Le vaccin à rançongiciels de Bitdefender est-il effectif ?

Les rançongiciels empêchent les utilisateurs d’accéder à leurs ordinateurs ou à leurs fichiers. Ils se diffusent via des campagnes de hameçonnage, de malvertising, des liens malicieux dans des e-mails, ou encore des téléchargements. Ils constituent un problème majeur tant pour les particuliers que pour les entreprises et l’une des principales menaces cette année.

Pour essayer d’empêcher les rançongiciels d’accomplir leur tâche, Bitdefender propose depuis quelques mois un outil de vaccination qui cherche à bloquer le processus de chiffrement auquel ont recours certaines familles de ransomwares. Le principe consiste à faire croire au logiciel malveillant que la machine sur laquelle il vient de s’installer à déjà été infectée.

Pour encourager les victimes à payer la rançon demandée, en échange du déchiffrement des fichiers compromis, les cybercriminels doivent « se faire une réputation » : les victimes doivent avoir confiance dans le fait que leurs fichiers seront effectivement déchiffrés après paiement. Dans le cas contraire, les victimes seront peu enclines à payer. Dès lors, la plupart des rançongiciels vérifient que des machines déjà infectées ne sont pas attaquées de nouveau. En procédant à quelques modifications système mineures, l’outil de Bitdefender peut faire apparaître un appareil comme s’il avait déjà été infecté, et empêcher ainsi les variantes actuelles de CTB-Locker, Locky ou encore TeslaCrypt d’essayer d’extorquer l’utilisateur de la machine concernée.

L’approche est honorable, mais le vaccin ne fonctionne que contre certaines familles de rançongiciels et ne sera pas opérant de manière durable. Car les auteurs de ces logiciels mettent régulièrement à jour leur code pour contourner ce piège. Par exemple, un outil conçu antérieurement pour empêcher CrytpoWall de chiffrer les fichiers en fonctionne plus. Et ses auteurs ont déjà changer sa manière d’opérer. Même si l’outil de Bitdefender est mis à jour à chaque fois qu’une nouvelle variante de rançongiciel apparaît, il ne devrait être appréhender que comme une solution de protection à court terme. Les administrateurs de systèmes n’ont en outre pas forcément envie d’une nouvelle application à tester, déployer et mettre à jour continuellement, en particulier alors que le vaccin n’offre qu’une courte période de protection et s’appuie sur des modifications arbitraires du registre de Windows.

Les administrateurs de systèmes devraient plutôt concentrer leurs efforts sur d’autres domaines. Une politique de sauvegarde éprouvée reste la méthode la plus fiable de récupérer les systèmes infectés. Les sauvegardes devraient être stockées hors ligne parce que de nombreuses variantes de rançongiciels cherchent aussi à chiffrer les données présentées sur des partages réseau connectés et sur des disques amovibles. Les programmes de sensibilisation à sécurité devraient par ailleurs couvrir les astuces que les attaquants utilisent pour diffuser leurs logiciels malveillants. Les outils de filtrage Web et de protection du poste de travail devraient parallèlement être tenus parfaitement à jour.

En outre, puisque l’installation de la plupart des rançongiciels tire profit de vulnérabilités connues, plutôt que d’utiliser des exploits inédits, maintenir les systèmes à jour des correctifs devrait prévenir la réussite de nombreuses attaques. Enfin, s’assurer que les utilisateurs disposent des privilèges minimums sur leurs machines contribue à limiter l’accès du ransomware aux ressources du système. A noter toutefois que, selon une récente étude de CyberArk, seuls 10 % des rançongiciels échouent à opérer lorsqu’ils n’ont pas accès à des privilèges d’administrateur.  

Adapté de l’anglais.