les postes clients contre ces attaques.

Cependant, et ce malgré des actions de protection efficaces, ces virus peuvent réussir à trouver la faille de votre système de sécurité. Il est alors important de pouvoir les détecter très rapidement avant leur propagation. Ainsi, mettre en place un système d’analyse comportementale permet par exemple de détecter les utilisations anormales des utilisateurs – 3000 ouvertures de fichiers en moins de 5 minutes, suspicieux.

Par anticipation, un système de sauvegarde fiable et efficace permet un retour à la normale limitant les dégâts grâce à une restauration des fichiers la plus optimale possible. Ainsi, le Plan de Reprise d’Activité (PRA), reposant, sur une politique de sauvegarde, permet de se sortir d’une situation qui aurait pu être catastrophique. De plus, les solutions de virtualisations peuvent également assurer un retour plus rapide à une situation normale.

En conclusion, face à ce type d’attaque informatique, tout se joue en amont !

Laisser un commentaire