Les rançongiciels se multiplient cette année, avec des attaques très médiatisées en provenance de cybercriminels qui utilisent des logiciels malveillants pour chiffrer de données qui se produisent presque tous les jours.
Les collectivités locales, les écoles et les universités, les hôpitaux ont tous été victimes d’attaques de ce type. Et font face à des pirates informatiques qui exigent des centaines de milliers d’euros en Bitcoin en échange du retour de leurs fichiers.
Les victimes cèdent souvent aux demandes d’extorsion, malgré les conseils de ne pas payer. Dans d’autres cas, les organisations tentent de résoudre elles-mêmes le problème, perdant des heures de travail et du chiffre d’affaires pendant les jours ou les semaines où le réseau est en panne.
De nombreux conseils d’administration ne prennent toujours pas la cybersécurité au sérieux
Les dommages qui peuvent être causés à une organisation victime d’un ransomware – les coûts financiers de la réparation du problème, plus les dommages potentiels à la réputation qui peuvent découler d’une attaque de pirates informatiques – sont évidents. Alors pourquoi, malgré les avertissements les attaques sont-elles toujours aussi efficaces ?
Le problème tient en partie au fait que de nombreux conseils d’administration ne prennent toujours pas la cybersécurité aussi au sérieux qu’elle devrait l’être. “La sécurité n’est toujours pas considérée comme une priorité dans le cadre des opérations de l’entreprise – elle est transférée au service informatique, voire mise de côté” explique Jennifer Ayers, directrice de CrowdStrike.
“Il y a eu quelques changements, surtout au cours des dix dernières années, avec plus d’investissements, mais en fin de compte, les équipes de sécurité sont considérées comme un petit groupe à part et non comme une partie essentielle de l’activité”.
Quand Microsoft n’est pas écouté
En l’absence d’une équipe de sécurité de l’information dédiée et dotée de ressources suffisantes, il devient trop facile pour les entreprises – intentionnellement ou non – d’éviter les tâches de sécurité de base telles que l’application de correctifs aux systèmes d’exploitation ou aux logiciels.
Exemple : Microsoft souligne l’importance d’installer la mise à jour de sécurité critique pour EternalBlue – la vulnérabilité qui alimentait WannaCry – mais l’ampleur de l’attaque mondiale a clairement montré qu’une proportion significative de victimes n’avait pas appliqué le correctif, malgré les avertissements.
Dans d’autres cas, les correctifs sont appliqués, mais parce que le travail n’est pas effectué par du personnel spécialisé, ils ne sont pas toujours installés correctement, laissant les organisations vulnérables aux attaques contre lesquelles elles pensent être protégées.
Attention au RDP (remote desktop protocols)
“La plupart des incidents surviennent en fait à la suite d’une vulnérabilité que vous savez déjà comment réparer. Nous savons que les réponses sont les bonnes, et ce n’est pas que les entreprises ne prennent pas de mesures, c’est que certains des contrôles qu’elles utilisent sont faillibles et que la complexité de leur déploiement est un problème difficile” déclare Christy Wyatt, PDG d’Absolute Software.
L’une des principales raisons pour lesquelles les cybercriminels peuvent utiliser des logiciels malveillants est l’absence de correctifs appropriés, parallèlement aux protocoles de bureau à distance (RDP – remote desktop protocols) non sécurisés qui restent exposés à Internet avec des identifiants de connexion par défaut.
Souvent, ces ports RDP peuvent être complètement oubliés, laissant les organisations avec une faiblesse qu’elles ignorent – et c’est donner un avantage aux attaquants parce qu’une équipe de sécurité ne peut pas travailler pour protéger quelque chose dont elle ignore l’existence.
Nouvelles techniques des pirates
“Pensez à votre réseau : vous devez vous assurer d’avoir de la visibilité sur tous vos appareils, car si vous ne pouvez pas le voir, vous ne pouvez pas le protéger” explique M. Wyatt. “Les appareils qui ne sont pas gérés n’ont aucune chance de résister aux attaques : sans visibilité, vous vous battez avec une main attachée dans le dos”.
Les attaques de ransomware sont plus sophistiquées qu’elles ne l’étaient il y a encore quelques années lorsque les courriels d’hameçonnage étaient envoyés en embarquant un malware. Aujourd’hui, après avoir accédé à un réseau, les pirates y passent des semaines, voire des mois, s’y déplacent à l’aide de données d’identification volées ou faibles afin que tout ce qui peut être visé avec ransomware.
Ce n’est qu’à ce moment-là que les agresseurs vont appuyer sur la gâchette, chiffrer tout le réseau et exiger une somme énorme en échange de la restitution des fichiers. Il est donc crucial que les organisations veillent à ce que les ports RDP soient aussi sécurisés que possible – et que même si un attaquant accède au réseau, des protections soient mises en place pour l’en empêcher.
Besoin de changement
“Vous devez limiter la capacité des attaquants à accéder à distance aux réseaux, soit en verrouillant l’accès RDP interne aux environnements, soit en exigeant un accès multifactoriel à tous les outils ou passerelles d’accès à distance” explique Charles Carmakal, de FireEye. “Minimiser l’accès aux informations d’identité et les différentes façons dont Windows les expose sur un système peut rendre l’attaque beaucoup plus difficile” ajoute-t-il.
Malheureusement, il semble parfois que la seule chose qui pousse une organisation à prendre la sécurité du réseau au sérieux est d’être victime d’un incident majeur, qu’il s’agisse d’un ransomware, d’un vol de données ou de tout autre type d’attaque informatique.
Cela doit cependant changer, car si les organisations ne protègent pas correctement leur périmètre, les cybercriminels continueront à tirer parti de leurs faiblesses : les organisations et leurs conseils d’administration doivent donc s’y intéresser le plus tôt possible, sinon ils risquent de devenir la prochaine victime très médiatisée d’une attaque de rançon logicielle.
“Nous sommes certains que cela ne s’arrêtera pas” dit Ayers. “Vous n’avez peut-être pas été encore touchés, mais c’est le moment d’améliorer votre défense”.
Pour aller plus loin
Article “Ransomware: Why we’re still losing the fight – and the changes you need to make, before it’s too late” traduit et adapté par ZDNet.fr
Comments