Cybersécurité : le retour de la menace diffuse

La menace diffuse : star des années 2005

Les menaces diffuses sont celles qui touchent toutes les entreprises, toutes les organisations, sans distinction. Les plus anciens d’entre nous se souviendront des grandes campagnes d’attaques virales des années 2003-2005. Blaster, Nimda, ou encore Sasser vous rappellent certainement des nuits passées à réaliser des actions en urgence pour identifier quels PC étaient infectés et faisaient s’écrouler le réseau sous la charge entraînée par la propagation du virus. La dernière grande occurrence de ce type de menaces était le tristement célèbre Conficker en 2008.

Mais aujourd’hui ces menaces diffuses refont surface, en particulier sous la forme des ransomwares. Ces logiciels malveillants, qui lorsqu’ils sont activés, vont bloquer le fonctionnement de l’ordinateur touché et ensuite commencer à chiffrer l’ensemble des fichiers stockés localement, mais aussi et surtout ceux présents sur les partages réseaux connectés ! Une fois la machine bloquée et les fichiers rendus inaccessibles par le chiffrement, le malware demande alors une rançon. Elle est souvent payable en Bitcoin pour des montants de plusieurs centaines de dollars par machine. Celle-ci doit être payée sous un délai court (quelques jours) au risque de voir les données inaccessibles à jamais.

Le ransomware : fer de lance de la menace diffuse aujourd’hui 

Il y a encore quelques années, ces ransomwares étaient de qualité moyenne et bien souvent les mécanismes de chiffrement pouvaient être analysés et contournés. Mais malheureusement, aujourd’hui, les cybercriminels ont progressé et les implémentations cryptographiques des malwares sont de plus en plus robustes.

De plus, les taux de diffusion et d’infection explosent. Nous l’avons observé sur le terrain où nos équipes de réponses à incident ont vu une multiplication des cas d’intervention en urgence. Webroot parle même d’une DSI sur 3 qui auraient été touchée par cette menace.

Cette explosion s’explique en particulier car les cybercriminels vont gagner de l’argent grâce à ces malwares. D’un côté, le cout de réalisation de l’attaque est faible. Des kits pour ransomware sont disponibles sur les marchés et avec quelques milliers d’euros, il est possible de lancer une attaque de ce type. Et même si une faible part des personnes infectées va accepter de payer (et être en mesure de le faire car le procédé imposant souvent d’avoir des bitcoins n’est pas trivial), la rentabilité est assurée. La société Trustwave parle même d’un ROI de 1 425 % ! Ce chiffre, s’il paraît énorme, n’est pas forcément dénué de sens.

Comment se protéger et bien réagir en cas d’infection ?

Face à cette menace, la meilleure solution reste la protection, et en premier lieu la réalisation de sauvegardes régulières des postes de travail et des serveurs de fichiers ! Plusieurs de nos clients ont pu ainsi subir des impacts minimums grâce à la restauration de sauvegardes récentes. Il est donc encore temps de tester les sauvegardes, et en particulier celles des postes de travail.

Une hygiène de base du SI (application des correctifs, présence d’antivirus, changement des mots de passe par défaut…) est aussi nécessaire. Pour limiter les impacts, une bonne gestion des droits permettra de limiter les accès et de se retrouver avec l’intégralité des serveurs de fichiers chiffrés. En enfin, une sensibilisation des utilisateurs du SI au fait de ne pas ouvrir les pièces jointes « étranges » ou de cliquer sur des liens « douteux » permettra de limiter les cas d’infection même si elle en sera jamais efficace à 100 %.

Ces actions n’empêcheront toutefois pas tous les cas d’infection. Il faut donc se préparer à réagir et vite ! Car en identifiant rapidement la ou les machines touchées, l’impact de l’incident pourra être limité. Cette identification constitue toutefois un défi, notamment parce que la journalisation des actions sur les serveurs de fichier n’est souvent pas activée ou ne permet pas d’identifier la machine en cause. Il faut alors utiliser des astuces plus techniques : étude des volumétries réseau, croisement des droits d’accès, recherche des fichiers chiffrés sur les profils itinérants dans un domaine AD, etc.

La menace diffuse est donc de retour sous la forme des ransomwares, elle cause aujourd’hui des impacts bien réels et peut être source de désorganisation voir de pertes d’exploitation dans les entreprises. Mais quelques mesures d’hygiène simples et une bonne préparation peuvent suffire pour réduire considérablement le risque.