Publicité en cours de chargement...
Cryptolockers et métaphysique de la communication utilisateur
Rappelons le principe des cryptolockers, pour ceux qui auraient pris 13 mois de vacances sur une île déserte sans accès au Web. Un cryptolocker est un programme de la classe des malwares, qui se propage essentiellement par les pièces jointes des messageries, et qui chiffre tout ou partie des données utilisateurs. Une fois les données chiffrées et rendues inintelligibles, il faut quémander la clé de déchiffrement auprès du (des) pirate(s), qui en retour sollicite(nt) une généreuse contribution financière en dollars sonnants et trébuchants, quoique plus souvent sous la forme de bitcoins (intraçables).
Plusieurs établissements de santé ont eu à subir ce type d’attaques, mais jusqu’à présent les dégâts ont été contenus : les cryptolockers ne savent chiffrer que les disques durs locaux des PC (sur lesquels, en principe, une charte utilisateur bien léchée stipule qu’il ne faut rien stocker). Dans quelques cas ont été observés des chiffrements de répertoires réseau pour lesquels la parade ultime est la sauvegarde : au pire, on restaure la sauvegarde de la veille, et la question est réglée. Encore faut-il disposer de sauvegardes, qu’elles soient actualisées, que le système de sauvegarde lui-même ne soit pas corrompu, etc.
Ces derniers jours, on a pu lire le cas d’un hôpital américain dont l’intégralité du SI a été bloquée par un malware (voir le site de Zataz[1]). Le fait est que la presse donne peu de détails sur cette attaque – nous le signalions récemment sur ce même site[2] –, notamment sur le mécanisme technique par lequel un cryptolocker, censé chiffrer les données de bureautique, a pu paralyser le SI d’un établissement de santé dans sa totalité.
Dans l’un des derniers numéros du podcast No Limit Secu[3], qui est en général bien informé sur ce type d’incidents, les intervenants avouaient eux aussi leur méconnaissance du mode précis d’attaque. Mais c’est une autre remarque qui a retenu mon attention : si un journaliste faisait observer qu’il est essentiel de propager la bonne parole auprès des utilisateurs, à savoir ne pas ouvrir les pièces jointes des expéditeurs inconnus (partant du fait que les cryptolockers s’infiltrent essentiellement par le biais de macros incluses dans des fichiers bureautiques), un autre journaliste affirmait avec force son désaccord.
Selon lui, quel RSSI peut raisonnablement être persuadé que, sur une population de plusieurs centaines ou milliers d’utilisateurs, aucun d’entre eux ne cliquera jamais sur le mauvais mail ou la mauvaise pièce jointe ? Je n’avais jamais entendu ce point de vue, mais, à la réflexion, toutes les campagnes de sensibilisation du monde n’y changeront rien : quand des mails infectés, prétextant une facture à payer, transportent des malwares, je vois mal en effet comment expliquer à un service comptable de ne pas ouvrir de tels mails. Diantre, des messages – sains –, les agents comptables en reçoivent par dizaines chaque jour ! Compter sur leur présence d’esprit, c’est oublier que leur métier consiste à traiter des pièces comptables, pas à jouer les limiers.
D’ailleurs, quelle industrie lancerait sur le marché un produit affligé d’une fonctionnalité dangereuse et compterait sur la sagacité des utilisateurs pour ne pas l’activer ? Comment imaginer qu’un constructeur automobile pourrait installer un bouton de siège éjectable sur le tableau de bord des véhicules de sa gamme, et s’abriter derrière le manuel utilisateur en stipulant QU’IL NE FAUT SURTOUT PAS y toucher ?
Les utilisateurs doivent pouvoir surfer et ouvrir des mails ou des pièces jointes en toute sécurité, point barre. Je suis étonné que personne ne fustige les éditeurs d’antivirus pour ne pas être en mesure d’inclure dans leurs produits une fonction simple (à activer ou non par la DSI) qui permettrait de supprimer, sur les passerelles SMTP et sur les serveurs, les pièces jointes entrantes ou les fichiers comportant des macros. Certes aucun antivirus n’est parfait : que l’on se base sur l’analyse comportementale ou sur une base de signature, la raquette est forcément trouée. Il n’en reste pas moins que la détection des pièces jointes à exclure impérativement fait selon moi partie du b.a.-ba.
[2] /article/1861/info-flash-un-hopital-americain-cible-de-hackers.html
Avez-vous apprécié ce contenu ?
A lire également.
Regonfler un pneu ou s’attaquer à la root cause : vision 27001 de la mise sous contrainte
15 sept. 2025 - 22:20,
Tribune
-Imaginez un peu la scène : vous êtes dans votre jardin en train de tailler vos rosiers, et par-dessus la clôture vous apercevez votre voisin que vous saluez chaleureusement. Vous en profitez pour le prévenir que le pneu arrière gauche de sa voiture, garée dans son allée et que vous voyez très bien d...

Tour de France CaRE Domaine 2
13 sept. 2025 - 16:20,
Communiqué
- Orange CyberdefenseLa cybersécurité n’est plus une option pour les établissements de santé ! Grâce au programme CaRE, vous pouvez bénéficier de subventions pour augmenter votre résilience numérique. Orange Cyberdefense vous invite à son Tour de France autour du Domaine 2 du programme CaRE de mi-septembre à mi-octobre.

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA
08 sept. 2025 - 11:50,
Tribune
-Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...