Selon une étude récente conduite par Google, les ransomwares ont rapporté plus de 25 millions de dollars aux cybercriminels ces deux dernières années.
Rien qu'en 2017, les ransomwares WannaCry et NotPetya se sont succédés en mai et juin et ont bloqué des centaines d'entreprises dans le monde, tous secteurs confondus. De nombreux experts s'accordent pour dire que d'autres sont à prévoir ; parmi eux, Locky, ransomware star de l'année 2016, ferait son retour avec deux nouvelles variantes. Les entreprises doivent donc rapidement prendre les devants pour ne pas être touchées par une attaque.
Une protection efficace contre les ransomwares passe par une compréhension claire de leur fonctionnement. Comme l'écrit Sun Tzu dans « L'art de la Guerre », il faut connaître son ennemi pour mieux le combattre.
Etymologiquement, le terme ransomware est la contraction en anglais de ransom, rançon, et de software, logiciel. C'est pourquoi il est aussi appelé en français "rançongiciel" : un logiciel malveillant qui bloque, par le biais d'un système de chiffrement, l'accès d'un utilisateur à ses fichiers jusqu'au versement d'une rançon. Il peut aussi verrouiller l'ensemble de l'appareil, rendant impossible toute utilisation, même basique, telle que l'arrêt ou le redémarrage du terminal. Un ransomware correctement conçu recoure à un algorithme de chiffrement asymétrique créant deux clés, une publique et une privée : les données sont chiffrées avec la clé publique et ne peuvent être débloquées qu'avec la clé privée correspondante.
Le cyber-attaquant vise généralement les informations personnelles, ou les données précieuses d'une entreprise, pour inciter la victime à payer la rançon en bitcoins, afin d'empêcher toute traçabilité. Elle reçoit alors des instructions lui indiquant la marche à suivre pour la payer et débloquer ses fichiers. Les montants demandés varient suivant la quantité de données chiffrées ainsi que leurs valeurs. Dans le cas de l'attaque WannaCry, les victimes étaient invitées à payer entre 300 et 600 dollars pour débloquer leurs fichiers. Une somme qui, associée à des coûts annexes tels que l'interruption de l'activité par exemple, peut rapidement se multiplier. Les organisations finissent donc la plupart du temps par payer les rançons, sans pour autant avoir la garantie de récupérer leurs données. C'est pourquoi elles doivent impérativement anticiper ces attaques et s'en prémunir. Et pour ce faire, elles doivent se connaître parfaitement.
Pour Sun Tzu, "si vous connaissez vos ennemis et que vous vous connaissez vous-même, mille batailles ne pourront venir à bout de vous. Si vous ne connaissez pas vos ennemis mais que vous vous connaissez vous-même, vous en perdrez une sur deux. Si vous ne connaissez ni votre ennemi ni vous-même, chacune sera un grand danger." Transposé à la cyberguerre, et face au niveau de sophistication des attaques actuelles, il ne suffit pas de savoir ce qu'est un ransomware et son fonctionnement pour être à l'abri ; les outils de cyberprotection classiques ne sont hélas pas suffisants non plus. Les entreprises ont tout d'abord besoin de connaître parfaitement leur environnement et ce qu'elles doivent protéger.
Aujourd'hui, les cybercriminels n'utilisent plus nécessairement de droits administrateurs pour compromettre une machine et son endpoint. Ennemis patients, ils s'introduisent insidieusement dans les systèmes via des techniques de phishing par exemple, et attendent, tapis dans les zones d'ombres du réseau, le moment adéquat pour dérober les informations clés. Ainsi, pour contrer les ransomwares avec succès, les entreprises doivent allier la révocation des droits administrateurs locaux inutiles et la gestion des droits d'accès via la mise en œuvre d'un principe de moindres privilèges, à un contrôle et une gestion fins des applications, notamment avec la mise en place de greylisting.
Pour reprendre le parallèle avec l'art de la guerre, plus les entreprises anticipent les attaques et s'y préparent, plus leurs chances de les éviter, ou de les contrer, seront renforcées. Le ransomware n'a rien de nouveau, c'est la capacité des pirates informatiques à renouveler constamment leurs techniques qui fait la différence. Aux organisations et aux spécialistes de la sécurité de s'adapter et d'en faire autant !