Ils s’appellent WannaCry, NotPetya, Ryuk, Sodinokibi ou Phobos, possèdent des modes opératoires différents mais ont un dénominateur commun : Ils vous chiffrent vos données en un temps record sur vos machines, les rendant inaccessibles à moins de payer une rançon !
Pas un jour ne passe sans lire dans la presse grand public les ravages de ces malwares qui ont mis à terre plusieurs entreprises, de la PME à la multinationale en passant par des institutions publiques. Nul n’est désormais à l’abri de ces malwares qui progressent à une vitesse fulgurante étant donné la facilité de leur mise en œuvre. Certains ransomwares ne requiert plus de connaissances techniques et peuvent être commandés à la carte ou “as a service”. Cette technique de piratage n’est pas nouvelle mais connait un très bon succès et un très bon retour sur investissement. Oui certains (beaucoup) payent la rançon !
Alors même que les entreprises commencent tout juste à se mettre en ordre de marche pour contrer ce genre de fléau, que peut faire le grand public ?
Le meilleur remède reste la préparation.
Je vous expose dans cet articles quelques conseils pratiques, non exhaustifs, pour agrémenter votre hygiène informatique pour diminuer vos risques de vous faire piéger.
Mails
Le premier vecteur d’entrée le plus commun d’un ransomware reste par les mails. Ces derniers sont souvent des messages d’hameçonnage (phishing) vous incitant à cliquer sur un lien pour régulariser une situation d’impayé par exemple ou pour vous donner plus d’information sur le contenu du message. Ces mails sont de mieux en mieux écrits et usurpent souvent des entreprises emblématiques comme EDF, Darty, la FNAC, votre banque, votre centre d’impôts etc.
L’utilisateur est incité à cliquer sur une pièce jointe piégée ou un lien piégé qui renverra l’utilisateur vers un site contrôlé par l’attaquant et téléchargera une charge malveillante à votre insu. Le premier malware est un cheval de troie qui une fois installé servira de porte d’entrée vers les serveurs de commandes et de contrôle (C2C : Command & Control) du pirate. Une fois l’application piégée installée à votre insu, le pirate pourra téléverser le ransomware et l’activer quand il le souhaitera.
La vigilance est de mise dans le traitement de vos mails. Si vous utilisez une messagerie en mode SaaS (Gmail, Yahoo, etc.) il y a de fortes chances qu’une partie de ces mails incongrus soient classés par les algorithmes de ces services dans le volet “Spam”, ce qui est une bonne chose. Mais les algorithmes sont imparfaits et atteignent des limites dans certaines langues, il est donc plus qu’important de traiter tout mail que vous recevez avec une once de vigilance.
Repérez les fautes d’orthographe, regardez le code source du mail (Voilà comment le faire sur Gmail). Si le mail contient des liens à cliquer, survoler les avec votre souris afin d’en déterminer la destination.
Une hygiène supplémentaire est requise si vous utilisez des logiciels comme Outlook ou Thunderbird pour consulter vos mails. Il est plus qu’important d’investir dans ce cas dans un logiciel d’antivirus antimalwares et de détection de comportement (EDR : Endpoint Detection and Response) qui sera votre compagnon sécurité. Les antivirus et antimalwares détectent toutes les signatures connues de binaires piégés qui pourraient être embarqués dans une macro Word ou Excel ou d’un PDF. Ces solutions sont désormais complétées par les EDR qui détectent pour leur part des comportements anormaux de certains processus de votre ordinateur, par exemple : démarrage d’un processus par un autre qui n’a pas lieu d’être.
Tout message peut être forgé de toute pièce. Les outils pour le faire sont accessibles du plus grand nombre dans des distributions Linux utilisés par les professionnels des tests d’intrusion voire accessibles sur des plateformes sur Internet qui vous bombardent de pubs et de cookies (et d’autres choses malveillantes au passage).
Traitez donc avec vigilance tout ce que vous recevez notamment de personnes que vous connaissez. N’hésitez pas à appeler la personne qui vous a envoyé un mail qui vous semble louche pour confirmer avec elle de la légitimité d’un envoi.
Une vigilance sera accordée pour les mails consultés depuis vos téléphones mobiles. Il est impossible de regarder l’URL réelle de redirection d’un message. La sécurité des téléphones sous Android a démontré quelques faiblesses et il est préférable de limiter le risque en consultant ce message sur votre ordinateur pour une analyse poussée ou de le supprimer directement.
Vous l’aurez compris, le mot d’ordre est simple : En cas de doute … Supprimer le message !
Les ordinateurs insuffisamment protégés
Tous les systèmes d’exploitation sont vulnérables à une ou plusieurs failles dans leur code. Nul n’est protégé. Les ordinateurs sous Linux et MacOS possèdent des gardes-fou et leur conception rend un peu plus complexe la mise en place d’une attaque. Au delà de ces fonctionnalités techniques, ces systèmes restent minoritaires face au système d’exploitation Windows. Ainsi la majorité des systèmes d’exploitation utilisés de nos jours tournent sur une version de Microsoft Windows (Windows XP (oui il y en a encore), Windows 7, 10, Server 2008, Server 2012R2, 2016, 2019, etc.). Les attaquants cherchent à maximiser leurs gains comme tout bon business•man•woman et cibleront de ce fait ces systèmes d’exploitation les plus répandus.
Voici les bonnes pratiques à mettre en œuvre pour une meilleur hygiène numérique avec votre Windows préféré :
Principe du moindre privilège
L’utilisateur par défaut sur vos machines possède les droits “administrateur” et donc le plein pouvoir pour installer, supprimer et modifier des fichiers. L’attaquant qui réussit à avoir le contrôle de votre machine héritera de ces droits lui permettant d’exécuter son code malveillant sans effort sur votre machine.
Le compte administrateur ne doit être utilisé que pour installer ou supprimer des logiciels et mettre à jour votre machine. Vous n’aurez besoin au quotidien que d’un compte utilisateur avec des droits “standards” pour accomplir toutes vos taches numériques. Dès que vous aurez besoin d’installer un logiciel, Windows vous affichera une fenêtre vous demandant une élévation de privilèges. Vous n’aurez alors qu’à valider ce choix en mettant le mot de passe adéquat. Et dans le cas où un logiciel malveillant souhaiterait s’installer à votre insu, ce même message apparaitra et vous alertera d’un potentiel problème. Il vous suffira de regarder les détails affichés pour déterminer le caractère de cette demande : légitime ou malveillante.
- Paramétrez votre compte administrateur avec un mot de passe fort (15 caractères mélangeant des chiffres, des lettres et des caractères spéciaux). Ce mot de passe doit vous être familier afin que vous vous en rappeliez. Ne l’égarez pas et ne l’inscrivez pas sur un post-it au vu de tout le monde.
- Pour les plus téméraires, créez un compte utilisateur avec un nom différent de “admin”, “administrator”, “administrateur” et accordez lui les privilèges administrateur. Désactivez enfin le compte “Administrateur” par défaut ou supprimer le. Attention à l’ordre pour éviter de vous bloquer l’accès.
- Enfin, créez un compte utilisateur standard sans privilèges qui sera le compte que vous utiliserez au quotidien. Le paramétrage d’un mot de passe fort est également recommandé.
Mises à jour
L’éditeur Microsoft est assez actif dans la découverte et la mise à disposition de correctifs pour remédier aux failles de ses logiciels (Microsoft Windows et toute la suite Office 365). Il en va de leur image de marque et de la confiance que leur accordent les utilisateurs. L’éditeur publie tous les mardis des patchs permettant de corriger des bugs ou des failles de sécurité. Ce sont les fameux “Patch Tuesday”. Mettez donc à jour vos ordinateurs d’une façon automatique afin de bénéficier de ses correctifs et diminuer la surface d’attaque sur vos machines. Une faille corrigée et appliquée sur votre machine, c’est un vecteur d’entrée en moins pour un attaquant.
N.B : Il est important de privilégier tous les logiciels issus d’éditeurs de confiance et téléchargés de sources de confiance également. Les logiciels piratés peuvent comporter des portes dérobées compilés dans le code pour les débloquer et vous expose ainsi à plus de problèmes : enregistrement des touches de votre clavier, exfiltration de données, etc.
Désactivez tout ce qui ne sert pas
Enfin, désactivez les services dont vous n’avez pas usage et supprimez les logiciels qui ne vous servent pas. L’objectif est de diminuer les chances qu’un attaquant utilise un service oublié sur votre machine comme porte d’entrée. Ceci est vrai pour le service de bureau à distance de Windows, porte d’entrée préférée des ransomwares “Sodinokibi”.
Le service RDP (Remote Desktop Protocol) peut être désactivé en naviguant dans Démarrer > Paramètres > Système > Bureau à Distance, puis désactivez.
Antivirus, antimalware et EDR
Comme évoqué dans la section sur les mails, ces logiciels sont vos compagnons tranquillité. Ils permettent de garder un œil sur les fichiers siégeant sur votre ordinateur et les fichiers que vous échangez et que vous recevez notamment.
Un antivirus, antimalware fonctionne à base de reconnaissance de signatures et reconnaitra une charge piégée si cette dernière est connue dans sa base de données. Cette dernière est mise régulièrement à jour par l’éditeur. La fonction EDR embarquée depuis peu dans ces solutions permet de superviser le comportement de l’ordinateur et alertera en cas de comportement anormal par exemple : Explorer.exe qui essaye de lancer une fenêtre de ligne de commande (cmd.exe) d’une façon silencieuse ou une élévation de privilège d’un logiciel qui n’est pas sensé le faire.
Le choix de l’éditeur reposera sur les capacités réactives de ces derniers face aux menaces. Tous les éditeurs du marché possèdent des centres de renseignements sur les menaces (Threat Intelligence) et publient des articles démontrant de leurs capacités.
Sauvegardes
Toute bonne préparation requiert une bonne sauvegarde. Que vous choisissiez des supports amovibles (clés USB, disque dur externe USB, NAS, etc.) ou des solutions dans le nuage (Google Drive, iCloud, DropBox, Box, etc.), l’essentiel est de S•A•U•V•E•G•A•R•D•E•R. Car ça n’arrive pas qu’aux autres !
Les disques durs sont des éléments fragiles et peuvent tomber en panne en emportant avec eux tous vos précieux documents. Les ransomwares ont des effets dévastateurs sur vos fichiers qui se retrouvent intégralement chiffrés avec une clé des plus robustes aujourd’hui. Votre marge de manœuvre si vous n’avez aucune sauvegarde se retrouve amoindrie voire inexistante.
Privilégiez une hygiène de sauvegarde avec des sauvegardes mensuelles, hebdomadaires ou quotidiennes, selon la criticité des fichiers que vous manipulez. Il existe des logiciels qui permettent d’automatiser ces taches pour vous. Ils effectuent une grosse première sauvegarde qui sera incrémentale à la suite selon les fichiers modifiés. Si vous utilisez un NAS (Disques en réseau) pour cette opération, veillez à ce que ce disque ne soit pas constamment attaché à votre ordinateur. Allumez le uniquement pour effectuer des sauvegardes et éteignez le une fois la sauvegarde terminée. Vos sauvegardes seront ainsi “déconnectées”. Dans le cas où un ransomware sévirait sur votre machine il n’affectera pas les disques en réseau et donc votre sauvegarde.
Conclusion
Tout est une question de préparation.
Cet article se veut volontairement concis et pratique avec quelques bonnes pratiques à mettre en place rapidement.
En cas d’attaque réussie sur vos machines par le biais d’un ransomware, il est rare de pouvoir retrouver ses fichiers initiaux sauf si vous avez une sauvegarde. Le paiement de la rançon ne fournit aucune garantie de la réception d’une clé de déchiffrement. Il faut partir du principe que tout est perdu et qu’il va falloir repartir de zéro. Certains ransomwares sont persistants et le formatage du disque ne suffit pas à les éradiquer. Considérez votre machine comme compromise et à mettre au rebus.
Restez vigilants.
Comments are closed