Ransomwares, des actions pour protéger ses utilisateurs

Cela n’est pas vraiment un scoop, les ransomwares sont en plein essor depuis quelques années. Comment concrètement protéger les utilisateurs d’un parc informatique contre ceux-ci ?


Il est d’abord crucial de rappeler que les utilisateurs sont le cœur du système d’information, ils en sont les principaux acteurs et représentent ainsi une ressource à protéger, en plus des données qu’ils manipulent et traitent, ils sont également le vecteur principal des attaques et des menaces.

Dans cet article nous allons passer en revu quelques points importants dans le but de protéger ses utilisateurs et son système d’information des infections de malware et notamment des ransomwares.

Pour rappel, un rançongiciel ou ransomware, est un malware (un programme, bout de code) qui va infecter un poste utilisateur, un serveur ou même un système informatique au complet, pour chiffrer leur contenu de manière non définitive. L’intérêt du pirate lors du déploiement d’un ransomware est de prendre en otage les données de l’utilisateur, qui n’y a plus accès puisqu’elles sont chiffrées. L’infection par un ransomware passe très souvent par l’affichage d’un message à l’utilisateur lui indiquant comment payer sa rançon afin, éventuellement, d’obtenir une clé de déchiffrement lui permettant de récupérer ses données.

Voici quelques exemple de ces messages :

ransomware-02ransomware-03 ransomware-04

Parmi les ransomwares les plus connus, et il y en a hélas beaucoup ces derniers temps, on retrouve :

  • CryptoLocker : Ce cheval de Troie apparu en 2013 générait une pair de clé RSA 2048 bits et chiffrait certains documents en les repérant via leurs extensions. Le malware demandait une rançon payable en Bitcoin et menaçait de supprimer les données au delà de 3 jours. Ce délai n’était en réalité mis en place uniquement pour presser l’utilisateur et l’inciter à payer puisque les données étaient toujours récupérables, sous réserve d’en posséder la clé, après ce délai. Les gains de Evgeniy Bogachec, signalé comme responsable du déploiement du ransomware, ont été estimés à 3 millions de dollars.
  • CryptoWall : Un cheval de Troie ciblant les OS Windows apparue en 2014, dérivé de CryptoLocker, il se déployait notamment par l’intermédiaire de bannières publicitaires sur des sites web qui téléchargeaient et exécutaient le code malveillant. La version 3.0 utilisait un payload écrit en Javascript, envoyé en pièce jointe des mails, qui était déguisé en image pour passer inaperçu auprès des utilisateurs. Environs 1 000 victimes de se ransomware on été constatée par le FBI en juin 2015, les rapports d’infection ont permis d’estimer une perte totale de 18 millions de dollars pour les victimes.
  • Locky : Il s’agit d’un des ransomwares les plus actifs en 2016, il utilise le mail comme moyen d’infection avec un document word en pièce jointe. Ce dernier contient des macros malicieuses et une partie de social engineering cherchant à convaincre les utilisateurs d’activer cette dernière. La rançon demandée en échange de la clé de déchiffrement est généralement entre 0.5 et 1 bitcoins. Un fait marquant concernant ce ransomware est par exemple cas du Hollywood Presbyterian Medical Center qui a payé 17 000 dollars en bitcoin afin de récupérer ses données après une infection par le ransomware Locky

Il ne s’agit là que des plus connus, bien d’autres existent aujourd’hui.

Le scénario catastrophe est bien entendu celui présenté dans la série Mr Robot, l’intégralité des postes utilisateurs et serveurs de l’entreprise E-corp se retrouvent infectés par un ransomware et il est totalement impossible pour les administrateurs du parc informatique de retrouver une quelconque donnée, mis à part les backups restés offline. Ainsi, toutes les données de l’entreprise sont prises en otage.. A ce propos, avez vous des backups offline et mis à jour régulièrement ? 😉

Voici quelques points importants concernant la protection contre les ransomwares :

Garder un système d’information à jour

Qu’il s’agisse de la base anti-virus centralisée, des règles IDS/IPS ou de l’ensemble des applications métier, les mises à jour permettent dans la plupart des cas d’éviter une infection qui souhaiterait se déployer en exploitant des vulnérabilités connues. Il est en effet fort dommage d’être infecté par le biais d’une vulnérabilité connue et dont le correctif est disponible et aurait pu être appliqué. Ainsi, il est important d’avoir un processus de mise à jour réactif et bien organisé pour ces différents éléments. Les anti-virus centralisés sont par exemple une bonne option car le déploiement de la mise à jour des bases-virales et des signatures est directement intégré pour un déploiement sur tous les postes.

Également, des solutions comme WSUS permettent bien souvent de gérer finement les mises à jour, notamment celles de sécurité, afin d’évaluer l’impact sur une application métier par exemple.

La sensibilisation des utilisateurs

Il s’agit certainement du point le plus important, à la fois le plus ardu mais aussi le plus efficace. La sensibilisation de tous les acteurs du SI, et notamment des utilisateurs non technique, permet de mettre en place un comportement et une approche de la sécurité qui peut faire la différence. Cela passe par des éléments aussi simple que de savoir évaluer la pertinence et la provenance exacte d’un mail reçu, ainsi que du comportement à adopter en cas de doute. Mais également par des éléments techniques comme la possibilité de voir, dans la configuration par défaut des postes utilisateurs, les extensions de fichier afin d’y repérer un “.pdf.exe” par exemple.

La sensibilisation des utilisateurs est souvent gérée par un l’équipe de sécurité ou les administrateurs systèmes, cela requiert une compétence réelle en terme de pédagogie et certaines entreprises peuvent faire le choix d’externaliser ce point pour une meilleur efficacité. Pour commencer, il peut être mis en place dans un premier temps la diffusion d’une newsletter “Informatique et sécurité” diffusée une fois par mois aux utilisateurs et qui contiendrait les bonnes pratiques à adopter, les risques du moment, etc. Le tout en des termes non technique et de façon succincte pour que la newsletter soit lue.

Les backups

Cela a déjà été évoqué plus haut dans l’article, mais les backups sont votre seul recours en cas d’infection. En effet, même si la rançon est payée, il n’est pas toujours certains que les données soient retrouvées saines et sauves. Ainsi, il vaut mieux opter pour une rétablissement des sauvegardes. Dans ce cas, il faut que ces sauvegardes soient le plus à jour possible. Ainsi, il est important de mettre en place un processus de backup efface et régulier. Ce point ne pose généralement pas de problème aux grandes entreprises qui en sont déjà munies (qui n’a jamais supprimer un dossier important après une mauvaise manipulation ?), mais les entreprises en pleines croissances peines souvent à le mettre en place avant qu’un incident arrive.

Dans ce cas, il est important d’être proactif. Également, et dans les cas les plus avancés, la mise en place de backup offline est également vital. La fameuse sauvegarde sur cassette est alors une option à mettre en place en cas d’infection globale du SI.

Les filtres anti-spams et l’analyse des mails

Nous l’avons vu en détaillant les principes de fonctionnement de quelques ransomwares, le vecteur de transmission reste généralement le mail. Ainsi, disposer de bons filtres et anti-virus permet  d’écarter la menace avant qu’elle n’arrive sur le poste de l’utilisateur.

Des solutions managées en mode SaaS peuvent ainsi être utilisés sans un processus trop lourd de mise en place et d’installation. On peut notamment penser à Altospam, solution reconnue pour le filtrage spam et la sécurité des mails. Ces solutions comportent généralement un anti-virus qui permet de repérer, dans les mails filtrés, les maldocs, mail de phishing et autre spam commerciaux.

Ces solutions viennent elles en amont de l’entrée de la donnée malicieuse dans le SI. Une bonne politique de sécurité est en effet d’appréhender la défense en profondeur avec plusieurs solutions différentes et complémentaires plutôt qu’avec une solution supposée robuste qui mettrait tout le SI en danger en cas d’échec de détection.

En cas d’infection par un ransomware : limiter la casse

Votre défense en profondeur n’a pas fonctionné, quels sont les actions permettant de limiter une infection dans l’éventualité où celle-ci touche un poste utilisateur dans mon parc informatique ?

Il est tout d’abord important de limiter à tout prix le déploiement du ransomware sur le réseau, qui va généralement chercher à infecter les machines environnantes.. La détection automatique de comportement malveillant peut être mise en place avec des IDS (Intrusion Detection System) et des IPS (Intrusion Prevention System). Ceux-ci agissent principalement en analysant les logs et les trames réseaux afin de détecter des signatures ou des comportements propres aux ransomwares et autres malwares. La configuration de ce genre d’outils requiert de réelles compétences et nécessite une mise à jour qui est aussi rapide que l’évolution de la menace et des comportements des nouveaux malwares.

Dans les pires scénarios, il est important de garder la main sur le système d’information. Ainsi, les postes administrateurs doivent être dans une zone complétement étanche des incidents qui peuvent arriver en zone utilisateur. Un des conseils de l’ANSSI était d’ailleurs de créer une zone tampon entre les administrateurs et les utilisateurs, notamment au niveau des partages de fichiers, une sorte de sas de sécurité et d’épuration représenté par ce schéma :

Schéma provenant de la documentation ANSSI sur l’espace d’échange

Représentation d’une zone de partage sécurisée entre le niveau utilisateur et le niveau administrateur

Plus d’information dans cet article que j’ai rédigé il y a quelque temps : Sécurité de l’administration du SI, recommandations ANSSI

Pour finir, il est important de noter qu’en cas d’infection, il est parfois possible de retrouver la clé de chiffrement utilisée. En effet, les ransomwares ont une durée de vie limitée car la clé de déchiffrement fini souvent par voir le jour publiquement. Ainsi, si vous avez été infecté par une version connu d’un ransomware, il est parfois (avec de la chance), possible de trouver la clé de déchiffrement associée.

Ces quelques conseils représentent la base et ne prétendent pas à l’exhaustivité. Je vous invite à partager vos conseils et vos avis dans les commentaires afin que chacun puisse en profiter. A l’image des anti-virus, les processus de défense ne peuvent qu’être plus efficace quand le travail et les connaissances sont mutualisées.

Vous aimerez aussi...

3 réponses

  1. GOUTH dit :

    Bonjour,

    Déjà merci pour cet excellent blog de vulgarisation de la sécurité.
    Tu as oublié de mentionner le site https://www.nomoreransom.org/ qui à été créé en partenariat avec Europol, kaspersky et bien d’autres et qui permet d’utiliser des solutions gratuites permettant de déchiffrer les contenus.
    @+

    @FredGOUTH

  2. sangar dit :

    Bonjour,

    Comme pour le lecteur précédent je tenais a te remercier pour ton excellent blog.

    J’ajouterai:

    1-Les ransomwares sont largement diffusées à travers des pièces jointes contenues dans des e-mails d’hameçonnage.
    Bloquer certaines extensions au niveau de votre serveur de mail permet de limiter leur diffusion au sein de votre entreprise.
    Nous vous recommandons de supprimer ou de mettre en quarantaine les pièces jointes lorsqu’elles ont les extensions ci-dessous :
    .js;*.hta;*.docm;*.xlsm;*.pptm;*.vbs;*.bat;*.wsf*.exe;*.com;*.vbs;*.scr;*.ws;*.jse;*.lnk;*.vbe;*.wsh;*.chm;*.pif;*.wsh;*.wsc;*.hta;*.ps1;*.cmd;*.msc;*.sys;*.vxd

  3. sangar dit :

    Ps: j’ai pas réussi a éditer mon poste

    J’ajouterai également :

    -La désactivation RDP ou la modification du port par défaut (3398).
    -L’Authentification a double facteur.
    -Désactivation des macros Microsoft Office par GPO
    https://technet.microsoft.com/en-us/library/ee857085.aspx

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *