Avis d’expert :
Par Olivier Quiniou, Directeur Général de F-Secure France
Les ransomwares : quand les cybercriminels rackettent
Ces derniers mois nous ont clairement montré que les ransomwares étaient en train de changer. Évidemment, de notre point de vue, cette évolution ne va pas dans la bonne direction, car ces programmes malveillants sont hélas de plus en plus fréquents C’est l’occasion pour F-Secure de faire ici un point sur ces nouvelles menaces.
Qu’est-ce qu’un «ransomware» et qui est concerné par ceux-ci ?
Les ransomwares, ou rançongiciels, sont des logiciels malveillants qui se présentent le plus souvent sous forme de messages officiels (gouvernements, grandes entreprises très connues), localisés en fonction du pays de l’internaute. Ce malware dupe les internautes en leur faisant croire que leur ordinateur a été bloqué par les autorités (le plus souvent via usurpation de la police) pour leur extorquer de l’argent en jouant sur leurs peurs.
Le « police ransomware » tient son nom de l’écran de « verrouillage » qui apparaît sur un ordinateur infecté. En effet, l’écran de verrouillage affiche un message supposé provenir d’une source fiable qui applique la loi avec, pour soi-disant preuve, une utilisation de l’ordinateur dans des activités illégales. L’écran exige le paiement d’une « amende » afin de déverrouiller l’ordinateur. Mais le plus souvent, le paiement de l’amende ne déverrouille même pas l’ordinateur !
Au vu du nombre de pays où le malware est localisé, le ransomware est un problème mondial. En général, une version de ransomware se trouve non seulement traduite mais aussi adaptée dans plus de 40 pays : écran de verrouillage traduit en langue locale, logo des forces de l’ordre du pays visé, lois locales détaillées, etc… De plus, pour accroître l’illusion que l’ordinateur est surveillé par la police, l’adresse IP du support est affichée ; certaines variantes du malware vont même jusqu’à allumer la webcam de la machine pour faire croire à la victime que la police enregistre son visage en temps réel. Bref, de quoi déstabiliser complètement l’internaute !
Par ailleurs, les consommateurs ne sont plus les seuls à en être les victimes. Fin 2012, un fait divers avait fait écho : une clinique médicale en Australie s’est vu exiger la somme de 4 000 dollars australiens pour décrypter ses dossiers médicaux. Et les patients qui utilisaient leurs propres ordinateurs pour accéder à leurs dossiers personnels se faisaient aussi infecter par le malware CryptoLocker via le VPN !
Mais les ransomwares ont changé
A l’instar des entreprises qui agissent dans la légalité, les ransomwares exigeaient au départ une main-d’œuvre importante, qui se traduisait par des coûts importants. Au fil du temps, ces coûts se sont réduits et le nombre de menaces de ransomware a augmenté. Différentes connaissances au niveau local ont pu aider les pirates, comme des mécanismes de paiement anonyme qui existent dans une région donnée.
Nous avons même vu un échantillon spécifique de ransomware se déployer dans le monde entier ; on le repérait une semaine en France, une autre aux États-Unis, etc Pour les pirates, ce n’est pas un jeu.
La capacité de pousser quelqu’un à installer un logiciel malveillant qui encrypte ses propres données existe depuis plusieurs années. Il ne manquait plus que son exécution. C’était principalement l’exigence de main-d’œuvre importante pour collecter l’argent qui a empêché les ransomwares de devenir LE modèle des logiciels malveillants des entreprises. Jusqu’à présent.
Mais alors, qu’est-ce que les entreprises doivent faire ?
Comblez toutes les lacunes connues de sécurité en vous assurant que vos logiciels sont mis à jour en permanence et automatiquement. Cela permettra de réduire significativement votre surface d’attaque en cas de kit d’exploitation (ensemble de logiciels principalement conçus pour faire du cyber-espionnage). Rappelez-vous que les cybercriminels attendent souvent la publication d’une mise à jour d’une société de logiciel normalement destinée à combler une vulnérabilité pour « décortiquer » le patch afin de comprendre la vulnérabilité et de l’utiliser pour cibler une attaque.
Par ailleurs, si vous utilisez Java dans votre organisation, il faut le limiter à un navigateur spécifique, que vous n’utilisez pas pour la navigation habituelle.
Il vaut mieux anticiper et contacter un expert de sécurité parmi nos partenaires et revendeurs qui seront à même de vous conseiller pour la sécurité et le stockage de vos données.
Le point sur…
Ingénierie sociale : 250 millions d’euros volés aux entreprises françaisesL’ingénierie sociale consiste pour un pirate informatique à duper des collaborateurs de l’entreprise qu’il cible afin d’en obtenir une information ou une action qui va favoriser son attaque. La société Checkpoint a mené en 2011 une étude sur ce sujet auprès de 850 professionnels de la sécurité. Il en ressort que 48 % des entreprises se déclarent comme ayant déjà été victimes d’une attaque de type ingénierie sociale. Les escroqueries dans les ordres de virement aurait déjà coûté 250 millions d’euros aux entreprises françaises, indique Jean-Marc Souvira, chef de l’Office central de la répression de la grande délinquance financière à la Police Judiciaire. Et il y a de quoi s’affoler, avec les attaques de grande ampleur découvertes par les éditeurs de sécurité. Dernière en date, celle révélée par Trend Micro, une opération complexe visant 34 établissements bancaires en Suisse, Allemagne, Suède et au Japon. « L’Opération Emmental » s’est attaquée aux services de banque en ligne en mêlant des techniques de malware, de spoofing, de phishing et de social engineering pour détourner les identifiants et mots de passe des clients. « L’Opération Emmental dénote d’un niveau d’exécution sans précédent. Les cybercriminels ont utilisé des techniques connues et les ont combinées selon une stratégie extrêmement efficace. Il s’agit d’un signal fort pour le secteur, qui prouve que les cybercriminels ont relevé la barre très haut pour mener leurs exactions à grandes échelle », souligne Loïc Guézo, Evangéliste Sécurité de l’Information pour l’Europe du Sud chez Trend Micro. Pour Michel Gérard, président de Hapsis, cabinet de conseil en sécurité de l’information, il est important que les entreprises se forment à cette menace : « L’ingénierie sociale connaît une très forte croissance dans les entreprises de toute taille. Ces dernières sont donc particulièrement vulnérables à ces nouvelles menaces et doivent pouvoir s’en prémunir efficacement. » Le cabinet a mis en place une formation opérationnelle d’un jour basé sur des exercices pratiques, des simulations et un travail sur les comportements préparatoires, « une réponse concrète aux attentes des professionnels souhaitant lutter activement contre ce nouveau fléau afin de ne pas en être victimes. »