Ransomware Locky : l’AFP touchée, son RSSI témoigne

MalwaresPolitique de sécuritéSécurité
7 270 1 commentaire

Le RSSI de l’AFP a pris sa plume pour partager son aventure avec le ransomware Locky. Un combat pas facile mais empreint d’une certaine admiration face à l’ingénierie déployée par les pirates.

Il est rare qu’un RSSI parle d’une attaque qui a ciblé son entreprise. Alcino Pereira, responsable de la sécurité informatique de l’AFP, s’est livré à cet exercice dans un long billet de blog à propos du ransomware Locky.  En préambule, il plante le décor. « Quand j’arrive au bureau, un collègue m’interpelle. ‘Viens voir, j’ai reçu un mail qui a l’air vraiment louche !’ Il me le transfère, et presque au même moment, plusieurs mails d’utilisateurs tombent dans ma boîte pour me signaler le même message suspect. Ce dernier provient – en apparence – d’un respectable cabinet d’avocats parisien. Tout de suite, je fais une recherche à l’aide des outils spécialisés dont je dispose. Et je découvre qu’en l’espace d’une demi-heure, ce message a été envoyé à plus de deux mille collaborateurs de l’AFP à travers le monde avec une pièce jointe infectée par un malware particulièrement dangereux que nos antivirus, à cet instant, ne détectent pas encore. »

Progressivement, le RSSI de l’agence de presse, prend conscience des dégâts potentiels. « Petit à petit, nous découvrons plusieurs autres ordinateurs infectés au siège de l’agence à Paris, puis en Europe. » Le « Mr sécurité IT » de l’AFP se montre pédagogue en même temps. « Un ransomware, c’est un programme malin qui, lorsqu’il est activé, installe un extrait de code sur votre disque dur. Ce code se met en communication avec un serveur dit de ‘command and control’ qui se trouve quelque part sur Internet, puis il télécharge le reste du code malveillant et une clé de chiffrement unique. Après quoi, il se met à tout crypter: votre disque dur interne, les disques durs externes et les clés USB éventuellement branchés à ce moment-là, les partages de serveur… Tout devient illisible, inutilisable. Vous venez de perdre la totalité de vos données. »

Refus du chantage et dépôt de plaintes

Dans le mot ransomware, il y a rançon. Pour reprendre possession des postes infectés, il faut passer à la caisse. En théorie. « Pour cette attaque, la rançon est fixée à 4 bitcoins par clé de déchiffrement. Et ce jour-là, le Bitcoin, dont le cours est très volatile, cote à environ 390 euros. Il vous faudra donc verser plus de 1500 euros pour espérer retrouver le contenu d’un seul ordinateur… », décrit Alcino Pereira.

Mais l’AFP refuse le chantage : « Nous portons plainte auprès de la police judiciaire. Nous isolons les ordinateurs infectés, nous les reformatons, nous restaurons les données dans la journée et nous conservons les fichiers cryptés comme nous le conseillent les enquêteurs. Qui sait ? Peut-être parviendront-ils à arrêter les hackers et à découvrir le serveur dans lequel se cachent les clés de déchiffrement… »

Une certaine admiration devant le travail accompli

Une autre tentative de piratage via Locky a été détectée plus récemment (samedi 19 mars) : cette fois-ci, près de 400 boîtes mail ont reçu un message infecté. Mais le bouclier a tenu : « L’antivirus de l’agence a reconnu la signature de ce logiciel et a été en mesure de le bloquer immédiatement. »

Alcino Pereira ne peut pas s’empêcher d’exprimer une certaine fascination vis-à-vis des techniques d’ingénierie sociale employée et de la propagation rapide du fléau.

« Ces attaques laissent presque admiratif tant elles sont bien montées. Bien sûr on ignore qui sont les pirates et comment ils s’y sont pris. Mais on peut supposer qu’ils doivent mettre des mois à tout organiser. Que ce sont des mafias structurées comme des entreprises, avec des informaticiens ultra-spécialisés en cryptologie, des logisticiens, des traducteurs qui écrivent les messages en diverses langues, des comptables qui traitent les transactions en bitcoins… ». Ils ont même poussé le raffinement en installant un accusé de réception furtif pour savoir si « le mail infecté a été manipulé, transféré ou détruit ».

Retourner aux basiques

Tout en admettant que les pirates disposent d’une fenêtre de tir assez courte avant que les éditeurs de solutions de sécurité IT ne reprennent la main vis-à-vis de leurs clients à protéger: « A chaque campagne, les pirates n’envoient pas la même pièce jointe, car sinon elle serait immédiatement découverte et neutralisée par les systèmes antivirus. Aujourd’hui, c’est une course dans laquelle les hackers ont quelques heures d’avance : c’est le temps qu’il faut aux éditeurs d’antivirus, même les plus réactifs, pour mettre à jour leurs bases de données et circonscrire la menace. Quelques heures au cours desquelles ces hackers peuvent gagner des millions… »

Back to basic : pour éviter ce genre de (gros) pépins, il faut mettre tous les utilisateurs de terminaux numériques dans la boucle. « Mais tout cela ne sert à rien sans la vigilance humaine, sans la pédagogie, sans la communication. Aujourd’hui, les hackers misent beaucoup sur la crédulité et l’inattention des utilisateurs. Donc moins on a d’utilisateurs crédules et distraits, moins on laisse de chances aux pirates. »

Une contribution dense et didactique de l’AFP à partager dans toutes les entreprises au nom du renforcement de la sécurité IT, constate ITespresso.

A lire aussi :

Le ransomware Locky mute pour multiplier ses victimes en France

Le ransomware Locky inonde la France, via de fausses factures Free Mobile

Crédit Photo : LeoWolfert-Shutterstock

Lire la biographie de l´auteur  Masquer la biographie de l´auteur