Un ransomware s’implante dans le réseau d’entreprise et crypte toutes les données professionnelles. Une PME suisse qui a elle-même été victime d’un cheval de Troie de cryptage nous explique les conséquences, et comment elle a ensuite renforcé ses mesures de protection.
Plus rien ne fonctionnait en ce matin d’octobre 2018. Quand les collaborateurs de Züst Haustechnik ont démarré leurs ordinateurs, tous les documents sur le serveur étaient illisibles. Aucun fichier de plan ne pouvait être ouvert. Pendant la nuit, le ransomware «Gandcrab» avait crypté la totalité des fichiers. «Le seul document qui était encore lisible contenait les instructions sur la manière de transférer la rançon pour le décryptage», se rappelle Johannes Berry. Le chef de projet du bureau d’études est également responsable des petits problèmes informatiques.
Les dommages étaient d’autant plus grands que Gandcrab avait aussi crypté les sauvegardes sur le stockage réseau. «Notre entreprise était paralysée», dit Johannes Berry pour résumer la situation menaçante. En effet, l’entreprise dessine tous les plans pour les installations de chauffage, de ventilation et de sanitaire directement sur ordinateur. Sans système informatique fonctionnel, il était impossible de travailler.
Le ransomware était probablement caché dans un e-mail de phishing.
Dans cette situation et après consultation avec le partenaire informatique, la PME de 24 collaborateurs a décidé de payer la rançon. Pour environ la moitié d’un Bitcoin, ils ont acheté le logiciel de décryptage et ont ainsi pu récupérer les données. La procédure a fonctionné dans ce cas précis mais il n’y a aucune garantie que ce soit toujours le cas.
Les ransomwares sont lucratifs
Les malwares et notamment les ransomwares représentent une activité lucrative pour les cybercriminels. Le fournisseur de sécurité informatique McAfee estime qu’en 2017, la criminalité via Internet a causé des dommages d’environ 170 milliards de dollars américains rien qu’en Europe et en Russie, y compris les rançons, les arrêts d’exploitation et les coûts de réparation. Par conséquent, les malwares sont aujourd’hui programmés de manière très pointue. Dans le cas de Gandcrab, le fournisseur de sécurité informatique Bitdefender estime que le ransomware a fait 500 000 victimes rien qu’entre juillet et octobre 2018. Les pirates ont récemment annoncé que Gandcrab allait prendre sa retraite. Les victimes auraient payé environ deux milliards de dollars américains de rançon en tout juste 16 mois. Bénéfice pour les cybercriminels inconnus: plus de 200 millions de dollars américains.
Une infection par un malware commence généralement par un e-mail de phishing avec une pièce jointe infectée. Elle contient un programme de script qui tente de s’implanter dans le système via des failles de sécurité dans Adobe Acrobat, le plugin Flash ou la ligne de commande Windows (PowerShell). La façon dont le ransomware s’est implanté dans le système de Züst Haustechnik n’est plus clairement identifiable a posteriori. L’infection a probablement été causée par un e-mail de phishing. «J’avais reçu une étrange candidature spontanée de l’étranger» se souvient Johannes Berry. «C’est peut-être là que se cachait le ransomware.»
Cette activité lucrative pousse les cybercriminels à adapter en permanence leurs malwares aux nouvelles failles de sécurité afin de garder une longueur d’avance sur les mesures de protection des entreprises. Il n’existe donc pas de protection absolue contre les malwares. Cependant, un certain nombre de mesures de défense contribuent à mieux protéger l’informatique de l’entreprise contre les attaques et à réduire les dommages.
Un firewall et du bon sens contre les cybercriminels
Protégez votre réseau avec Managed Security
La solution de sécurité performante de Swisscom pour les PME avec Deep Packet Inspection, filtre Web et antivirus, protège efficacement votre réseau d’entreprise contre les cyber-menaces. Le tout à des coûts prévisibles. Le firewall est virtualisé dans le Swisscom Cloud, ce qui fournit des avantages décisifs par rapport à des solutions firewall matérielles sur site (p. ex. modularité, disponibilité élevée et performance). Swisscom surveille la solution 24h/24 et gère les mises à jour du firewall ainsi que la gestion de licence pour vous.
Entre-temps, Züst Haustechnik a amélioré son système et renforcé les mesures de sécurité. «Nous faisons maintenant une sauvegarde des données dans le cloud», dit Johannes Berry. «Cela nous donne la sécurité de pouvoir restaurer les données en cas de nouvelle infection.» En outre, un firewall avec Deep Packet Inspection (DPI, voir encadré) analyse le contenu du trafic réseau et peut ainsi bloquer les activités suspectes.
Ces mesures étendues sont nécessaires. En effet, Johannes Berry sait bien que le paiement de la rançon a rendu l’entreprise plus attrayante pour les cybercriminels et qu’il existe un risque de nouvelle attaque.
Toutefois, la PME n’a pas seulement agi sur le plan technique. Les collaborateurs ont également été sensibilisés aux dangers et prêtent beaucoup plus d’attention aux documents qu’ils ouvrent. «Il est arrivé à quelques reprises que quelqu’un vienne me voir et me demande s’il pouvait ouvrir cette pièce jointe», dit Johannes Berry pour expliquer les effets de la sensibilisation. Il sait aussi qu’il n’existe pas de protection à 100% contre les ransomwares. Néanmoins, son entreprise n’a subi aucune nouvelle attaque à ce jour.
Quand un firewall protège-t-il des ransomwares?
Un firewall ne protège pas automatiquement contre les malwares et les ransomwares. Cela dépend de son mode de fonctionnement:
- Beaucoup de firewalls simples (cela comprend aussi le firewall logiciel de Windows 10) contrôlent uniquement le trafic, c’est-à-dire l’adresse de l’expéditeur et du destinataire. Ces filtres de paquets peuvent par exemple éviter qu’un assaillant n’accède aux ordinateurs du réseau d’entreprise depuis l’extérieur. Un firewall de ce type ne détecte toutefois pas le contenu du trafic réseau. Les e-mails contenant des pièces jointes infectées ne sont donc pas détectés, par exemple.
- Afin de détecter le contenu, le firewall doit maîtriser le Deep Packet Inspection (DPI). Grâce à une solution antivirus, le contenu peut maintenant être analysé à la recherche de malwares, ce qui permet dans certains cas de détecter des ransomwares tels que Grandcrab.
- Comme la majorité du trafic réseau est aujourd’hui crypté, le firewall DPI doit se mêler à la connexion et décrypter le trafic. Cela implique que les terminaux (ordinateurs et smartphones de l’entreprise) soient configurés en conséquence. Cela coûte cher et crée suffisamment de libertés pour des exceptions où même un firewall DPI ne peut pas analyser le trafic réseau.
- Les blacklists (ou listes noires) sur lesquelles sont inscrites les adresses connues des cybercriminels créent une certaine protection supplémentaire. Un filtre de paquets peut bloquer le trafic avec une telle adresse et empêcher ainsi qu’un malware «téléphone chez lui» et soit activé, par exemple pour des cyberattaques. L’efficacité de ces listes dépend toutefois de leur actualité et de leur exhaustivité.