La récente cyberattaque WannaCry questionne à nouveau le niveau de sécurité informatique au sein des entreprises et des administrations à l’échelle internationale.
Retour sur cette attaque d’ampleur mondiale et sur les enjeux de la cybersécurité.
Wannacry, une des plus puissantes attaques ransomware
Lancée le 12 mai 2017, une vaste cyberattaque mondiale d’une ampleur inégalée a fait plus de 200.000 victimes dans plus de 250 pays, avec un bilan loin d’être définitif. Mais déjà il est avéré que le virus ransomware dénommé WannaCry (également appelé WannaCrypt ou WannaCryptOr) a paralysé de nombreuses administrations et entreprises en exploitant une faille de sécurité du système d’exploitation Windows.
Cette cyberattaque a notamment visé l’entreprise Renault, qui à été forcée de mettre à l’arrêt plusieurs sites de production afin d’éviter la propagation du virus. Ce programme informatique malveillant à également atteint les hôpitaux britanniques, FedEx, la compagnie ferroviaire allemande, ainsi que des dizaines d’autres sociétés.
Le Financial Times estimait ce we à plus de 1,3 millions le nombre d’ordinateurs vulnérables à cette attaque. La menace continue de s’amplifier en ce début de semaine avec le retour des collaborateurs à leur bureaux, notamment en Asie, qui pourraient tomber sur des emails d’hameçonnage (phishing) qui ne feront que propager davantage ce virus.
Le directeur de l’Agence nationale de la sécurité des systèmes d’information (Anssi), Guillaume Poupard, annonçait lundi matin qu’il fallait « s’attendre dans les jours ou les semaines à venir à avoir des répliques régulières, c’est l’expérience que l’on a sur ce genre d’attaques » (source : La Tribune, 15 mai 2017).
Cette faille était connue de Microsoft, qui avait mis à disposition un patch pour y pallier depuis mars 2017 (sauf sur Windows XP, dont il avait arrêté d’assurer le support technique). Néanmoins, Microsoft a diffusé en urgence samedi un patch de mise à jour pour Windows XP. Enfin, que les utilisateurs de Windows 10 se rassurent : ce nouveau système d’exploitation ne semble pas être vulnérable à cette attaque.
[Décryptage technique]
Le Ransomware ou Rançongiciel, le grand classique de la cyberattaque
Cette cyberattaque est de type ransomware (=« rançongiciel ») c’est-à-dire conçue pour extorquer de l’argent aux victimes. Ce type d’attaque utilise deux approches pour se diffuser : soit lorsque la victime ouvre une pièce jointe infectée (comme un document Word ou un fichier PDF reçu par email), soit lorsque la machine infectée figure dans un réseau local.
Une fois installé sur un appareil, le logiciel malveillant chiffre le contenu (dossiers, fichiers…) et demande à l’utilisateur une somme d’argent en échange du déchiffrement. Le logiciel malveillant analyse aussi l’infrastructure réseau à partir du poste sur lequel il se trouve pour se transmettre aux autres machines …
Comment les entreprises / collectivités doivent réagir face à une cyberattaque de type ransomware ?
Evidemment, il est déconseillé de payer la rançon : d’une part parce que cela ne donne aucune garantie d’obtenir la clé de déchiffrement, et d’autre part car cela ne ferait qu’encourager la cybercriminalité.
La bonne réaction consiste à appliquer le plus tôt possible les mises à jour de sécurité (afin de stopper la propagation du virus), mettre à jour l’antivirus et installer un outil permettant de déchiffrer ces « ransomwares » (il existe de nombreux outils gratuits déjà disponibles sur le marché).
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) recommande de manière préventive de mettre à jour le serveur, de l’isoler en le déconnectant du réseau, voire de l’éteindre le temps d’appliquer les mesures nécessaires. Il est aussi fortement conseillé de faire des sauvegardes sur plusieurs supports (dont des supports physiques) pour avoir des doubles sains en cas d’infection des postes et des données associées.
« No more Ransom ! »
Dans un communiqué de presse du 13 mai 2017, Europol indiquait que son centre européen de cybercrime (EC3) « travaillait en étroite collaboration avec les unités de lutte contre la cybercriminalité des pays touchés et les principaux partenaires de l’industrie pour atténuer la menace et venir en aide aux victimes ». Une plateforme nommée No more Ransom va être publiée pour apporter une réponse face aux rançongiciels, avec notamment un outil de déchiffrement. Elle permettra de favoriser la coopération entre les forces de l’ordre et les fournisseurs de logiciels antivirus.
Prenons un peu de hauteur, sans se faire peur
Le ransomware est seulement l’un des nombreux types d’attaques informatiques existantes ; en effet, il existe pléthore d’attaques. Issu de l’étude Cybercriminalité publiées par le cabinet Deloitte en 2016, le schéma ci-dessous présente la longue cohorte des menaces qui empêchent les responsables IT de dormir. Rootkit / backdoor, faille hardware, zero-day, ransomware, hacking, xss, SQLi, phishing… ces menaces forment un immense iceberg dont on peine à évaluer la taille…
Comment les entreprises peuvent-elles se protéger des cyberattaques ?
Il est important de savoir que les cyberattaques reposent sur le social engineering : elles utilisent principalement les « failles humaines » d’un système d’information comme levier pour franchir les barrières de sécurité et pénétrer les systèmes informatiques. Ainsi, la prévention des collaborateurs est la meilleure protection.
Dans son Baromètre cybersécurité de janvier 2017, le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) précisait le type d’attaques subies par des grands groupes français :
Pour aider les entreprises ou les collectivités à se protéger des cyberattaques, l’Agence nationale de la sécurité et des systèmes d’informations (ANSSI) a édicté quelques règles très simples et efficaces lorsqu’elles sont appliquées par l’ensemble des collaborateurs :
- Choisir avec soin ses mots de passe
- Mettre à jour régulièrement vos logiciels
- Bien connaître ses utilisateurs et ses prestataires
- Effectuer des sauvegardes régulières
- Sécuriser l’accès Wi-Fi de votre entreprise
- Être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur
- Protéger ses données lors de ses déplacements
- Être prudent lors de l’utilisation de sa messagerie et des courriels douteux
- Télécharger ses programmes sur les sites officiels des éditeurs
- Être vigilant lors d’un paiement sur Internet
- Séparer les usages personnels des usages professionnels
- Prendre soin de ses informations personnelles, professionnelles et de son identité numérique
Qu’il s’agisse d’un hôpital ou d’une usine de production, chacun voit bien l’importance des enjeux liés à la sécurité informatique, à la nécessité d’anticiper les risques et de se protéger d’attaques éventuelles. La prévention / sensibilisation de tous les collaborateurs et la formation des équipes IT sont autant d’actions à mettre en oeuvre pour sécuriser les parcs informatiques, les systèmes d’information et les données et se prémunir des cyberattaques.
Formez vos équipes à la Sécurité informatique
En tant qu’employeur, vous avez à coeur de sensibiliser et de former vos équipes, pour que les comportements évoluent, et pour ne pas être désemparés face aux risques liés à la sécurité informatique.
Depuis 2012, Alphorm propose aux entreprises des solutions de formation pour les équipes informatiques, axées sur l’acquisition de connaissance et le développent de savoir-faire professionnels. Nous avons notamment construit une cursus complet de formations en Sécurité informatique, permettant de former les Débutants comme les Experts.
Sans oublier de toujours séparer les sauvegardes du réseau principale, ne pas laisser des comptes admin trainé partout