Le ministère des Transports infecté par un cryptovirus

C’est le Canard Enchaîné qui, dans son édition du 20 janvier, révèle l’affaire, un rien embarrassante à quelques jours de l’ouverture du Forum International de la Cybersécurité, qui se déroulera la semaine prochaine à Lille.

Selon nos confrères, un logiciel malveillant procédant au chiffrement des fichiers des postes de travail qu'il infecte a réussi à passer au travers des défenses du ministère des Transports – dont les systèmes ont pourtant été audités au mois de novembre.

C’est au début du mois de décembre dernier que le logiciel malveillant aurait été détecté, sur les serveurs du ministère précisent nos confrères. La compromission initiale serait liée à une pièce jointe d’un e-mail donnant l’impression d’avoir été expédié par un fonctionnaire de la direction générale de l’aviation civile, la DGAC : l’adresse apparente de l’expéditeur se terminait par @aviation-civile.gouv.fr. Le logiciel malveillant demandait une rançon de 1000 $ par poste infecté.

Craignant vraisemblablement que la contagion ne puisse s’effectuer par d’autres vecteurs, et en particulier par le réseau, ou ne risque d’affecter des partages de fichiers, la DGAC a invité ses agents à débrancher du réseau les postes apparaissant infectés. Mais la consigne est survenue tard : le 1^er janvier.

Dans une déclaration, Florian Coulmier, responsable cybersécurité de Vade Retro Technology, estime que « le ministère des Transports semble ici avoir été victime d’un spoofing d’adresse », ce qu’il décrit comme « très facile à faire lorsque l’entreprise ou administration ne dispose d’aucun mécanisme de protection sur les serveurs e-mail de destination, tels que SPF ou DKIM ». Et d’ajouter : « on ne le dira jamais assez ; la protection de la boîte e-mail est un enjeu majeur, car une fois que le loup est entré dans la bergerie, il devient plus difficile d’agir et les dégâts sont déjà faits ».

De son côté, Matthieu Dierick, ingénieur avant-vente chez F5 Networks, souligne qu’il est « quasiment impossible pour une victime – particulier ou entreprise – de récupérer ses données une fois le rançongiciel installé, hormis payer et récupérer la clé ». Toutefois, il précise que « le paiement de la rançon ne garantit en aucun cas que les criminels fourniront à la victime la clé qui lui permettra de retrouver ses données ».

Dans l’édition 2016 de son rapport sur la sécurité informatique, Cisco souligne que les cybercriminels « concentrent de plus en plus leurs attaques [par ransomware] vers des cibles identifiées dans le but de leur soutirer de l’argent ». Et d’évaluer à 34 M$ par an la moisson ainsi récoltée.

En février 2015, CTB-Locker avait été identifié comme visant spécifiquement la France et les pays francophones. Gérôme Billois, responsable de la practice sécurité de Solucom, soulignait alors un risque important : un poste de travail compromis risque aussi d’affecter des partages réseau.

Début novembre, un autre rançongiciel utilisant le chiffrement est apparu dans sa version 4.0, Cryptowall. Ce dernier met en œuvre des techniques d’évasion qui rendent sa détection plus difficile. S’il est distribué par courriel, Cryptowall 4.0 se propage également par d’autres biais. Il figure notamment parmi les charges utiles malveillantes du kit d’exploit Nuclear.