Rançongiciel : l’autre virus

  • Par Pablo Agnan
  • Publié le 13 novembre 2020
© Gendarmerie nationale

Le phénomène des attaques par rançongiciels connaît une augmentation exponentielle, notamment depuis le début de la crise sanitaire. En 2019, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a traité 69 incidents, contre déjà 104 entre janvier et août 2020. Grâce à la contribution du Centre de lutte contre les criminalités numériques (C3N), GENDinfo.fr vous donne quelques clés pour vous prémunir face à cette cybermenace.  

Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le rançongiciel, plus connu sous le nom de ransomware en anglais, est un code malveillant empêchant la victime d’accéder au contenu de ses fichiers, afin de lui extorquer de l’argent. D’après un rapport d’un éditeur de cybersécurité, les attaques par ransomware auraient bondi de moitié au troisième trimestre 2020. L’année dernière, en France, l’ANSSI a traité 69 incidents concernant des rançongiciels et déjà 104 entre janvier et août 2020. Ces attaques ont visé des poids lourds de tous secteurs confondus, comme le Groupe M6, ALTRAN, Fleury Michon ou encore Ramsay Générale de Santé.

Plus inquiétant encore, dans le contexte de crise sanitaire actuel, elles ciblent désormais de plus en plus le secteur de la santé, comme l’atteste l’attaque contre le CHU de Rouen en novembre 2019. En première ligne face à cette cybermenace, l’adjudant Ludovic, enquêteur au Centre de lutte contre les criminalités numériques (C3N) du Pôle judiciaire de la gendarmerie nationale (PJGN), explique comment se protéger face à ce type d’attaque.                    

Le mois dernier, la société Sopra Steria, leader européen du conseil, des services numériques et de l'édition de logiciels, a été victime du ransomware Ryuk. Une attaque parmi tant d’autres, qui constitue seulement une goutte d’eau dans l’océan du phénomène des rançongiciels. Pourquoi parle-t-on autant de ransomware dans l’actualité ?

La criminalité organisée dans le monde cyber s'est effectivement accentuée au regard des attaques de rançongiciel en 2020. L'actualité évoque notamment ce type d'attaque informatique pour plusieurs raisons. Il peut s'agir de la typologie des victimes, notamment lorsque des grands groupes industriels sont concernés (Garmin, par exemple, à l'étranger, ou CMA-CGM encore plus récemment en France).

Les montants des rançons, qui tutoient les millions d'euros, sont également impressionnants pour le public averti ou non.
Enfin, les conséquences de ce type d'attaque peuvent également faire l'actualité. C'est le cas d'un groupe hospitalier allemand, en septembre 2020, dont un patient va décéder alors qu'il ne peut plus bénéficier de l'assistance d'un matériel touché par le chiffrement du réseau informatique de l'hôpital.

Est-ce que la crise sanitaire que nous traversons a servi de catalyseur pour ce type d’attaque ? Ont-elles augmenté en termes de volume, mais aussi de qualité ?

À cause de la crise sanitaire, les entreprises ont massivement recours au télétravail. Ce phénomène constitue l'une des nombreuses portes d'entrée pour des hackers. En effet, il arrive souvent que les sociétés méconnaissent la sécurité des réseaux informatiques à demeure ou avec le matériel qui va se connecter à distance (télétravail).

Il est à noter également que des sociétés ont dû s'ouvrir ou accentuer leur présence sur le réseau Internet. Lorsque la sécurité n'est pas suffisante, c'est autant de sites Web qui ont pu permettre des entrées dans les réseaux des entreprises et être victimes d'attaques de ransomware.

Le volume d'attaques a bien évidemment augmenté. Sur le plan de la qualité, considérons que les ransomwares étaient déjà utilisés avant cette période et sont restés les mêmes. Notons que des variantes ont pu apparaître, mais la technicité n'est pas plus élevée.

Concrètement, quel modus operandi utilisent les cybercriminels pour réaliser ce type d’attaque ?

Les attaquants peuvent cibler une victime en raison de sa capacité à payer de grosses rançons, comme les grands groupes industriels. Il peut aussi s'agir de victimes aléatoires, privées ou professionnelles, qui téléchargent involontairement une charge virale. Cela peut donc se produire dans le cadre de campagnes de spam contenant des charges virales en pièce jointe, donc une attaque aléatoire ou ciblée si des adresses mails d'une société sont concernées.

Les attaques peuvent aussi être le résultat d'une recherche sur des ports ouverts et non sécurisés, ou bien encore sur des failles de sécurité de matériels de type serveur/serveur de sauvegarde non mis à jour et enfin, sur le réseau informatique d'une société qui travaille ou est partenaire du monde médical/paramédical/pharmaceutique. Ce sont ces modes d'attaque qui sont régulièrement employés pour les intrusions dans les réseaux.

« Il faut prendre en considération que la rançon motive les attaquants »

Qui sont les plus visés/touchés par ce type d’attaque ? Particuliers ou professionnels ?

Il faut prendre en considération que la rançon motive les attaquants. C'est à ce titre que les entreprises sont davantage concernées. Elles détiennent des fonds plus importants pour régler des rançons élevées. D'autant plus qu'elles ont besoin des données chiffrées pour fonctionner. Les conséquences d'un arrêt d'activité (licenciements, perte de clients, publicité négative sur le plan de la capacité à fonctionner et à sauvegarder les données) sont connues des attaquants.

Les particuliers sont généralement touchés par des charges virales contenues dans des pièces jointes ou des documents téléchargés en ligne. Le préjudice étant peu élevé sur ce type d'attaque ransomware, les victimes font souvent appel à des dépanneurs informatiques pour un nettoyage et/ou une réinstallation de la machine concernée sans payer de rançon.

Comment réagissent les victimes, particuliers comme professionnels, face à un ransomware ? Est-ce que certaines paient ?

Les forces de l'ordre ne recommanderont jamais de payer une rançon. Cependant, l'actualité se fait souvent l'écho de paiement par des sociétés qui se trouvaient dans l'impasse et sans autre solution. C'est le cas de ransomwares pour lesquels les solutions de déchiffrement ne sont pas connues et avec un préjudice de perte d'activité bien plus conséquent que la rançon généralement.

Pour se prémunir face à ces attaques, quels sont vos conseils ?

Si l'on prend en compte les modes d'attaque évoqués plus haut, il faut noter que la sécurité informatique doit faire partie des priorités pour une entreprise ou un particulier. Ainsi, les mails avec pièces jointes ou les téléchargements de documents en ligne doivent faire l'objet de précautions.

Il en est de même pour les mises à jour des systèmes d'exploitation, des matériels et des logiciels antivirus, qui doivent être scrupuleusement réalisées. De plus, la structure réseau des entreprises doit faire l'objet d'une réflexion visant, hors le fonctionnement de la société, à se prémunir contre les intrusions. C'est pourquoi il faut éviter :

- De laisser des ports ouverts et sans utilité pour l'entreprise. Ils constituent des cibles pour les attaquants, qui les scannent. Et surtout, éviter l'utilisation de ports standards pour le télétravail ou autre activité de maintenance à distance. Il faut penser à en utiliser des plus exotiques, que les attaquants ne ciblent pas systématiquement (Remote Desktop Protocol notamment).

- Des mots de passe standards ou avec un faible niveau de complexité.

- De laisser des accès à certaines structures du réseau à beaucoup d'employés qui n'ont pas d'utilité à en connaître.

- Enfin, il est utile de réaliser des sauvegardes régulières, qui seront déconnectées du reste du réseau pour permettre qu'elles soient épargnées en cas d'attaque.

Des audits de sécurité des réseaux doivent être encouragés pour détecter les failles possibles et s'en prémunir autant que possible

Si l’attaque est déjà enclenchée, que doit-on faire ?

Une attaque informatique sollicite une communication vers le réseau Internet. Il est alors toujours conseillé de déconnecter immédiatement le réseau interne d’Internet. Il y a ensuite le travail de remédiation qui va s'enclencher pour vérifier le réseau et assurer la sécurité avant toute remise en route connectée vers l'extérieur.

Dans le même temps, il est conseillé de se rapprocher d'un service de gendarmerie, qui avisera les personnels formés en nouvelles technologies (Cntech/Ntech) et s'appuiera sur l'expertise du C3N et des ses antennes (groupes cyber des sections de recherches). Les premières mesures de sauvegarde des éléments de l'attaque devront alors être effectuées. L'enquête a généralement besoin de la note de rançon, des fichiers chiffrés, de la souche du malware, pour définir de quel type de ransomware il s'agit.

Des mesures complémentaires de recherches du mode d'intrusion et de propagation seront ensuite  prises afin de trouver une solution de déchiffrement, si disponible, ou de connaître le fonctionnement du malware. La dernière étape consiste à sécuriser le réseau avant sa remise en route et à éviter une seconde attaque similaire.

Notons que, toujours dans le cadre d'une enquête judiciaire, le C3N, en appui d'autres unités et notamment spécialisées en négociation, peut intervenir pour aider les sociétés. Il ne s'agit pas de la remédiation, mais d'assistance pour la gestion de crise et d'apport de connaissances dans le fonctionnement des ransomwares et la négociation.

Outre la gendarmerie, existe-t-il d’autres services permettant de se protéger contre les rançongiciels ?

Effectivement, le phénomène des ransomwares est aussi traité par d’autres services, comme l’Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) et/ou la Brigade de lutte contre la cybercriminalité (BL2C) de la préfecture de police de Paris.

Sur le plan technique de remédiation, si l'entreprise ne possède pas de contacts de sociétés de « dépannage » pour l'assister, elle peut obtenir de l'aide en se déclarant victime sur le site cybermalveillance.gouv.fr. Elle sera mise en relation avec des partenaires privés spécialisés.

Valentin Ménard

 

Contacter la gendarmerie

Numéros d'urgence

  • Police - Gendarmerie : 17
  • Pompier : 18
  • Service d'Aide Médicale Urgente (SAMU) : 15
  • Sourds et malentendants : www.urgence114.fr ou 114 par SMS
  • Urgence Europe : 112

Sécurité et écoute

  • Enfance en danger : 119
  • Violences conjugales : 39 19
  • Maltraitance personnes âgées ou en situation de handicap : 39 77

Ces contenus peuvent vous intéresser