La Reavis High School à Burbank, dans l’État américain de l’Illinois, a choisi de renforcer son système de défense face à la vague d’attaques de ransomwares qui touche les universités à travers le monde.
Universités et grandes écoles sont particulièrement exposées aux cyberattaques. Elles constituent une cible de choix pour les hackers, sans doute du fait de la compétition qu’elles se livrent dans leurs travaux de recherche et dans leur classement mondial (cf. l’encadré ci-dessous). Il est vrai qu’elles n’ont pas toujours les moyens de se protéger comme des entreprises privées détentrices de brevets ou de secrets industriels.
L’université américaine Reavis High School, de Burbank, a pris les devants : il y a quelques mois, elle a décidé de se protéger des ransomwares. Cette école supérieure privée, fondée en 1950, accueille chaque année environ 2000 étudiants encadrés par une centaine de professeurs. Son parc de postes de travail compte 1800 Mac et PC, ainsi que des dizaines d’ordinateurs pour l’administration et d’autres installés en laboratoire.
Jusqu’ici, l’université était dotée du système antimalware Sophos. Mais elle a constaté qu’elle était de plus en plus exposée aux risques de cyberattaques très sophistiquées, dont les menaces de phishing et de ransomware. Elle s’est donc mise en quête d’une solution plus radicale. Le but était d’obtenir une meilleure visibilité des points d’accès réseau et, si possible, des actions proactives et préventives. Il fallait également faciliter la tâche du personnel informatique, en l’alertant au plus vite.
La montée des menaces de ‘cryptolockers’
Pat Kustok, nouvellement recruté à la tête du service informatique, a constaté que les attaques de malwares étaient très récurrentes, donc toujours plus menaçantes. L’antivirus de Sophos, alors en place, n’était pas mis à jour assez régulièrement. De nouvelles cyberattaques se profilaient et un nombre croissant de programmes potentiellement indésirables (« PUP ») risquaient de s’infiltrer dans les systèmes.
La vigilance est montée d’un cran lorsque l’équipe informatique a dû faire face à l’attaque d’un cheval de Troie ‘cryptolocker’ sur des postes d’enseignants, dont certains fichiers et accès aux données ont été verrouillés. Chaque mois, il a fallu nettoyer, voire réinstaller entièrement, une grande quantité de postes.
Le piège des faux positifs
Certains responsables réseau connaissaient Malwarebytes, d’autres Vipre Antivirus. C’est Malwarebytes End Point Security qui a été retenu, après une série de tests. Le produit concurrent générait trop de faux positifs, notamment avec Windows 10. En outre, la version Malwarebytes pour Mac s’est avérée aussi efficace que celle sur PC. « Lorsque nous avons testé Malwarebytes sur les Mac, les techniciens de cet éditeur nous ont fait une démo très pertinente, qui a achevé de nous convaincre », confirme Pat Kustok.
Profitant des vacances d’été, l’équipe informatique a reconfiguré tous les ordinateurs de l’école en y intégrant la nouvelle solution de sécurité. « L’installation a été très simple à effectuer, témoigne Pat Kustok. La console de management est très bien organisée. On peut tout y visualiser, très rapidement. » Tous les techniciens du service informatique ont été formés à utiliser cette console, facile à administrer pour nettoyer des machines ou anticiper des menaces.
Les étudiants et les enseignants ne connaissent plus les problèmes de malwares comme auparavant. La solution mise en place bloque les sites web malveillants ; elle nettoie les malwares et informe le service informatique lorsqu’une menace apparaît. Le malware peut être neutralisé avant même que les utilisateurs ne s’aperçoivent de l’attaque ou tentative d’attaque.
« Jusqu’à maintenant, nous n’avons eu aucun problème de ransomware. Et même si nous voyons la trace de logiciels malveillants, Malwarebytes s’en occupe automatiquement. »
Le gain de temps est indéniable : lorsque Malwarebytes scanne une machine, les résultats et la résolution du problème sont automatiquement envoyés par email, avec un message d’alerte à l’équipe informatique, qui n’a pas besoin de venir sur la console de management. La notification est immédiate.
« Ce mode de reporting présente un avantage énorme, observe Part Kustok. Cela facilite notre travail, car nous n’avons pas à nous déplacer, pour vérifier ce qui se passe. Et si un problème particulier se pose, nous en sommes alertés tout de suite, » conclut-il.
Des cibles privilégiées
L’actualité récente le confirme, les grandes écoles et les universités attirent les hackers. En mai 2016, la célèbre Université de Calgary au Canada a été victime d’un ransomware. Toutes ses données informatiques ont été encryptées. N’ayant réussi à récupérer que la messagerie (qui était sauvegardée), les responsables ont accepté de payer 20.000 dollars canadiens (environ 14.000 euros) pour obtenir la clé de chiffrement.
L’Université de Montréal a également été atteinte par un redoutable ransomware accompagné d’un ver informatique, WannaCry : environ 120 postes ont été affectés. Plus près de nous, en avril 2017, l’université de Rennes a subi une attaque de ransomware propagée par des emails ; elle a été très longue à maîtriser. Les messages, qui changeaient très souvent d’expéditeur, contenaient un lien vers un site de téléchargement de photos qu’il suffisait de consulter pour que s’active le chiffrement des répertoires sur les postes de travail.
L’University College de Londres (UCL), ce mois de juin, a été atteinte par une attaque de ransomware similaire qui a ciblé des disques partagés et un système d’administration des étudiants. L’attaque, qui serait partie là aussi d’emails de phishing, a été classée « zero day ». Les antivirus en place ne l’ont pas détectée.
