Comment se prémunir des ransomwares ?

WannaCry et NotPetya ont rappelé les ravages que pouvait créer la nouvelle génération de rançongiciels. Des mises à jour régulières et la sauvegarde des données restent la meilleure parade à défaut de passer par des outils de détection réseau.

La couverture médiatique autour de WannaCry et plus récemment de NotPetya a au moins permis de faire connaître le concept de ransomware, ou rançongiciel en bon français, au grand public. Dans ce type d’attaque, les pirates chiffrent des fichiers puis exigent une rançon en Bitcoins pour les déverrouiller.

Le phénomène n’est pas nouveau puisqu’il remonte aux années 90. Mais il prend une ampleur sans précédent. Selon une étude de Trend Micro, le nombre de familles de ransomwares est passé de 29 en 2015 à 247 un an plus tard. Soit une hausse de 752 %.

Comme nous avons pu le voir dans les attaques récentes, la menace touche toutes les entreprises, petites et grandes. Pour s’en prémunir, il convient d’avoir un antivirus à jour et d’installer les correctifs (WannaCry exploite une vulnérabilité de Windows corrigée depuis par Microsoft).

L’homme étant le maillon sensible de toute politique de sécurité, il faut à intervalles réguliers sensibiliser les salariés sur les comportements à risques comme ouvrir la pièce jointe d’un mail suspect ou surfer sur des sites illicites.

Un backup redondant sur plusieurs supports

Si une machine est infectée, il faut l’isoler du réseau pour que le ransomware ne se propage pas, et l’éteindre sans la redémarrer. Ne jamais payer la rançon. Pour récupérer ses données, il faut bien sûr avoir fait des sauvegardes quotidiennes. Un backup efficace doit être redondant en utilisant différents supports, du simple disque dur externe au serveur NAS (Network Attached Storage) ou les espaces de stockage en ligne de type Box, Dropbox, OneDrive, Google Drive ou iCloud.

Directeur technique Europe du Sud de Gigamon, Pascal Beurel déplore l’absence d’actions préventives, les entreprises prenant compte du danger une fois le mal fait. Il existe pourtant des outils permettant de détecter des comportements anormaux sur un réseau comme un ralentissement de la bande passante ou l’activité d’un ordinateur en dehors des heures de bureau.

Paradoxalement, le chiffrement généralisé complique la donne selon lui. « On ne peut sécuriser ce que l’on ne voit pas. Ce trafic chiffré crée un angle mort. Il échappe aux outils de sécurité classiques. Il faut être capable de faire du déchiffrement à la volée pour nourrir les sondes de détection anti malware. »

À l’heure du Big Data, ce sont par ailleurs de gros volumes de données qui transitent à très haute vitesse. « Comment une sonde peut analyser un flux à 100 Go/s ? interroge notre expert. Il faut avoir une vue macroscopique du comportement réseau. C’est comme une facture téléphonique au montant anormalement élevé. On va identifier la ou les communications qui ont posé problème. »

Pour Pascal Beurel, « le fond du problème reste le poste de travail qui stocke sur son disque des données confidentielles tout en étant ouvert sur l’extérieur avec la messagerie et le navigateur web. On concentre les fonctions critiques en un point ». Dans un monde idéal, il faudrait selon lui les isoler. « L’accès internet se ferait dans le Cloud en virtual desktop, le poste de travail ne recevant que de l’affichage. La messagerie fonctionnerait, elle, en mode SaaS, sans client lourd en local. »