Cyber. Comment s’opèrent les attaques par ransomware et quels moyens de défense ?

15 février 20216 min

Les attaques par ransomware se multiplient depuis le début de la pandémie de Covid-19. Entreprises, hôpitaux, villes… aucune structure n’est à l’abri de ces cybermenaces. Il existe néanmoins des moyens pour les prévenir.

Ceci est une légende Alt

L’agence Cymbioz tenait le jeudi 11 février 2021 une visioconférence sur le thème : «  Le ransomware est devenu une véritable industrie. Face à cela, quelle stratégie mettre en place pour combattre efficacement la menace ?  ».

Un peu plus tôt ce mois-ci, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) déclarait, lors du discours inaugural de la 21e édition de Panocrim : « Depuis un an, tout empire. L’heure est grave (…). De 50 actions menées par l’Agence en 2019, nous sommes passés à près de 200 » aussi bien auprès « d’entreprises du secteur privé que du public ».

Cette multiplication des attaques par ransomware (ou rançongiciels) ne doit cependant rien au hasard. « Les attaques par ransomware sont moins opportunistes qu’auparavant. Elles sont très organisées. Les groupes d’attaquants vont jusqu’à s’échanger ou se revendre des codes pour réduire le coût de leurs (futures) opérations car il y a plus de certitudes sur les méthodes qui ont déjà fonctionnées » confie ainsi Julien Billochon, expert cybersécurité chez Cybereason.

« La cybercriminalité s’est organisée et son marché s’est élargi. Il y a aussi bien des attaques en one-shot que des attaques ciblées » ajoute Pascal Le Digol, directeur France de WatchGuard.

Attaques par ransomware, un processus en 4 phases

Cette industrialisation de la cybercriminalité permet de fait de frapper plus vite et plus fort. En reprenant des méthodes déjà éprouvées, les cyberattaquants peuvent compiler les failles les plus répertoriées et repérer plus facilement les vulnérabilités des structures ciblées.

Le processus d’une attaque par ransomware s’effectue en 4 phases majeures.

1 L’identification / la reconnaissance de la cible

Autrement dit, les attaquants prennent le temps de repérer le profil de leur future victime et ses potentielles failles.

2 L’attaque initiale

Après avoir identifié les failles, le temps est alors venu de lancer l’attaque. Cette phase peut par exemple s’opérer par l’usurpation d’un compte utilisateur dans une entreprise. De ce compte là, un mail incluant un malware dans une pièce jointe peut alors être envoyé en direction d’un collaborateur. N’ayant aucune raison particulière de se méfier d’un mail provenant d’une personne légitime à ses yeux, celui-ci compromet alors sans le savoir son ordinateur en cliquant sur la pièce jointe.

3 La propagation sur le système d’information

Une fois présente sur une machine, le malware permet aux attaquants de se propager à l’ensemble des outils connectés ou en réseau avec la machine infectée.

4 L’extraction / l’exfiltration

Une fois les données ou les informations désirées exfiltrées, les attaquants estiment leur montant et envoient, en conséquence, une demande de rançon à leur victime.

Quels moyens de défense ?

Il faut en premier lieu noter qu’il est tout à fait envisageable d’anticiper une éventuelle attaque. « Il faut faire le travail en amont en se mettant à la place des attaquants » lance Yann Le Borgne, directeur Europe threat intelligence chez ThreatQuotient. En d’autres termes, une entreprise sera mieux armée face aux cyberattaques si elle connaît à l’avance ses propres vulnérabilités et qu’elle les corrige. Si l’entreprise n’a pas les compétences en interne pour procéder à cette phase de test, il est toujours possible d’externaliser cette tâche.

Dans le cas où l’attaque par ransomware serait d’ores et déjà parvenue à infiltrer une machine, parvenir à reprendre le dessus devient alors plus complexe… L’un des intervenants a notamment fait comprendre que reconnaître quelques signaux faibles pouvait potentiellement permettre d’isoler la machine infectée en la coupant du reste du réseau afin d’éviter une propagation.

Des signaux faibles qui ne suffisent pas forcément

Un lieu et/ou horaire de connexion inhabituels (une connexion à 02h00 du matin heure française depuis la Chine par exemple, alors que tous les salariés de l’entreprise sont domiciliés en France)… Ou encore, un utilisateur tentant d’accéder sur une partie du réseau dont il n’a pas les droits administratifs… Ces signaux existent et doivent rapidement être détectés.

La détection de ces signaux n’est cependant pas significative de mise en échec du ransomware. Une fois que ce dernier est à l’intérieur, « la compromission d’un système est une question d’heures… Cela prend tout au plus une journée ou une demi-journée. Et (à ce stade) les attaques se concluent par un succès dans 99% des cas » prévient Pierre-Antoine Failly-Crawford, security architect et responsable de la réponse à incident chez Varonis France.

Même en cas de succès de l’attaque, tracer le cheminement de cette dernière reste utile pour l’entreprise victime afin de comprendre la méthode utilisée par les cyberattaquants dans le cadre d’un futur retour d’expérience… Et éviter une nouvelle mauvaise expérience de ce genre.

Ransomware, la soupe est bonne pour les attaquants

La vague d’explosion des rançongiciels n’est en tout cas pas prête de se terminer. En premier lieu car les entreprises vulnérables restent malgré elles bien trop nombreuses, globalement en raison d’un manque de culture de prévention des cybermenaces dans les structures françaises (aussi bien au sein du personnel que chez les dirigeants).

Attaques par ransomware (image d'illustration Mohamed_Hassan Pixabay_CC).

Mais également car le magot est bien trop important pour ces groupes organisés.

« La différence entre ce que peut rapporter une attaque par ransomware et ce qu’elle coûte à ces groupes est énorme » confirme l’un des protagonistes de cette visioconférence. « L’attaque n’est pas la finalité. La finalité reste le gain » appuie Pierre-Antoine Failly-Crawford.

Des rançons bien plus souvent payées qu’on ne le pense

Malgré ce que disent la plupart des entreprises victimes d’une attaque par ransomware, les rançons sont bien plus souvent payées que ce qui officiellement déclaré. « Même les grands groupes paient les rançons pour récupérer des données, qui parfois ont été cumulées sur plusieurs années. Mais aussi pour permettre une reprise d’activité. Si elles n’étaient pas payées, il n’y aurait pas d’intérêt pour les attaquants de continuer. Donc c’est bien qu’elles sont payées » poursuit l’intéressé. « Les entreprises ne communiquent pas lorsqu’elles paient les rançons. Au contraire, elles préfèrent communiquer sur leur forte réactivité ou sur la rapide remise en place du système » insiste-t-il.

Pourtant, le mot d’ordre général reste bel et bien de ne pas céder… Aussi bien en Europe qu’aux États-Unis, un pays où payer une rançon peut d’ailleurs être condamnable dans le cas où l’entité qui réclame et obtient cette somme serait listée comme organisation criminelle ou terroriste par le Gouvernement. Cela pourrait en effet s’apparenter à un financement du terrorisme outre-Atlantique.

Reste qu’en règle générale « quand cela arrive dans votre entreprise, la question morale ne se pose pas » précise Pascal Le Digol. Et de conclure : « Les conséquences sont souvent plus importantes pour les PME que les grands comptes. La perte d’un contrat, le coût de la perte d’exploitation ou de la protection cyber qui suit une attaque sont en effet plus lourds à supporter pour elles ».

Eitel Mabouong – Journaliste

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.