Les ransomwares constituent une forme de piratage unique qui laisse les données intactes, mais perturbe néanmoins les entreprises du monde entier.
Ce logiciel malveillant spécial chiffre les fichiers des ordinateurs, les partages de fichiers réseau et même les bases de données, empêchant ainsi leur accès par les utilisateurs. Pour libérer les fichiers, la victime doit payer une rançon aux cybervoleurs. C’est complètement diabolique. On pourrait penser qu’avec une activité criminelle aussi scandaleuse, des lois appropriées sur la sécurité des données ont été mises en place. Il y en a.
Notions fondamentales des ransomwares
Les lois européennes, à savoir l’actuelle Directive de Protection des données (DPD) et le nouveau Règlement général sur la protection des données (GDPR), ont ou auront une incidence sur les entreprises en ce qui concerne la conformité et les rapports. Mais avant de les aborder, faisons le point sur l’épidémie des ransomwares. La recrudescence considérable des incidents de ransomware constitue une tendance alarmante. Bien qu’elles soient perçues comme gênantes, beaucoup ne considèrent pas ces attaques comme des incidents de sécurité sérieux. Elles s’avèrent efficaces et donc lucratives pour les cybercriminels. Le FBI américain signale que ce marché pourrait atteindre 1 milliard de dollars « très prochainement ». Le département de la Sécurité intérieure indique aussi que les infections par ransomware ont atteint un pic mondial en 2016. Le chercheur en sécurité Kevin Beaumont a récemment fait remarquer que Locky, la variante la plus répandue, infectait les périphériques à raison de 4 000 par heure.
Il existe de nombreuses variantes de ransomware, mais elles ont tendance à agir de manière similaire. Cerber est un ransomware particulièrement virulent. Microsoft confirme qu’il a provoqué plus de 200 infections de terminaux fonctionnant sous Windows 10 Enterprise entre décembre et janvier. Il se déclenche quand un utilisateur peu méfiant clique sur la pièce jointe d’un e-mail de phishing, un document Word dans le cas présent, bien que ce malware puisse prendre de nombreuses formes. Lorsque l’utilisateur ouvre le document, il exécute une macro qui lance l’attaque.
Un script PowerShell difficile à détecter récupère la charge utile du logiciel depuis le serveur Command and Control (C2) des attaquants. Ce malware (un exécutable binaire et non un script) est également paramétré pour s’exécuter automatiquement au redémarrage, ce qui le rend persistant. À ce stade, l’essentiel du travail est effectué par cet exécutable malveillant qui parcourt le système de fichiers et chiffre chaque fichier au moyen d’une clé différente.
Cerber garde une trace de toutes les clés de chiffrement en ajoutant la clé utilisée pour chiffrer chaque fichier à la fin de ce fichier. Puis il chiffre ce segment au moyen d’une clé spéciale récupérée à partir du serveur C2. Les serveurs de l’attaquant contiennent en fait la clé des clés, à savoir la clé qui permet de déverrouiller les clés de chiffrement spécifiques à chaque fichier.
Accès non autorisé, notification de violation et GDPR?
Indépendamment du paiement de la rançon, il peut encore exister des implications réglementaires du fait de la perturbation des systèmes de fichiers par ce malware. L’année prochaine, si une entreprise voit ses données chiffrées par un ransomware, elle devra signaler cette violation à l’autorité de protection des données (DPA) en vertu du nouveau GDPR qui entrera en vigueur en mai 2018.
Mais depuis 1996, les pays de l’UE sont soumis à la Directive de Protection des données (DPD) qui concerne les « données personnelles » recueillies par les entreprises auprès de leurs consommateurs. La DPD définit les données personnelles comme « toute information concernant une personne physique identifiée ou identifiable ». Cela englobe tous les identifiants traditionnels tels que le nom, l’adresse, le numéro de téléphone et les descripteurs de l’ère Internet que sont l’adresse e-mail, l’adresse IP et le nom d’utilisateur.?
La DPD servait en quelque sorte de modèle et les pays de l’UE étaient censés en « transposer » les règles pour créer leurs législations nationales. Une DPA appliquerait ensuite la loi. Au Royaume-Uni par exemple, il s’agit de l’Information Commissioners Office (ICO). Les entreprises qui détiennent des données personnelles chiffrées par un ransomware pourraient faire l’objet d’une enquête de l’ICO pour avoir manqué de prendre les « mesures appropriées » afin de garantir la sécurité de ces données à caractère personnel.
Alors que la DPD ne comporte aucune obligation de notification des violations, quelques pays européens ont ajouté cette exigence à leurs propres lois nationales. Dans le cas de l’Allemagne, par exemple, une violation nécessite l’exposition réelle des données personnelles à une tierce partie. Cela signifierait cependant qu’un ransomware chiffrant seulement les données personnelles ne devrait pas être signalé.? Mais dans l’avenir, à la différence de la DPD, le GDPR constituera une loi uniforme dans l’ensemble de l’UE et comprendra une obligation de notification des violations de 72 heures.?
La nouvelle législation clarifie la notion de violation de données. Il s’agit de « la destruction, la perte ou l’altération accidentelle ou illicite, la divulgation ou l’accès non autorisés aux données à caractère personnel transmises, stockées ou autrement traitées ». Cela signifie que le simple accès est considéré comme une violation et que les ransomware qui chiffrent les données personnelles nécessiteront une notification aux individus et DPA concernés.
Le besoin de notification repose sur le « seuil de dommage » de la législation et reste sujet à interprétation pour l’instant. Le GDPR indique qu’aucune notification n’est nécessaire si « la violation en question n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ». Et le même seuil est appliqué pour la notification des individus concernés.
Nous devrons attendre les clarifications des régulateurs de l’UE quant aux notifications de violations avant la mise en œuvre du GDPR. Les ransomware constituent une menace, mais cela ne signifie pas qu’il est impossible de les arrêter.
Limiter les dommages
Les entreprises ont besoin de se défendre contre les ransomware et de réduire les risques d’être touchées. Indépendamment des obligations de réponse, il leur faut agir comme si elles devaient notifier les clients et les autorités. Elles doivent aussi disposer de procédures qui leur permettent de réduire encore plus les accès non autorisés et de restaurer l’accès aux données.
Les ransomwares deviennent de plus en plus furtifs et les défenses de périmètre ou la surveillance ne parviennent plus à les arrêter. De nombreuses variantes de logiciels malveillants sont capables de contourner les nouveaux pare-feu, IDS, alertes SIEM de prochaine génération et même les agents de détection s’exécutant sur les postes de travail infectés.
Les entreprises ont besoin de mettre en place un système qui identifie les comportements anormaux tels que le chiffrement rapide ou l’activité non humaine malveillante afin de ne pas être victimes d’attaques de ransomware en mutation rapide.
Voici quatre recommandations pour réduire l’incidence des ransomware 😕
- Classifier les données : sachez où les données à caractère personnel sont stockées sur votre système, en particulier dans les formats non structurés constitués de documents, présentations et feuilles de calcul.
- Restreindre les accès : limitez l’accès aux données personnelles en fonction du besoin de savoir ou au moyen de contrôles d’accès basés sur les rôles. L’objectif est de compliquer l’accès aux données importantes après que les attaquants aient piraté un utilisateur ordinaire (au moyen d’un e-mail de phishing par exemple) et d’entraver le lancement d’un ransomware grâce aux informations d’identification de cet utilisateur. Les entreprises doivent également supprimer ou archiver les données personnelles périmées et réduire ainsi encore plus la surface d’attaque.
- Surveiller : étant donné que les ransomware explorent les systèmes de fichiers en parcourant chaque répertoire et en examinant leur contenu, ils ont des signatures très distinctives. Les utilisateurs ordinaires dont les ransomware ont compromis les informations d’identification n’effectuent pas ce genre d’exploration à grande échelle. Par conséquent, les logiciels de surveillance et en particulier ceux qui se fondent sur l’analyse du comportement des utilisateurs (UBA) doivent pouvoir détecter les ransomware et limiter le nombre de fichiers chiffrés.
- Sauvegarder et restaurer : enfin, les entreprises doivent régulièrement effectuer des sauvegardes de leurs systèmes de fichiers, en particulier des données sensibles et critiques. Elles doivent également mettre en place un plan de restauration pour rétablir les données en cas de ransomware et d’autres cyberattaques.