Omniprésents dans les médias depuis quelques jours, les ransmoware (ou rançongiciels dans leur version française) représentent une menace de plus en plus répandue et pourtant encore largement sous-estimée. Rappelons qu’on désigne par randsomware un logiciel malicieux visant le plus généralement à chiffrer tout ou partie des données d’une entreprise ou d’un particulier dans le but d’obtenir une rançon en échange de la clé de déchiffrement. Dans la grande majorité des cas actuels, l’intrusion est rendue possible par le biais d’une pièce jointe ou d’un lien dans un e-mail et la rançon doit être payée en bitcoin.
Le ransomware en quelques chiffres
Le phénomène a littéralement explosé en 2016, année record en termes de cyber-menaces, comme en témoignent les déclarations du FBI, qui évalue à 1 milliard de dollars le montant total des rançons payées (contre 24 millions de dollars en 2015), et le compte-rendu 2017 sur la cyber-criminalité d’Europol, qui place désormais le ransomware en tête des menaces. Le rapport Kapersky 2016 nous apprend quant à lui qu’une tentative de racket de cette forme est perpétrée contre une entreprise toutes les 40 secondes à travers le monde et qu’une société sur cinq en a déjà été victime. Statistique confirmée par l’étude Euler Hermes-DFCG, qui évalue à 22 % le nombre d’entreprises françaises ayant été la cible d’un rançongiciel en 2016.
Les hackers exploitent allègrement les failles de sécurité présentées par les SI de tous types d’organisations, ainsi que leurs carences en termes de sauvegarde de données et de procédure de restauration. Selon une étude menée par Varonis, les entreprises rendent accessible 20 % de leurs fichiers à l’ensemble des employés et une sur deux laisse au moins mille fichiers consultables par tous les partenaires.
Le risque de subir une attaque qui bloquerait l’activité et pourrait provoquer de lourdes pertes poussent une partie des décideurs à accepter de payer. D’autres estiment aussi qu’il est plus rentable de s’acquitter de la somme demandée et de récupérer les données que de s’exposer à leur disparition potentielle. A l’échelle mondiale, environ un tiers des rançons sont payées. La France se place légèrement sous ce seuil, alors qu’aux Etats-Unis, plus de 60 % des victimes s’en acquittent. En revanche, rien ne garantit que la clé de décryptage sera bien fournie après le versement du butin. Honnêteté et piraterie ne font pas vraiment bon ménage.
Evolution
WannaCry, le ransomware qui vient de révéler ce genre d’escroquerie au grand public, a surpris tout le monde par sa vitesse de propagation. Il a heureusement pu être rapidement endigué grâce au travail des experts en sécurité et à des failles dans sa conception mais des variantes plus efficaces font déjà leur apparition.
De fait, la grande force de ces délinquants réside dans la capacité d’innovation de leurs dispositifs. A chaque parade, ils trouvent un moyen de s’adapter et de contourner les systèmes de sécurité. Selon Trend Micro, le nombre de familles de rançongiciel a été multiplié par sept l’an dernier.
L’année 2016 aura été marquée par Locky, le malware le plus utilisé pour soutirer de l’argent sur le Web. Souple et terriblement efficace, il a contaminé des millions d’utilisateurs avant de tomber en disgrâce et d’être détrôné par Cerber, plus performant, plus simple d’utilisation et qui continue de se décliner en de nombreuses variantes. Ce dernier déploie, par exemple, tout un arsenal contre le machine learning, comme l’ont découvert des chercheurs de Trend Micro.
Cerber participe à la nouvelle tendance : l’émergence des Ransomware-as-a-Service, une solution « prête à extorquer » pour hacker en herbe. Le concept est simple : un RaaS est mis à disposition sur le Dark Web moyennant rétribution et commission. Avec cette plateforme et ces outils, quiconque, même sans compétences informatiques particulière, peut lancer sa propre campagne de prise en otage de données. Ce mode d’exploitation ne manque pas de séduire un nouveau public, alléché par l’appât du gain et la facilité d’usage.
Parmi les curiosités qui ont fait leur apparition en 2017 dans le monde malicieux des RaaS, citons Fatboy, dont le montant de la rançon varie en fonction de l’index Big Mac du pays ciblé. Un index imaginé par le magazine britannique The Economist voilà plus de 30 ans pour analyser de manière originale les disparités du pouvoir d’achat sur la planète en prenant en compte la différence de prix entre pays du sandwich de la célèbre firme de fast-food. Concrètement, le montant réclamé pour récupérer les fichiers bloqués sera plus élevé en France qu’en Inde.
Popcorn Time marque également un tournant par son principe pernicieux : vous avez le choix entre payer la rançon ou envoyer vous-même un e-mail contenant le fichier infecté. Si deux de vos contacts installent ce fichier, vous bénéficierez gratuitement du déchiffrement des vôtres. C’est l’inbound marketing version pirate informatique. La victime joue le rôle d’ambassadeur et devient elle-même complice active de l’arnaque.
Enfin, on craint que ces malware continuent leur offensive contre l’IoT car les objets connectés représentent une porte d’entrée formidable avec le développement des botnets.
Comment se prémunir ?
Pour minimiser les risques d’attaque, on trouve déjà une pléthore de recommandations utiles sur Internet. Les spécialistes de la cyber-sécurité travaillent d’arrache-pied afin d’élaborer des solutions toujours plus réactives. Des initiatives globales voient également le jour : le projet européen No More Ransom, qui rassemble Europol et des acteurs majeurs de la cyber-sécurité tels que McAfee et Trend Micro, offre de nombreux conseils et outils pour lutter contre ce fléau et réagir en cas d’attaque.
Il est en outre urgent de mettre en place un ensemble de pratiques élémentaires au sein de l’entreprise. Le ransomware nécessitant une intervention humaine pour se déclencher, il faut avant tout former le personnel et le sensibiliser à ce problème. Il est aussi essentiel d’effectuer systématiquement la mise à jour des outils de sécurité, la sauvegarde des données tout en limitant leur accès et des tests réguliers des procédures de restauration.
Le grand chantier qu’occasionne l’application du GPRD, programmée pour le mois de mai 2018, va offrir la possibilité d’adopter ces nouvelles pratiques.
Ransomware et GDPR
Enjeu incontournable de l’année à venir, le GPRD (Règlement général sur la protection des données) est le texte de référence de l’UE relatif à la protection des données à caractère personnelle. Il concerne toute organisation conservant des données de citoyens européens. Il servira à harmoniser la législation en vigueur dans les 28 pays membres mais impose à toutes les entreprises une refonte en profondeur des méthodes de gestion de ces données.
Et gare au laxisme, l’autorité pourra infliger une amende allant jusqu’à 20 millions d’euros ou 4 % du CA mondial d’une société qui ne se conformerait pas à ses directives.
Le GPRD prévoit entre autres que dans le cadre d’une « violation des données », comme c’est le cas lors d’une contamination par un ransomware, il devient obligatoire de prévenir l’Autorité de Protection des Données dans un délai de 72 heures. Pour être en mesure de réaliser un tel rapport, il est indispensable de savoir exactement quelles données ont été infectées. Ce travail laborieux mais préventif de stockage optimisé doit aussi être vu comme une opportunité de freiner la croissance des ransomware.
Une entreprise qui serait victime d’un rançongiciel pourrait beaucoup plus facilement refuser le chantage si elle était capable d’identifier les fichiers en question et de suivre rapidement les process de restauration de son système.
Par Mathieu, rédacteur DataXcentric
