Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Cryptolockers et métaphysique de la communication utilisateur

07 mars 2016 - 09:50,
Tribune - Cédric Cartau
Depuis janvier 2015 – plus d’un an –, des vagues de cryptolockers s’abattent régulièrement sur nos SI, hospitaliers ou cliniques, de santé ou non.

Rappelons le principe des cryptolockers, pour ceux qui auraient pris 13 mois de vacances sur une île déserte sans accès au Web. Un cryptolocker est un programme de la classe des malwares, qui se propage essentiellement par les pièces jointes des messageries, et qui chiffre tout ou partie des données utilisateurs. Une fois les données chiffrées et rendues inintelligibles, il faut quémander la clé de déchiffrement auprès du (des) pirate(s), qui en retour sollicite(nt) une généreuse contribution financière en dollars sonnants et trébuchants, quoique plus souvent sous la forme de bitcoins (intraçables).

Plusieurs établissements de santé ont eu à subir ce type d’attaques, mais jusqu’à présent les dégâts ont été contenus : les cryptolockers ne savent chiffrer que les disques durs locaux des PC (sur lesquels, en principe, une charte utilisateur bien léchée stipule qu’il ne faut rien stocker). Dans quelques cas ont été observés des chiffrements de répertoires réseau pour lesquels la parade ultime est la sauvegarde : au pire, on restaure la sauvegarde de la veille, et la question est réglée. Encore faut-il disposer de sauvegardes, qu’elles soient actualisées, que le système de sauvegarde lui-même ne soit pas corrompu, etc.

Ces derniers jours, on a pu lire le cas d’un hôpital américain dont l’intégralité du SI a été bloquée par un malware (voir le site de Zataz[1]). Le fait est que la presse donne peu de détails sur cette attaque – nous le signalions récemment sur ce même site[2] –, notamment sur le mécanisme technique par lequel un cryptolocker, censé chiffrer les données de bureautique, a pu paralyser le SI d’un établissement de santé dans sa totalité.

Dans l’un des derniers numéros du podcast No Limit Secu[3], qui est en général bien informé sur ce type d’incidents, les intervenants avouaient eux aussi leur méconnaissance du mode précis d’attaque. Mais c’est une autre remarque qui a retenu mon attention : si un journaliste faisait observer qu’il est essentiel de propager la bonne parole auprès des utilisateurs, à savoir ne pas ouvrir les pièces jointes des expéditeurs inconnus (partant du fait que les cryptolockers s’infiltrent essentiellement par le biais de macros incluses dans des fichiers bureautiques), un autre journaliste affirmait avec force son désaccord.

Selon lui, quel RSSI peut raisonnablement être persuadé que, sur une population de plusieurs centaines ou milliers d’utilisateurs, aucun d’entre eux ne cliquera jamais sur le mauvais mail ou la mauvaise pièce jointe ? Je n’avais jamais entendu ce point de vue, mais, à la réflexion, toutes les campagnes de sensibilisation du monde n’y changeront rien : quand des mails infectés, prétextant une facture à payer, transportent des malwares, je vois mal en effet comment expliquer à un service comptable de ne pas ouvrir de tels mails. Diantre, des messages – sains –, les agents comptables en reçoivent par dizaines chaque jour ! Compter sur leur présence d’esprit, c’est oublier que leur métier consiste à traiter des pièces comptables, pas à jouer les limiers.

D’ailleurs, quelle industrie lancerait sur le marché un produit affligé d’une fonctionnalité dangereuse et compterait sur la sagacité des utilisateurs pour ne pas l’activer ? Comment imaginer qu’un constructeur automobile pourrait installer un bouton de siège éjectable sur le tableau de bord des véhicules de sa gamme, et s’abriter derrière le manuel utilisateur en stipulant QU’IL NE FAUT SURTOUT PAS y toucher ?

Les utilisateurs doivent pouvoir surfer et ouvrir des mails ou des pièces jointes en toute sécurité, point barre. Je suis étonné que personne ne fustige les éditeurs d’antivirus pour ne pas être en mesure d’inclure dans leurs produits une fonction simple (à activer ou non par la DSI) qui permettrait de supprimer, sur les passerelles SMTP et sur les serveurs, les pièces jointes entrantes ou les fichiers comportant des macros. Certes aucun antivirus n’est parfait : que l’on se base sur l’analyse comportementale ou sur une base de signature, la raquette est forcément trouée. Il n’en reste pas moins que la détection des pièces jointes à exclure impérativement fait selon moi partie du b.a.-ba.


 

[1]   http://www.zataz.com/ransomware-dans-un-hopital-les-dossiers-des-patients-pris-en-otage/#axzz41OPfWe2z 

[2]   /article/1861/info-flash-un-hopital-americain-cible-de-hackers.html 

[3]   https://www.nolimitsecu.fr 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Illustration Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

Fondation Santé Service choisit GPLExpert pour un hébergement web conforme au référentiel CaRE

02 juin 2025 - 15:00,

Communiqué

- GPLExpert

GPLExpert rejoint le groupe itp tout en conservant vos interlocuteurs. Fort de 30 ans d’histoire, 160 collaborateurs, 11 agences et 6 domaines d’expertise, qui sont désormais à votre service :

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.