Retour

La menace du ransomware : le piratage à la rançon

L'exploitation des données 23/01/2020 Benjamin Allouche

Le vendredi 16 Novembre 2019, le personnel du CHU de Rouen a été victime d’une cyber-attaque. Tous les fichiers étant inopérants, l’établissement a alors décidé d’immédiatement arrêter les opérations informatiques afin d’éviter la propagation de l’intrusion. Le personnel a rapidement compris de quel type d’attaque il s’agissait lorsqu’une demande de rançon de 40 Bitcoins (environ 250 000€) s’est affichée à l’écran. L’hôpital faisait face à un ransomware. Les pirates chiffrent les fichiers de la victime pour les rendre inopérants et lui demandent ensuite une rançon en échange du décryptage de ses données.

Cyber Sécurité

Comment se déroule une attaque ransomware ?

L’offensive a été initiée bien avant, au cours d’une vaste campagne d’hameçonnage survenue un mois auparavant. C’est la méthode privilégiée de ces cybercriminels : ils envoient des centaines de millions d’e-mails qui sont d’apparence fiable, mais qui comportent en réalité une pièce jointe malicieuse. Cet élément sert à dissimuler un programme malveillant, un ver informatique, qui une fois téléchargé, permet de prendre le contrôle à distance d’un ordinateur. Ce type de programme est appelé porte dérobée : une fonctionnalité inconnue de l’utilisateur légitime d’un logiciel, qui donne un accès à distance secret.
Les cybercriminels se sont inspirés du code source du logiciel légitime d’Ammyy Admin (un logiciel de contrôle à distance d’un PC), qui avait fuité en 2016. A partir de ce code source, ils ont créé leur propre porte dérobée malveillante, nommée FlawedAmmyy.

C’est grâce à cette porte dérobée qu’ils ont acquis les droits d’administrateur réseau. Ils ont ainsi pu déployer leur code de chiffrement sur l’ensemble du réseau informatique de l’entreprise.
Les logiciels de cryptages sont nombreux et évoluent pour être de moins en moins détectables et de plus en plus efficaces : Locky, CryptoLocker, Dridex… Celui utilisé lors de l’attaque est appelé Clop, variante de la famille de rançongiciels CryptoMix et reconnaissable grâce aux extensions de fichier en .Clop ajoutées aux fichiers qu’il recode.

Porte Dérobée

Une fois les fichiers cryptés, les pirates n’ont plus qu’à déclencher l’offensive pour que tout le réseau soit paralysé, déclenchement qui intervient généralement le weekend, lorsque les capacités des équipes de sécurité sont amoindries. Les pirates proposent ensuite le déchiffrage des fichiers, moyennant une rançon à payer en Bitcoin afin d’éviter toute annulation de paiement et traçabilité de leur identité.

Bien heureusement, les 50 spécialistes en cybersécurité dépêchés au CHU par l’Agence Nationale de Sécurité des Systèmes d’Information (l’ANSSI) durant tout le week-end ont réussi à rétablir le bon fonctionnement du système. D’après leurs analyses, le collectif TA505 serait à l’origine de cette attaque, groupe de pirates très actif pour lesquels on dispose encore de peu d’information.

Photo By: Courtesy graphic
Photo By: Courtesy graphic

Apparus en 2016 les ransomwares ont fait d’importants dégâts à une époque où l’insouciance de la cybersécurité était d’usage.
Dès 2017, 52% des entreprises avaient déjà subi ce type d’intrusion. Désormais, les ransomwares représentent 19% des 5.8 cyberattaques subies en moyenne par les entreprises françaises, ce qui fait du ransomware la menace la plus répandue en 2019.
Pour 2020, on peut s’inquiéter de la démultiplication de ces offensives sur des entités publiques telles que les mairies mais surtout le secteur hospitalier, pilier indispensable de la sécurité des individus mais qui présente pourtant une protection trop faible en matière de cybersécurité.

Comment prévenir les risques de Cyber-attaque ?

Il existe des solutions simples pour limiter le risque d’attaque par ransomware, que vous soyez une entreprise ou un simple utilisateur. Voici quelques conseils pour améliorer votre sécurité en ligne :

  • Ne surtout pas cliquer sur les pièces jointes contenus dans les e-mails, si vous n’êtes pas sûr et certain de connaître le destinataire. C’est le moyen privilégié des cybercriminels pour infiltrer votre ordinateur.
  • Maintenir vos logiciels à jour. Les nombreuses mises à jour des applications permettent de s’adapter aux nouvelles techniques utilisées par les cybercriminels et ainsi de conserver une couverture de sécurité efficace.
  • Utiliser un logiciel antivirus et exécuter des analyses antivirus régulièrement. En complément de la vigilance de l’utilisateur, c’est la base de toute protection digitale.
  • Sauvegarder ses données, en prévention. Vous n’aurez rien à craindre d’un ransomware si vos données sont en sécurité ailleurs. Vous pouvez sauvegarder sur un disque dur externe/clé USB (à conserver débranché de l’appareil) ou sur un service de stockage en ligne Cloud.

Quelles sont les solutions si je suis déjà infecté ?

Dans le cas où vous seriez déjà infecté, tout n’est pas perdu, il va falloir agir vite :

  • Bien que cela puisse être tentant, ne surtout pas payer la rançon réclamée. Cette solution ne garantit aucunement que vous récupériez vos données. De plus, le pirate, qui sait désormais que vous êtes prêt à payer pour vos fichiers, n’aura aucun scrupule à réitérer son attaque.
  • Débrancher tous les périphériques externes à l’appareil afin de limiter l’intrusion à d’autres fichiers peut-être encore sains.
  • Une fois ces précautions réalisées, essayer de récupérer vos données. De nombreux guides expliquent précisément les étapes à suivre comme celui-ci ou celui-là .

Il arrive aussi qu’aucune solution ne permette de récupérer vos données. Dans ce cas, il vous restera toujours vos yeux pour pleurer, et seulement les souvenirs de toutes ces photos de vacances à la plage de La Rochelle par temps pluvieux que vous ne reverrez jamais…

Tu sais maintenant tout sur les ransomwares. On espère que cet article t’a plu, n’hésite pas à en consulter d’autres comme notre VRAI/FAUX de la migration vers une architecture Cloud.

Avatar auteur
Écrit par ,
Ça vous a plu ? Faites tourner !

À lire aussi

say hello !

un projet ? des infos ? un devis ?

on est partout.

Amiens
Scala Amiens

7 rue de l’Ile Mystérieuse

80440 Boves Amiens
Lyon
Scala Lyon

Parc du Crecy, 12 rue Claude Chappe

69370 Saint Didier au Mont d’Or Lyon
Marseille - Siège social
Scala Marseille

11 avenue André Roussin
Immeuble Grand Ecran

13 016 Marseille
+33 (0)4 91 46 84 60
Paris
Scala Paris

8 Rue Euler

75 008 Paris
+33 (0)1 56 68 77 80
Tunis – Tunisie
Scala Tunisie

Rue du Lac Biwa, Immeuble Fraj
3ème étage, Lac 1,
Les Berges du Lac

1053 Tunis – Tunisie
+216 71 657 451
Et même Londres, Bruxelles, NY, Montréal et Casablanca.Voir carte.

on recrute !

Venez voir toutes nos offres ici.

contact
le blog