Le ransomware, une pratique qui se multiplie et qui reste difficile à contrer
Publié par Marwa Nakib le - mis à jour à
Un virus qui prend en otage vos données critiques grâce à une clé et ne les restitue que contre rançon, tel est le principe du ransomware. Une pratique qui se développe et cible tous types d'entreprises. Quels en sont les risques réels pour ces dernières et quels sont les remèdes ?
Le ransomware (anglais pour rançongiciel) est un logiciel informatique malveillant qui chiffre les données grâce à une clé, bloquant ainsi l'accès à tous les fichiers et leur contenu. Bien qu'existant depuis quelques années, il a muté pour s'attaquer aussi aux systèmes de backup, autrement dit même avec un système de sauvegarde, vos données critiques ne sont pas forcément à l'abri d'une attaque.
Apparus dans un premier temps en Russie, les ransomwares sont aujourd'hui répandus dans le monde entier. Selon une étude IRT SystemX, la probabilité qu'une entreprise se fasse attaquer par un ransomware se situe entre 2 et 5% en 2017. Un chiffre qui est à la hausse depuis. Selon Christophe Vanypre, DG de Recoveo, société qui assure la souveraineté des données et s'est spécialisée dans la récupération de données, "les cyberattaques par le biais de ransomwares sont tellement profitables qu'elles se multiplient et se produisent chaque jour par milliers. Malheureusement, les systèmes de sécurité des entreprises ne sont pas une garantie contre les risques d'une attaque : bien qu'ils arrivent à en freiner la plupart, certaines franchissent les système de sécurité mis en place, et arrivent à pénétrer le réseau".
Comment se passe une attaque?
Dans la plupart des cas, le virus s'infiltre sur le réseau informatique d'une d'entreprise via un seul ordinateur, par le biais de pièces jointes à télécharger dans un e-mail, pour ensuite se déployer sur les postes informatiques d'autres utilisateurs du réseau, en allant plus loin, jusqu'aux serveurs de sauvegarde de l'entreprise. Ayant chiffré toutes les données, l'assaillant commande une rançon (souvent par monnaie virtuelle pour éviter tout traçage), en échange d'une clé de déchiffrage. Son objectif ? obtenir le plus d'argent possible.
"La première phase de l'attaque est celle de l'audit. Pendant cette phase, des équipes de "hackers" ont déjà pénétré le réseau, mais l'entreprise ne le sait pas encore. Ils peuvent y rester des mois (cela dépend de la taille de l'entreprise et du volume de données à chiffrer), pour en analyser tous les systèmes de sécurité et de sauvegardes ou "backups", franchir les barrières de sécurité mises en place, et les désactiver. Ce n'est qu'à partir du moment où l'utilisateur ne peut plus accéder à ses fichiers et qu'il retrouve le message de rançon, qu'il peut savoir qu'il a fait l'objet d'une attaque de ransomware et que ses données ont été chiffrées", explique Christophe Vanypre.
Si on ne peut savoir à l'avance qui sera toucher et quand, certaines tendances de comportements des hackers sont à prendre en compte. "Bien que ces attaques ne peuvent généralement pas être prévues, il faut savoir qu'elles se produisent régulièrement les week-ends ou les vendredis soir. Elles se passent aussi souvent pendant les périodes des fêtes, pendant lesquelles il y a une potentielle absence de supervision. Cela laisse plus de temps à l'assaillant pour chiffrer un plus grand volume de données, surtout dans le cas des structures importantes, dans lesquelles il y a un grand terrain de données à rendre inaccessible", détaille Christophe Vanypre.
Comment recouvrir les données ?
Face à une attaque l'entreprise a le choix entre deux solutions : la première est de payer (une somme qui peut varier entre 150,000 euros à 2,500,000 euros) pour obtenir la clé de déchiffrement. Un choix qui a été pris par 40% des entreprises touchées en 2019 selon un rapport par CrowdStrike. En effet, bien souvent, les entreprises, attaquées sur tous leurs serveurs et sauvegardes en place, se retrouvent complètement démunies et acceptent de payer la rançon. L'entreprise qui choisit cette option prend le risque que la clé communiquée ne soit pas la bonne, mais aussi le risque d'une deuxième attaque ! Pour l'assaillant, elle est devenue un bon client.
La deuxième option est d'avoir recours aux entreprises de récupération des données qui récupère la donnée d'origine : "dans la panique et l'urgence, les entreprises n''y pensent pas forcément. Ce sont celles qui vont plus loin dans leur recherche de solutions qui y ont recours. La récupération de données étant rarement inscrite dans les plans de reprise d'activité des entreprises, ce n'est qu'après une attaque qu'une cellule de crise est créée avec un ajustement au plan de reprise d'activité".
La récupération des données permet au client de ne pas payer pas la rançon, et reprendre son activité opérationnelle le plus rapidement possible. En choisissant cette option, le coût revenant à l'entreprise se situe entre 8,000 et 25,000 (pour les PME) et peut aller jusqu'à 50,000 euros, selon l'étendue de l'attaque en termes de capacité de données, de nombre de serveurs impactés, et du volume des systèmes d'exploitation.
Comment se passe la récupération des données ?
Les entreprises de récupération des données agissent lorsque les données deviennent inaccessibles pour l'utilisateur depuis tous les supports informatique (DD, SSD, serveurs, clés USB), en travaillant sur les failles de l'attaque pour récupérer les données et restaurer les systèmes de backup. "En premier lieu nous effectuons un audit du système, puis un diagnostic des supports pour savoir quelles sont les données effacées et formatées, et quels sont les paramètres de serveurs qui ont re-setté (ndlr - redémarré/réinitialisé). La récupération des données ne déchiffre pas les données chiffrées, mais recouvre les données par un travail sur les failles, en intervenant sur la donnée inaccessible, mais encore présente. Il faut savoir que les assaillants rendent inaccessibles toutes les données, mais ne les chiffrent pas toutes. Là est la nuance".