Philippe Fourcin,
Responsable Avant-Vente chez F-Secure
Depuis des mois, les crypto-ransomware font la une des médias spécialisés en informatique. Ces malware sévissent partout : ils chiffrent les fichiers de la victime et exigent le paiement d’une rançon pour leur déchiffrement. Ils diffèrent donc substantiellement des tout premiers ransomware et scareware. Il y a encore quelques années, certains ransomware bloquaient votre ordinateur et affichait un faux message de la police, vous accusant d’activité illégale sur le web. Ils exigeaient alors le paiement d’une « amende » pour débloquer la machine. Les scareware, eux, faisaient croire à la présence d’un virus sur la machine, afin de faire payer à la victime un faux antivirus.
Aussi convaincants soient-ils, ces malware n’ont pas fait long feu. Les internautes ont compris leur fonctionnement et ont tout simplement arrêté de payer. Si l’ordinateur était bloqué, supprimer le programme malveillant suffisait.
Les crypto-ransomware sont plus évolués. Ils ne capitalisent pas sur la tromperie : en échange de votre argent, ils vous proposent une contrepartie bien concrète, à savoir le retour de vos fichiers chiffrés.
Les ransomware empruntent leur business model aux entreprises légales. Les pirates cachés derrière les crypto-ransomware ont découvert que, tout comme une entreprise classique, ils pouvaient obtenir de meilleurs résultats avec un bon service clients. Dans cette optique, certains d’entre eux proposent même un chat d’assistance permettant d’aider les victimes à réaliser le paiement en Bitcoin.
Nous avons récemment réalisé une étude nommée « L’expérience utilisateur des victimes de ransomware ». Nous avons infecté des ordinateurs de test isolés avec cinq malware différents. Nous avons ensuite tenté de contacter les cyber criminels à l’origine de l’attaque via le contact proposé (email ou assistance en ligne).
Nos recherches ont montré que ces criminels n’étaient pas totalement bornés. Trois des quatre pirates avec qui nous avons échangé (le cinquième n’a jamais répondu) ont été enclins à revoir à la baisse la rançon demandée : en moyenne, nous avons obtenu une « remise » de 29%. Tous les quatre nous ont également accordé un délai supplémentaire pour le paiement, au-delà de la date limite fixée initialement.
« Le plus important, en termes de prévention, reste la sauvegarde des données.
Réalisez des sauvegardes, testez-les pour être certain qu’elles soient exploitables et conservez-les hors-ligne. »
Les experts en cyber sécurité le reconnaissent : il est quasiment impossible de récupérer ses fichiers sans payer cette fameuse rançon. Il s’agit même souvent de la solution la moins coûteuse et la plus efficace pour récupérer ses données. Certes, un dilemme se pose : payer ces criminels revient à les encourager… mais bien souvent, reprendre son activité au plus vite s’avère plus important que de leur faire la leçon.
Bien heureusement, il vous est possible de minimiser les risques de devenir un jour victime de ransomware. Tout d’abord, il vous faut veiller à ce que tous vos logiciels soient à jour. Les ransomware exploitent souvent les failles de sécurité de logiciels obsolètes. Patcher ses logiciels est donc la première des étapes.
Utilisez ensuite un logiciel de sécurité informatique fiable ayant une approche multi-niveaux pour, non seulement bloquer les menaces connues, mais aussi détecter de nouvelles attaques inédites. Enfin, soyez vigilants face aux spams et aux e-mails de phishing : les ransomware se cachent souvent derrière une pièce jointe ou un lien URL. Sensibilisez vos employés ou collègues sur les dernières tactiques de phishing.
La sécurisation des e-mails en entreprise nécessite un bon système de filtrage et la désactivation des scripts macros des fichiers Office reçus par e-mail. Les administrateurs peuvent également limiter l’utilisation des plugins du navigateur, limiter les contrôles d’accès au strict nécessaire pour chaque utilisateur, mettre en place un contrôle des applications afin que des programmes suspects ne puissent pas s’exécuter, dresser une « liste blanche » d’applications et gérer les données de manière à limiter les mouvements latéraux sur le réseau.
L’aspect le plus important, en termes de prévention, reste la sauvegarde des données. Réalisez des sauvegardes, testez-les pour être certain qu’elles soient exploitables et conservez-les hors-ligne pour qu’aucun ransomware ne puisse s’y attaquer.
Visitez f-secure.fr/business
et notre blog ‘Visions et Sécurité IT’ fr.business.f-secure.com