Lui, c’est Jean, il est Directeur Général d’une PME familiale dans le secteur pharmaceutique. Victime d’un ransomware début avril, Jean a décidé contre l’avis de tous, de payer la rançon exigée par des cybercriminels qui ont bloqué l’ensemble de son informatique, parce que selon lui « les affaires ne peuvent attendre ».
Il a alors passé des heures à tenter de comprendre le fonctionnement des Bitcoins qu’il n’a jamais utilisé. Il s’est ensuite attaché à trouver un comptoir de change qui lui semblait convenir. Une fois sa monnaie virtuelle en « poche » - déterminé - il a payé en suivant scrupuleusement les instructions de l’écran clignotant sous ses yeux. Un jour, deux jours, trois jours ont passé sans que rien ne se passe. Dépité, fatigué, vexé, sur-sollicité, c’est quinze jours après - sans qu’aucun accusé de réception ne lui soit adressé et encore moins la moindre clé de déchiffrement - que Jean se résigne à ordonner la récupération des données « atteignables » et enfin, à procéder à la réinstallation de nouvelles machines.
Nous avons changé son prénom, mais la leçon à retenir de cet exemple – parmi tant d’autres - est bel et bien une constante pour tous les « Jean » de la Terre : Ne surtout pas payer de rançon. Ce n’est pas une question de montant mais de principe. Payer un ransomware n’est en aucun cas une garantie de récupérer ses données, ni un moyen de s’assurer d’un soi-disant « retour à la normale ». C’est en revanche un moyen assez efficace de perdre un temps précieux pour son activité, de perdre le contrôle sur la situation et donc du capital confiance pour son entreprise, ses équipes et son écosystème.
Wannacry, Jaff et les autres…
L’avalanche médiatique autour de Wannacry aura eu au moins le bénéfice d’interpeller le plus grand nombre, des grandes entreprises avec l’arrêt de l’usine Renault, jusqu’aux particuliers. L’effet pervers, c’est qu’il laisse penser que le ransomware est né avec Wannacry et qu’il va s’éteindre avec lui. Or, le ransomware a déjà remporté pour l’année 2016 la palme des attaques. Interpol dans son rapport sur la menace en octobre 2016, l’avait en effet élevé au rang de « 1ère menace en Europe ». D’ailleurs, Jean n’a pas été victime de Wannacry, mais d’un cousin éloigné.
Depuis le 11 mai 2017, ce n’est pas « un » mais bel et bien « plusieurs » ransomware qui sévissent. A côté de « Wannacry », ciblant les systèmes d’exploitation Microsoft Windows (des versions Windows XP à Windows 8) ainsi que les versions « Microsoft Server » utilisées par les entreprises, et qui se propage au travers d’une faille du protocole de partage SMB v1 (Server Message Block) non patchée au moment de l’attaque, c’est « Jaff », un autre ransomware, ressemblant à Locky, qui fait également des ravages en se propageant, lui, par les e-mails. L’ « affaire » Wannacry ne semble d’ailleurs pas terminée puisque des nouvelles variantes sont désormais diffusées.
Et avant cet épisode extraordinaire, souvenons-nous de Dridex, Petya, Locky, Satana. Les variantes des ramsomwares ne cessent de progresser pour toujours mieux passer sous les radars.
La diffusion de ransomware désormais à la portée de tous
Techniquement, les ransomware n’évoluent plus beaucoup. Le problème majeur tient surtout à l’évolution des méthodes de diffusion. Il est de plus en plus facile de diffuser des ransomware, car on note une véritable professionnalisation autour de ce mode d’attaque :
- Ransomware-as-a-service, concept lancé avec Cerber ou plus récemment Philadelphia, qui permet de monter sa propre petite entreprise de ransomware, puisque des cybercriminels proposent à certains esprits inspirés, de le propager dans leur propre zone géographique.
- Ransomware-as-a-freeware avec Shark, diffusé en freeware et proposant à n’importe quel hacker amateur de diffuser le ransomware dans son pays en remettant en échange, une partie des gains mal acquis aux créateurs du ransomware.
- La récupération de malware très sophistiqués du FBI ou de la NSA qui ont fuité et qui sont même aujourd’hui disponibles sur Github. Wannacry utiliserait deux outils de la NSA, et l’on parle même aujourd’hui d’un successeur, « Eternalrocks », qui utiliserait sept outils dérobés à la NSA.
- Les « insolites » : « Popcorn Time » ou encore plus insolite le « Rensemware » diffusé il y a quelque temps par un étudiant coréen à ses amis et leur demandant d’atteindre un score élevé à un jeu en ligne pour débloquer leur machine.
- Nous pouvons également parler de zero-day Microsoft avec la variante du Malware Dridex qui passe via des objets OLE2Link, contenu dans un fichier RTF.
Des protections simples mais indispensables
L’innovation ne manque pas au pays du ransomware. Mais, « Savoir c’est prévoir », et c’est une chance qu’il faut saisir en mettant en place plusieurs niveaux de sécurité impératifs pour s’en protéger :
1. S’équiper d’une solution de protection des emails efficace – s’appuyant sur de l’analyse de contenu et comportementale, et non sur des signatures, afin d’être sûr de détecter les nouveaux malwares et également les malwares polymorphes,
2. S’assurer d’une sauvegarde sur deux points distants (clonage des machines),
3. Mettre à jour ses machines, logiciels, OS, etc. et prendre en compte les patchs proposés par les fournisseurs,
4. Et le plus important, éduquer les utilisateurs, car l’évolution rapide des méthodes de diffusion impose que les utilisateurs soient continuellement informés sur les menaces, et qu’ils fassent preuve de vigilance en ayant les bons réflexes.
Pour les experts de sécurité, Wannacry, c’est un mal pour un bien. En effet, si les termes de Phishing, Spear-phishing ou encore de malware trouvent un écho moindre (bien que les attaques soient nombreuses et que l’on avance que près de 90 % des cyberattaques seraient véhiculées par du phishing), le ransomware a été un passeport éducatif. Par son côté transposable au crime classique, les entreprises comme les particuliers ont non seulement été réceptifs à la médiatisation mais également perméables aux recommandations fournies. Nous pouvons espérer par ailleurs, que la prise de conscience naissante dans les entreprises qui s’est traduite par une hausse légère mais significative des budgets de cybersécurité se poursuive.