Cryptolockers et métaphysique de la communication utilisateur
Rappelons le principe des cryptolockers, pour ceux qui auraient pris 13 mois de vacances sur une île déserte sans accès au Web. Un cryptolocker est un programme de la classe des malwares, qui se propage essentiellement par les pièces jointes des messageries, et qui chiffre tout ou partie des données utilisateurs. Une fois les données chiffrées et rendues inintelligibles, il faut quémander la clé de déchiffrement auprès du (des) pirate(s), qui en retour sollicite(nt) une généreuse contribution financière en dollars sonnants et trébuchants, quoique plus souvent sous la forme de bitcoins (intraçables).
Plusieurs établissements de santé ont eu à subir ce type d’attaques, mais jusqu’à présent les dégâts ont été contenus : les cryptolockers ne savent chiffrer que les disques durs locaux des PC (sur lesquels, en principe, une charte utilisateur bien léchée stipule qu’il ne faut rien stocker). Dans quelques cas ont été observés des chiffrements de répertoires réseau pour lesquels la parade ultime est la sauvegarde : au pire, on restaure la sauvegarde de la veille, et la question est réglée. Encore faut-il disposer de sauvegardes, qu’elles soient actualisées, que le système de sauvegarde lui-même ne soit pas corrompu, etc.
Ces derniers jours, on a pu lire le cas d’un hôpital américain dont l’intégralité du SI a été bloquée par un malware (voir le site de Zataz[1]). Le fait est que la presse donne peu de détails sur cette attaque – nous le signalions récemment sur ce même site[2] –, notamment sur le mécanisme technique par lequel un cryptolocker, censé chiffrer les données de bureautique, a pu paralyser le SI d’un établissement de santé dans sa totalité.
Dans l’un des derniers numéros du podcast No Limit Secu[3], qui est en général bien informé sur ce type d’incidents, les intervenants avouaient eux aussi leur méconnaissance du mode précis d’attaque. Mais c’est une autre remarque qui a retenu mon attention : si un journaliste faisait observer qu’il est essentiel de propager la bonne parole auprès des utilisateurs, à savoir ne pas ouvrir les pièces jointes des expéditeurs inconnus (partant du fait que les cryptolockers s’infiltrent essentiellement par le biais de macros incluses dans des fichiers bureautiques), un autre journaliste affirmait avec force son désaccord.
Selon lui, quel RSSI peut raisonnablement être persuadé que, sur une population de plusieurs centaines ou milliers d’utilisateurs, aucun d’entre eux ne cliquera jamais sur le mauvais mail ou la mauvaise pièce jointe ? Je n’avais jamais entendu ce point de vue, mais, à la réflexion, toutes les campagnes de sensibilisation du monde n’y changeront rien : quand des mails infectés, prétextant une facture à payer, transportent des malwares, je vois mal en effet comment expliquer à un service comptable de ne pas ouvrir de tels mails. Diantre, des messages – sains –, les agents comptables en reçoivent par dizaines chaque jour ! Compter sur leur présence d’esprit, c’est oublier que leur métier consiste à traiter des pièces comptables, pas à jouer les limiers.
D’ailleurs, quelle industrie lancerait sur le marché un produit affligé d’une fonctionnalité dangereuse et compterait sur la sagacité des utilisateurs pour ne pas l’activer ? Comment imaginer qu’un constructeur automobile pourrait installer un bouton de siège éjectable sur le tableau de bord des véhicules de sa gamme, et s’abriter derrière le manuel utilisateur en stipulant QU’IL NE FAUT SURTOUT PAS y toucher ?
Les utilisateurs doivent pouvoir surfer et ouvrir des mails ou des pièces jointes en toute sécurité, point barre. Je suis étonné que personne ne fustige les éditeurs d’antivirus pour ne pas être en mesure d’inclure dans leurs produits une fonction simple (à activer ou non par la DSI) qui permettrait de supprimer, sur les passerelles SMTP et sur les serveurs, les pièces jointes entrantes ou les fichiers comportant des macros. Certes aucun antivirus n’est parfait : que l’on se base sur l’analyse comportementale ou sur une base de signature, la raquette est forcément trouée. Il n’en reste pas moins que la détection des pièces jointes à exclure impérativement fait selon moi partie du b.a.-ba.
[2] /article/1861/info-flash-un-hopital-americain-cible-de-hackers.html
Avez-vous apprécié ce contenu ?
A lire également.
Adopt AI 2025 : la santé passe à l’échelle, sous le regard du terrain hospitalier
01 déc. 2025 - 11:56,
Actualité
- Morgan Bourven, DSIHL’Adopt AI International Summit 2025 s’est tenu les 25 et 26 novembre dans le cadre prestigieux du Grand Palais. Artefact y a accueilli près de 20 000 participants, 600 intervenants et 250 exposants, avec un moment fort : la venue du président Emmanuel Macron. Pensé comme un lieu où les idées se tra...
Le moment Spoutnik de la cyber
24 nov. 2025 - 22:22,
Tribune
-En matière d’armement, on dit que ce qui compte vraiment, c’est le nombre et la force. Mais surtout la force.
BRISS : Transformer la crise hospitalière en levier de résilience
18 nov. 2025 - 09:35,
Actualité
- Rédaction, DSIHLa plateforme BRISS, portée par l'ARS et la FHF Bourgogne-Franche-Comté, révolutionne la formation des établissements de santé en France en proposant des séries immersives inspirées de crises réelles comme la cyberattaque du CH de Pontarlier en octobre 2025.
Digressions sur la cyber et les enjeux climatiques
17 nov. 2025 - 20:53,
Tribune
-Cela nous pendait au nez : l’époque est aux questions semi-existentielles sur les enjeux climatiques, et la cyber, longtemps restée à l’écart, voit le sujet arriver par différentes sources et sous différentes formes, dont l’amendement sur les enjeux climatiques de la 27001.
