Les attaques par rançongiciels et les attaques par extorsion ne cessent d’augmenter. Des pirates informatiques tentent de s’introduire dans des entreprises, des universités (en anglais) et des organismes gouvernementaux (en anglais) afin d’extorquer de l’argent. Les pirates ont désormais passé la vitesse supérieure. Si les attaques de type « WannaCry » contre les ordinateurs de particuliers sont moins fréquentes, celles à grande échelle contre l’ensemble de l’infrastructure informatique de la victime sont de plus en plus nombreuses ! L’Active Directory, les mémoires fichiers, les bases de données, tout peut être piraté, et que l’on paie la rançon ou non, on court toujours le risque de tout perdre.
Les attaques par rançongiciels existent depuis un certain temps déjà. Au départ, les cybercriminels se contentaient d’infecter les PC de particuliers au moyen d’un virus contenant un logiciel malveillant qui cryptait tous les documents, photos et fichiers locaux, et d’exiger une petite somme d’argent (environ 300 dollars), en échange de la clé de décryptage. Récemment, cependant, ces attaques ont évolué en « attaques d’extorsion », avec lesquelles les données étaient non seulement cryptées, mais également transférées à l’étranger, les pirates menaçant de publier toutes les données, photos privées, documents personnels et fichiers confidentiels, si une certaine somme d’argent ne leur était pas versée. Cependant, comme les gains n’étaient pas suffisamment élevés, les cybercriminels, forts des compétences et du savoir-faire qu’ils avaient acquis, se sont finalement tournés vers de plus gros poissons, à savoir les entreprises et leur infrastructure informatique, leur envoyant des demandes de rançon se chiffrant en millions de dollars. Une attaque démarre lentement car infiltrer une entreprise prend du temps et il est primordial de le faire avec discrétion, pour ne pas se faire prendre. Reconnaissance, repérage des actifs les plus lucratifs et des cibles principales, déploiement du logiciel malveillant – le processus peut prendre des mois.
Cependant, il existe également un marché destiné à la vente d’identifiants d’entreprise et des droits d’accès à leur réseau. Il est ainsi fréquent que les bandes de pirates par rançongiciels ne fassent aucun effort pour infiltrer une entreprise et qu’elles achètent à d’autres bandes de pirates ce dont elles ont besoin. Une fois que le dispositif est en place et qu’ils ont extrait toutes les données sensibles, les pirates déclenchent l’opération et les données de tous les actifs de l’entreprise sont cryptées en parallèle et de manière coordonnée. Cette opération a souvent lieu au plus mauvais moment pour l’entreprise (jour férié, vendredi soir, etc.). Ils opèrent lentement et en catimini, mais avec détermination et minutie, c’est à ce moment-là que l’entreprise risque de tout perdre.
Les trois principes de base pour parer à une attaque par rançongiciel sont les suivants : 1) faire en sorte de ne pas être victime d’une cyberattaque, 2) si cela arrive, ne pas payer la rançon et 3) disposer d’un plan de reprise après sinistre. L’hétérogénéité des infrastructures des grandes entreprises rend le premier point particulièrement difficile à suivre (mais il est impératif et essentiel d’essayer) ; le deuxième point est discutable, notamment au regard de ce qui est en jeu pour l’entreprise. Quant au troisième point, c’est la solution de dernier recours, tout particulièrement lorsque l’attaque a déjà sévèrement frappé : il convient d’avoir un plan de reprise après sinistre en place et d’être prêt à recréer son infrastructure informatique à partir de zéro et ce, que l’on décide de payer ou non la rançon. Voici les questions essentielles que les responsables de services, gestionnaires de données, spécialistes des systèmes de contrôle, responsables des systèmes d’acquisition des données, dépositaires de logiciels ou documentalistes au CERN doivent se poser : ai-je mis en place les dispositifs de sauvegarde appropriés ? Ai-je des sauvegardes adaptées des actifs les plus importants ? Et sont-elles intactes et à l’abri de toute attaque ?
Le plus important est, bien entendu, de disposer d’une sauvegarde, et de s’assurer que celle-ci est complète et lisible. La fréquence de sauvegarde peut avoir de l’importance, en fonction du niveau de perte que vous êtes prêt à tolérer s’il vous faut restaurer votre service à partir de la dernière sauvegarde valide. Plus la fréquence de sauvegarde est élevée, moins la perte sera importante. Toutefois, la fréquence et le nombre de sauvegardes qui seront conservées dans le pipeline dépendent en général essentiellement de l’espace dont vous disposez, les capacités de stockage n’étant pas infinies. Une fréquence de sauvegarde élevée associée à une profondeur de pipeline limitée pourrait également être problématique car des fichiers cryptés pourraient contaminer la sauvegarde, bien que la lecture des fichiers et des tests permettent de le détecter.
Ensuite, comment être certain que votre sauvegarde n’a pas été altérée ? Les pirates opérant secrètement pendant des mois, des fichiers cryptés (en particulier ceux rarement consultés, comme les contrats, les fichiers personnels, les relevés de mouvements et les données chiffrées) peuvent se glisser dans chaque copie de votre sauvegarde. Idéalement, les sauvegardes devraient s’effectuer hors ligne (sur des disques USB externes pour les particuliers ou sur bande pour les sauvegardes volumineuses). Contrairement aux sauvegardes complètes, les sauvegardes incrémentielles, qui ne se déclenchent que lorsqu’un fichier est modifié, permettent de parer à ces attaques (sauf si les fichiers ont déjà été cryptés plusieurs fois). D’autre part, il devrait être facile de détecter le cryptage malveillant de fichiers fréquemment modifiés ou régulièrement relus (comme les paramètres de configuration et de calibrage, les modèles, les documents en cours d’élaboration) puisque les accès et les fonctionnalités ne marcheront plus. Le risque que ces fichiers cryptés contaminent la sauvegarde est donc faible, car ils seront probablement détectés avant la prochaine sauvegarde.
In fine, il existe trois types de personnes : 1) celles qui ne font pas de sauvegardes (et regrettent plus tard), 2) celles qui en font mais ne les contrôlent pas (et regretteront certainement plus tard), et 3) celles qui en font et les contrôlent (en anglais). À titre individuel, CERNBox est la meilleure solution. En tant que responsable de services, gestionnaire de données, spécialiste des systèmes de contrôle, responsable des systèmes d’acquisition des données, dépositaire de logiciels ou documentaliste au CERN, il est important de vérifier ses actifs les plus importants. Protégez votre configuration, vos fichiers de données, paramètres de calibrage, bibliothèques de logiciels, documents et données. Le mot d’ordre est : protéger les données et les documents du CERN ! Consultez vos prestataires de services informatiques, trouvez des solutions, et considérez la reprise après sinistre comme une priorité, sans cela, vous risquez de tout perdre… Mais vous ne souhaitez sans doute pas assumer cette responsabilité pour l’ensemble du CERN.
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.