Pascal Le Digol, Country Manager, WatchGuard France
Nous entendons parler de ransomware depuis quelques années mais en réalité cette menace existe depuis fort longtemps. Les outils ont techniquement beaucoup évolué, le concept reste quant à lui le même : bloquer les outils numériques et demander une rançon. Dans les années 1980, Bootloader a été l’un des premiers virus de type ransomware. Il verrouillait des ordinateurs et sommait ses victimes de payer une rançon. En revanche, à l’époque, la rançon devait être payée en espèces et par courrier postal !
Plus près de nous, la montée en puissance en 2013 deCryptoLocker (un ransomware de type « shotgun », diffusé très largement sans ciblage particulier) a laissé place aux ransomwares pratiquant la chasse au « gros gibier » et au modèle économique « Ransomware-as-a-Service ». Ce faisant, le coût et l’impact des attaques de ransomwares ont explosé.
De fait, selon des rapports récents, les attaques de ransomware ont augmenté de 93 % au premier semestre 2021 (par rapport au premier semestre 2020 – source Check Point Software).
Les cybercriminels d’aujourd’hui s’introduisent dans les réseaux, consacrent du temps à dénombrer et repérer leurs victimes, puis positionnent des ransomwares sur un maximum d’appareils, en veillant à ce qu’ils s’exécutent et chiffrent les données en même temps.
Les conséquences peuvent être coûteuses et dévastatrices, comme l’a montré la cyberattaque qui a mis à mal Colonial Pipeline.
Les cybercriminels ont également délaissé les traditionnelles attaques d’extorsion simple (celles qui se limitent à chiffrer les fichiers et à exiger une contrepartie) au profit d’attaques de double voire triple extorsion. Une attaque de double extorsion ne se contente pas de chiffrer les données ; elle vole ces données et les conserve jusqu’au paiement d’une rançon (en menaçant de les exposer publiquement).
Dans une attaque de triple extorsion, les cybercriminels dérobent en outre les données des partenaires et des clients ou exécutent une attaque DDoS contre les services pour amplifier la pression sur leur victime.
Un niveau de compréhension inégal selon la taille de l’entreprise
De nombreuses entreprises de taille moyenne qui se démènent pour lutter contre la menace des malwares peinent à comprendre les différentes couches de sécurité requises pour mettre en place une défense redoutable. Bien que l’email reste un vecteur de menace courant, les voies empruntées par les attaques de ransomware peuvent considérablement varier.
Dans l’optique de surmonter ces défis, explorons les éléments nécessaires pour combler les lacunes de sécurité auxquelles de nombreuses organisations sont confrontées face aux ransomwares.
La première étape est simple : l’application de correctifs. La mise à jour des logiciels d’entreprise, en particulier sur toute ressource accessible au public comme les applications Web ou les serveurs Web, est vitale. Les failles de ces logiciels permettent souvent à un cybercriminel d’introduire des malwares dans une entreprise sans aucune interaction utilisateur. Le plus souvent, les cybercriminels exploitent simplement d’anciennes vulnérabilités (les vulnérabilités Zero Day sont relativement rares), pour lesquelles un correctif a pu être appliqué longtemps auparavant. Pour les administrateurs informatiques qui gèrent une organisation hybride avec des exigences de disponibilité, l’application de correctifs peut relever du défi.
Viennent ensuite les pratiques d’utilisation de mots de passe forts. Il existe un vieil adage en matière de cybersécurité : « les attaquants n’entrent pas par effraction, ils se connectent ». Et c’est vrai. La plupart du temps, un cybercriminel utilise des identifiants dérobés ou exposés obtenus à partir d’un simple email de phishing ou trouvés sur le Dark Web. Le cybercriminel obtient ainsi un accès de base à l’entreprise, qui lui suffit presque toujours pour s’élever au niveau administrateur de domaine, en utilisant d’autres outils et astuces. Les pratiques imposant des mots de passe forts obligent à utiliser des mots de passe longs et aléatoires (au moins 14 caractères, de préférence plus) ou une phrase secrète longue. Étant donné que la plupart des gens ont une quantité phénoménale de mots de passe à retenir, la meilleure approche consiste à utiliser un gestionnaire de mots de passe, grâce auquel un individu crée un mot de passe ou une phrase complexe lui permettant d’accéder à tous les autres. Avec un gestionnaire de mots de passe, il devient possible d’utiliser des mots de passe aléatoires de 32 caractères, puisqu’il n’est plus nécessaire de tous les retenir individuellement.
Les mots de passe nous amènent à l’étape suivante, qui est l’authentification multifacteur (MFA). Il s’agit en effet de l’unique façon de valider fortement l’identité de confiance des utilisateurs. Un mot de passe ne constitue qu’un seul facteur ou type de jeton ; les utilisateurs peuvent également avoir une donnée biométrique ou un certificat en guise de facteur. Il faut bien comprendre que le fait de remplacer un facteur par un autre ne présente pas un grand intérêt. La biométrie a elle aussi été déjouée et copiée. Les certificats numériques peuvent être volés. C’est pourquoi tout individu tentant d’accéder à un réseau d’entreprise devrait être tenu de fournir au moins deux de ces facteurs pour prouver qu’il est bien celui qu’il prétend être. Avec l’authentification multifacteur, un des deux facteurs peut être ébranlé sans permettre pour autant un accès non autorisé.
La sauvegarde est tout aussi essentielle pour se protéger contre les ransomwares. Si une entreprise est en mesure de récupérer des fichiers qui ont été chiffrés à partir d’une sauvegarde, elle élimine la menace d’une attaque de ransomware par extorsion simple. (C’est aussi tout simplement une bonne pratique pour la reprise après une attaque). Mais des nuances existent cependant quant à la manière d’effectuer la sauvegarde dans le cadre d’une stratégie de défense contre les ransomwares. Les cybercriminels ciblent souvent les services de sauvegarde et les désactivent avant une attaque. Par conséquent, il convient de pratiquer ce que l’on appelle la sauvegarde 3-2-2, qui consiste essentiellement à sauvegarder plusieurs copies sur plusieurs services, avec également plusieurs copies hors ligne.
La prévention avancée des malwares est également nécessaire pour se protéger contre les ransomwares. Au cours des dernières décennies, la détection et la prévention des malwares ont principalement reposé sur les signatures – ou sur des schémas et des fichiers spécifiques. Cette approche est réactive. Lorsqu’un cybercriminel publie un nouveau malware quel qu’il soit (un ransomware, par exemple), un outil de recherche de sécurité humain ou automatisé doit d’abord trouver le fichier et déterminer qu’il est malveillant avant de pouvoir repérer un schéma unique pour identifier ce fichier. Une fois cette opération effectuée, il devient possible d’écrire une règle pour détecter et identifier ce fichier à l’avenir, mais il n’existe aucune signature tant que ce nouveau fichier à analyser n’a pas été trouvé. Malheureusement, les malwares d’aujourd’hui ont développé d’incroyables facultés de dissimulation et de polymorphisme (WannaCry, par exemple, peut avoir des milliers de versions).
D’après nos dernières études, près de 75 % des malwares échappent à la détection basée sur les signatures. Une protection plus avancée est nécessaire pour arrêter les ransomwares. La détection avancée des malwares utilise des algorithmes d’apprentissage automatique et la détection de comportement pour arrêter les malwares Zero Day.
L’étape suivante consiste à utiliser la sécurité de détection et de réponse aux menaces sur les endpoints (EDR). Les nouvelles attaques de type hors sol (ou LotL pour« Living-off-the-Land ») utilisent des parties légitimes d’un système d’exploitation (dans Windows PowerShell, par exemple) pour ouvrir un accès aux cybercriminels et leur permettre de lancer directement des malwares, souvent en les injectant dans la mémoire d’un processus légitime.
On parle de technique hors sol, car on ne constate pas nécessairement la présence d’un fichier malveillant sur un ordinateur. Ce sont des outils légitimes qui sont utilisés de manière malveillante et certains des processus s’exécutant sur un ordinateur sont détournés. La détection de ce type d’attaque nécessite de surveiller la mémoire et les processus en cours d’exécution et de rechercher certains éléments tels que l’injection de DLL ou de processus. Les solutions EDR examinent les activités post-exécution et les anomalies pour identifier et contrer les attaques.
Les derniers moyens d’action peuvent sembler évidents, mais le phishing et le spear phishing étant des vecteurs courants de ransomware, l’importance de la formation ne saurait être sous-estimée. Il est essentiel que les entreprises s’assurent que chaque utilisateur maîtrise les fondamentaux de la sécurité liée au courrier électronique, et en particulier qu’il comprenne le spear phishing. Les entreprises devraient également envisager d’adopter un paradigme de sécurité Zero Trust.
Il s’agit essentiellement d’appliquer pour les accès un principe de sécurité commun appelé principe du moindre privilège, tout le temps, partout. Historiquement, les entreprises avaient des réseaux sécurisés vis-à-vis de l’extérieur (sécurité périmétrique forte) mais très peu sécurisés à l’intérieur. Avec la montée en force du télétravail, la confiance doit être réévaluée. Toute personne, même si elle se trouve déjà sur le réseau de confiance, doit être soumise à des restrictions d’accès (et cet accès être surveillé). Un comptable ne devrait pas avoir accès à une base de données d’ingénierie, par exemple.
La cybersécurité n’est malheureusement pas simple et devient chaque jour plus complexe. L’ancien mantra de la défense en profondeur s’applique clairement aujourd’hui en matière de protection contre les ransomwares et de sécurité multicouche. Aucune solution unique ne peut faire barrage à elle seule. Heureusement, il existe une consolidation autour des solutions technologiques (périmètre réseau, authentification multifacteur et endpoints) qui offre aux professionnels de l’informatique des solutions centralisées pour lutter contre les ransomwares.
