Ingérence économique : Les risques cyber liés aux rançongiciels

Posté le : 20/06/2017 dans : Actualités archivées, Archives, Archives 2017

Étiquettes : DGSI, Ingérence, rançongiciel, Sécurité

Qu’est-ce qu’un rançongiciel ?

Un rançongiciel est une forme d’attaque informatique. Cette méthode vise à extorquer une somme d’argent à un utilisateur via l’infection de son périphérique.

L’outil malveillant bloque le matériel ou chiffre les données afin de rendre impossible tout travail sur ce dernier. Une rançon est demandée en contrepartie du rétablissement de l’accès au périphérique ou de la fourniture d’une clé de déchiffrement. En pratique, le périphérique touché affichera le plus souvent une fenêtre pop-up avec les instructions permettant le déverrouillage. La pression psychologique de l’attaque sur l’utilisateur peut être renforcée par la présence d’un chronomètre. Il affiche le temps restant jusqu’à l’augmentation de la rançon, la destruction des données ou encore leur diffusion en clair sur les réseaux.

Le paiement de la rançon est régulièrement demandé en crypto-monnaie – Bitcoin la plupart du temps – ce qui permet de masquer l’identité de l’attaquant et d’entraver les actions de suivi (pas de trace liée à l’existence d’un compte bancaire nominatif, pas de rencontre physique pour paiement en liquide). Les rançongiciels sont plus souvent utilisés par le milieu cybercriminel. Mais la facilité d’accès à de tels outils sur le Dark Web les rendent même utilisables par des attaquants disposant d’un faible niveau de technicité.

Si les modes de propagation sont variés, la diffusion de pièces jointes par courrier électronique reste en revanche le mode d’infection le plus courant avec la mise à disposition d’un lien vers un site internet ayant une apparence authentique. Le facteur humain est déterminant dans la réussite d’une tentative d’infection, celle-ci dépendant fortement de l’inattention de l’utilisateur.

Lien : Deux exemples de rançongiciels récents WannaCry en mai 2017 et Locky en 2016 – Flash de la DGSI juin 2017

Les préconisations de la DGSI face aux rançongiciels

La DGSI recommande quelques actions visant à se prémunir au mieux des risques inhérents aux rançongiciels :

En amont de l’infection :

• Sensibiliser son personnel : l’infection s’effectue souvent par une pièce jointe frauduleuse reçue par courriel électronique sous une forme légitime (facture, bon de livraison, etc.). L’ouverture d’une seule de ces pièces jointes peut suffire à propager l’infection sur l’ensemble des systèmes d’information de l’entreprise. Il est donc essentiel de sensibiliser son personnel quant aux risques inhérents à l’ouverture des documents provenant d’émetteurs inconnus et/ou douteux
• Utiliser un outil de filtrage de courriers électroniques en plus d’une solution anti-virus efficace
• Effectuer fréquemment les mises à jour des systèmes d’exploitation et programmes
• Avoir une politique de sauvegarde de ses données afin de pouvoir les restaurer en cas de problèmes

Pendant l’infection :

• Éviter de payer la rançon afin de limiter l’attrait de ces pratiques et de ne pas risquer une nouvelle attaque. Le paiement de la rançon ne garantit pas la récupération des données ou le déverrouillage des postes touchés
• Prendre les mesures nécessaires pour circonscrire l’infection sur les systèmes d’information placés sous votre responsabilité et, le cas échéant, conserver les preuves relatives à l’attaque
• Informer le correspond de la DGSI
• Consulter le site CERT-FR afin de vérifier l’existence d’un bulletin d’alerte, d’une campagne en cours ou de moyens de remédiation contre le rançongiciel qui vous a ciblé

Après l’infection :

• Déposer plainte auprès des services de police (OCLTIC ou BEFTI) ou de gendarmerie compétents
• Effectuer un retour d’expérience sur la gestion de la crise afin de limiter les impacts d’une éventuelle future cyberattaque
• Évaluer les solutions de cybersécurité disponibles dans l’hypothèse où l’entreprise ne dispose pas au moment de l’incident des outils d’entrave nécessaires
• Restaurer le système à l’aide de sauvegardes ou à défaut reformater le disque

Lien : Flash n°34 – Juin 2017 : Ingérence économique – DGSI