Cryptolockers et métaphysique de la communication utilisateur

Rappelons le principe des cryptolockers, pour ceux qui auraient pris 13 mois de vacances sur une île déserte sans accès au Web. Un cryptolocker est un programme de la classe des malwares, qui se propage essentiellement par les pièces jointes des messageries, et qui chiffre tout ou partie des données utilisateurs. Une fois les données chiffrées et rendues inintelligibles, il faut quémander la clé de déchiffrement auprès du (des) pirate(s), qui en retour sollicite(nt) une généreuse contribution financière en dollars sonnants et trébuchants, quoique plus souvent sous la forme de bitcoins (intraçables).

Plusieurs établissements de santé ont eu à subir ce type d’attaques, mais jusqu’à présent les dégâts ont été contenus : les cryptolockers ne savent chiffrer que les disques durs locaux des PC (sur lesquels, en principe, une charte utilisateur bien léchée stipule qu’il ne faut rien stocker). Dans quelques cas ont été observés des chiffrements de répertoires réseau pour lesquels la parade ultime est la sauvegarde : au pire, on restaure la sauvegarde de la veille, et la question est réglée. Encore faut-il disposer de sauvegardes, qu’elles soient actualisées, que le système de sauvegarde lui-même ne soit pas corrompu, etc.

Ces derniers jours, on a pu lire le cas d’un hôpital américain dont l’intégralité du SI a été bloquée par un malware (voir le site de Zataz[1]). Le fait est que la presse donne peu de détails sur cette attaque – nous le signalions récemment sur ce même site[2] –, notamment sur le mécanisme technique par lequel un cryptolocker, censé chiffrer les données de bureautique, a pu paralyser le SI d’un établissement de santé dans sa totalité.

Dans l’un des derniers numéros du podcast No Limit Secu[3], qui est en général bien informé sur ce type d’incidents, les intervenants avouaient eux aussi leur méconnaissance du mode précis d’attaque. Mais c’est une autre remarque qui a retenu mon attention : si un journaliste faisait observer qu’il est essentiel de propager la bonne parole auprès des utilisateurs, à savoir ne pas ouvrir les pièces jointes des expéditeurs inconnus (partant du fait que les cryptolockers s’infiltrent essentiellement par le biais de macros incluses dans des fichiers bureautiques), un autre journaliste affirmait avec force son désaccord.

Selon lui, quel RSSI peut raisonnablement être persuadé que, sur une population de plusieurs centaines ou milliers d’utilisateurs, aucun d’entre eux ne cliquera jamais sur le mauvais mail ou la mauvaise pièce jointe ? Je n’avais jamais entendu ce point de vue, mais, à la réflexion, toutes les campagnes de sensibilisation du monde n’y changeront rien : quand des mails infectés, prétextant une facture à payer, transportent des malwares, je vois mal en effet comment expliquer à un service comptable de ne pas ouvrir de tels mails. Diantre, des messages – sains –, les agents comptables en reçoivent par dizaines chaque jour ! Compter sur leur présence d’esprit, c’est oublier que leur métier consiste à traiter des pièces comptables, pas à jouer les limiers.

D’ailleurs, quelle industrie lancerait sur le marché un produit affligé d’une fonctionnalité dangereuse et compterait sur la sagacité des utilisateurs pour ne pas l’activer ? Comment imaginer qu’un constructeur automobile pourrait installer un bouton de siège éjectable sur le tableau de bord des véhicules de sa gamme, et s’abriter derrière le manuel utilisateur en stipulant QU’IL NE FAUT SURTOUT PAS y toucher ?

Les utilisateurs doivent pouvoir surfer et ouvrir des mails ou des pièces jointes en toute sécurité, point barre. Je suis étonné que personne ne fustige les éditeurs d’antivirus pour ne pas être en mesure d’inclure dans leurs produits une fonction simple (à activer ou non par la DSI) qui permettrait de supprimer, sur les passerelles SMTP et sur les serveurs, les pièces jointes entrantes ou les fichiers comportant des macros. Certes aucun antivirus n’est parfait : que l’on se base sur l’analyse comportementale ou sur une base de signature, la raquette est forcément trouée. Il n’en reste pas moins que la détection des pièces jointes à exclure impérativement fait selon moi partie du b.a.-ba.

[1]   http://www.zataz.com/ransomware-dans-un-hopital-les-dossiers-des-patients-pris-en-otage/#axzz41OPfWe2z 

[2]   /article/1861/info-flash-un-hopital-americain-cible-de-hackers.html 

[3]   https://www.nolimitsecu.fr