Virus, malwares, ransomwares : Anticiper, la seule arme efficace contre la cybercriminalité

23/11/2016 mn

Les Assises de la Sécurité, début octobre à Monaco, ont vu les responsables de l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information) confirmer la progression du nombre d’attaques informatiques déclenchées contre les systèmes d’information des entreprises, des administrations et des gouvernements.

en
résumé

Les malwares et les ransomwares évoluent sans cesse et rapportent des milliards de dollars aux organisations criminelles.
Les conséquences pour les entreprises sont considérables : perte de productivité, vols de données, rançons à payer.

Année après année, les attaques informatiques sur les SI s’amplifient

Ces attaques sont opérées à l’aide de malwares (logiciels malveillants ou maliciels en français) qui infectent les ordinateurs personnels ou les serveurs. Ils peuvent prendre la forme de virus, de vers ou encore de chevaux de Troie. La famille des Ransomware (ou rogue, voire rançongiel en français), appelés ainsi car leurs auteurs demandent des rançons en échange de la réparation des dégâts, se divise en deux groupes : les ransomwares « classiques » se contentent du blocage de quelques écrans, tandis que les crypto-ransomwares, cryptent la totalité des fichiers personnels (textes, images, courriels, etc) présents sur la machine, ce qui en interdit l’utilisation ultérieure.

Au niveau mondial, une étude de l’éditeur de solutions de cybersécurité Kaspersky a mesuré qu’entre 2015 et 2016, le nombre d’utilisateurs concernés par des attaques de ransomwares a augmenté de 20%. Celui des victimes des crypto-ransomwares a, pour sa part, quintuplé.

Des attaques qui se diversifient, mais avec toujours le même objectif d’extorsion

Avec le temps, les techniques utilisées par les concepteurs de ces programmes malveillants se sont à la fois sophistiquées et diversifiées. Aujourd’hui, il existe des dizaines de variantes d’un même malware, adaptées aux types de machines visées. Quant aux ransomwares, ils sont produits dans toutes les langues, pour mieux se faire comprendre des victimes lors de la demande de rançon !

Avec le déploiement rapide de l’internet des objets, le péril va encore s’amplifier. Désormais, ce sont des dizaines de milliards de d’objets connectés qui deviennent les relais possibles d’infections à grande échelle, comme vient de le démontrer l’attaque menée, à partir de caméras sur IP, sur les plus grands sites de e-commerce et de réseaux sociaux américains.

Les effets des malwares et autres ransomwares sont variés :

ralentissement voire arrêt des machines infectées.
sabotage de systèmes industriels.
accès ouvert pour des personnes étrangères aux fichiers sensibles de l’ordinateur, contenant par exemple des informations clients ou des données bancaires.
mise en réseau des ordinateurs infectés (réseaux dits de bots) afin de déclencher des attaques massives sur les serveurs de e-commerce, interrompant leur fonctionnement, ce qui permet d’exercer ensuite un chantage.
dans le cas des ransomwares, demande de rançons aux responsables des entreprises dont les machines infectées ne peuvent plus assurer la production quotidienne.

Un coût considérable pour les entreprises

Ces attaques sont majoritairement le fait d’organisations criminelles. Elles s’appuient sur des informaticiens de qualité pour développer des variantes toujours plus sophistiquées de ces attaques, afin de déjouer les dispositifs proposés par les spécialistes de la cybersécurité. Mais elles peuvent également acheter, sur le marché gris, des ransomwares « prêts à l’emploi », qu’il suffit ensuite d’adresser via des campagnes de e-mailing !

Si les organisations criminelles acceptent d’investir, c’est parce que la cybercriminalité leur rapporte beaucoup, pour des risques – peines d’emprisonnement notamment – relativement faibles. Les ransomwares rapporteraient ainsi plus d’un milliard de dollars par an à leurs concepteurs, selon le FBI.

Ce chiffre montre que beaucoup d’entreprises acceptent de payer des rançons, en échange de la remise d’une clé logicielle censée leur permettre de restaurer l’intégrité de leurs fichiers cryptés. Malheureusement, nombre d’entre elles ont connu des déconvenues : la clé ne leur parvenait jamais, ou bien n’était pas utilisable. Les données contenues dans l’ordinateur sont donc irrémédiablement perdues.

Des solutions techniques et organisationnelles à mettre en œuvre

La sensibilisation des collaborateurs de l’entreprise reste le meilleur moyen de prévention des risques. Elle passe notamment par la rédaction d’une charte d’utilisation des ordinateurs, qui précisera par exemple les restrictions d’accès aux sites internet potentiellement dangereux, ou les obligations en matière de mise à jour des logiciels (patches de sécurité).

Le rôle du management – communication, exemplarité – s’avère primordial dans l’élévation du niveau de conscience de tous face aux enjeux de la cybersécurité.

Sur le plan technique, le premier conseil de lutte contre les conséquences d’un ransomware porte sur l’organisation de sauvegarde au moins quotidienne de la totalité des fichiers ayant fait l’objet de nouvelles versions pendant la journée de travail.

Il faut également s’assurer que les logiciels utilisés dans l’entreprise sont paramétrés pour accepter automatiquement les mises à jour effectuées par les éditeurs en cas de découverte d’une faille de sécurité.

Ces précautions de base doivent être complétées par l’installation de solutions de cybersécurité : ses acteurs sont mobilisés pour proposer des réponses efficaces. En particulier, les éditeurs de logiciels anti-malware ont développé des solutions très complètes, capables aussi bien de détecter les codes malicieux déjà présents (également appelés dormants) sur un ordinateur, que de prévenir des tentatives de cryptage de fichiers, dès qu’elles débutent. Des antidotes existent ainsi pour de nombreux programmes malveillants.

Cependant, pour être efficaces, ces produits demandent des mises à jour très régulières : leur fonctionnement repose en effet sur la consultation permanente de bases de données stockant la totalité des signatures de malwares en activité sur internet. Cette liste évolue en permanence.

Définir des responsabilités internes et externes

La nomination d’un responsable de la sécurité informatique – ou à défaut la désignation d’utilisateurs responsables dans les différents départements de l’entreprise – traduit les ambitions de l’entreprise en matière de cybersécurité.

Pour les PME, l’achat de solutions de sécurité et leur administration restent souvent d’un coût trop élevé. De ce fait, et comme l’ont rappelé, lors des Assises de la Sécurité, les responsables français de l’ANSSI, elles deviennent des cibles faciles, car elles prennent parfois le risque de ne pas ou de mal se protéger.

Le mode cloud, par lequel des opérateurs de télécommunications par exemple, proposent à leurs clients d’accéder à des services d’infrastructure complets et payés à la demande (réseaux, serveurs, logiciels), éclaire cette équation économique de manière inédite.

En effet, les équipes des prestataires sont de taille suffisante pour accueillir des experts de la lutte contre les malwares et autres ransomwares. La mise en commun de ces ressources, ainsi que des solutions de sécurité les plus modernes et les plus puissantes, permet finalement par la mutualisation, l’accès des PME à une cybersécurité du meilleur niveau.

cybersécurité, sécurité informatique, ransomwares, malwares