Doit-on prévoir un budget « rançongiciel » au plan d’investissement ?

Il existe plusieurs moyens de se prémunir des rançongiciels chiffrant, ces logiciels malveillants qui prennent en otage nos données et proposent « LA » clé de déchiffrement permettant de les récupérer en échange d’une rançon.

Premièrement, limiter les privilèges des utilisateurs afin d’éviter que le rançongiciel puisse s’exécuter sur la machine, segmenter ses réseaux et mettre en place un filtrage basé sur le principe du moindre privilège pour éviter sa propagation sur l’ensemble du système d’information. Maintenir à jour des correctifs de sécurité ses systèmes et limiter tant que possible, les accès à des services sensibles tels RDP ou SSH depuis Internet. Ensuite, utiliser une solution de protection « end point » capable d’effectuer une analyse comportementale pour contrer les rançongiciels dont les signatures ne sont pas encore connues. Et pour finir, disposer de sauvegardes de préférence « hors ligne », dont la restauration est testée régulièrement afin de s’assurer d’un retour à la normale en limitant les dégâts en cas de compromission des données. C’est facile à dire.

Tous les experts en SSI et les services de Police s’accordent à le dire, si vous êtes victime d’un rançongiciel, vous ne devez absolument pas payer la rançon, tout d’abord car vous n’avez pas la garantie de retrouver vos données, mais aussi parce que vous donnerez aux criminels des moyens supplémentaires pour réaliser de nouveaux rançongiciels et mettre au point de nouvelles attaques de plus en plus sophistiquées, comme le confirme la fiche dédiée aux rançongiciels dans l’excellent kit de sensibilisation proposé par le GIP ACYMA, sur son site cybermalveillance.gouv.fr [1]. 

Oui mais voilà, depuis le début de l’année, en dépit de ces conseils, je constate que de plus en plus d’entreprises mettent la main au porte-monnaie dans le but d’essayer de retrouver leurs données. Alors ces entreprises ou institutions ont-elles perdu la raison ?

Personne ne vous conseillera jamais de payer une rançon si vous êtes victime de ce type d’attaque, surtout pas moi. Mais si ces données sont vitales au fonctionnement de votre établissement et que vous n’avez aucun autre moyen de les récupérer, ne soyons pas hypocrites,  la question de sortir le chéquier pour acheter une poignée de Bitcoin peut se poser.

Je pense qu’il faut avant tout s’interroger sur quelques points, par exemple :

1. Quelle est la valeur de mes données par rapport à la rançon demandée ?

2. Mon établissement peut-il survivre sans ces données ?

3. Si oui combien de temps ? 

4. La « reconstruction » de mon système me coûtera-t-elle moins cher que la rançon exigée ?

Si après cela, vous jugez nécessaire de franchir le pas, il est impératif de tenter d’établir un contact avec l’attaquant et lui demander de déchiffrer un fichier ne contenant pas d’informations sensibles (le fond d’écran de Micheline de la compta fera très bien l’affaire) pour vérifier que vous n’allez pas payer pour rien et que l’auteur de cette prise d’otage est en capacité de vous fournir la clé de déchiffrement. Prenons l’exemple de Wannacry en 2017, quelques jours après l’attaque mondiale la messagerie utilisée par l’attaquant a été fermée par son opérateur, donc autant dire que dans un tel cas, pas la peine d’envoyer vos Bitcoins, vous ne reverrez jamais arriver la clé de déchiffrement. Et pourtant de nombreuses victimes ont foncé tête baissée dans le panneau.

Pour prendre un exemple plus récent, le cas du groupe Altran qui aurait déboursé près d’un million d’euros dans une rançon en janvier dernier pour tenter de récupérer ses données, n’a jamais vu « la couleur » de cette fameuse clé de déchiffrement lui permettant de les récupérer [2]. Ont-ils établis un contact avec l’attaquant ? Ont-ils obtenu une preuve de la capacité de l’attaquant à déchiffrer ces données ?

Malgré cela, nous apprenions mi juin, que le conseil municipal de Riviera Beach en Floride avait voté à l’unanimité la décision de payer une rançon de 600 000$ [3] afin de retrouver l’accès à son SI, accès qui semble voir retrouvé suite au paiement de cette rançon, tout comme cela semble être également le cas pour le laboratoire Eurofins Scientific d’après un nouvel article paru cette semaine [4].

Même si personne ne vous le conseille, surtout pas moi et que vous décidez entre votre âme et conscience de payer la rançon, il est également primordiale de connaître la (ou les) faille(s) ayant permis le déploiement du rançongiciel et de la (ou les) corriger avant de payer, afin d’éviter de vous transformer en machine à Bitcoins pour les attaquants.

Je ne vous ai rien dit...

---

[1]  

[2] 

[3]  

[4]