<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1033252670099820&amp;ev=PageView&amp;noscript=1">
New Call-to-action

Ransomware : vos données au risque de la prise d'otage

› › › RETOUR AU BLOG

[fa icon="calendar"] 4 avr. 2016 09:12:55 / by Alexandre Reynes

Avec le CryptoLocker et ses cousins, les hackers sont passés à la vitesse supérieure faisant entrer le malware dans l'ère de la rentabilité. Le Ransomware est une tendance forte en 2016, apparaissant comme le cauchemar informatique du moment. Retour sur un début d'année mouvementé...

ransomware-donnees-sensibles-otage-menace.jpg

Qu'est-ce qu'un ransomware?

Le CryptoLocker appartient à la famille Trojan ransomware, dans la rubrique chantage et extorsion de fonds. Une fois activé, le programme malveillant entame une procédure de cryptage de vos données et vous envoit, une fois le processus achevé, une demande de rançon par l'intermédiare d'un programme de paiement. Le malware CryptoLocker n'est pas une nouveauté, son origine remonte au botnet Gameover ZeuS en 2013, mis en échec en 2014 grâce à l'opération "Tovar". Mais l'idée était pour le moins lucrative et les clones se sont multipliés. A l'origine, ce logiciel malveillant ne s'attaquait qu'à des machines Windows et principalement à des particuliers.

L'inquiétude des experts se porte aujourd'hui sur la multiplication des attaques visant les entreprises.

Le plus récent exemple de prise en otage d'un système d'information illustre parfaitement les risques engendrés par ce type de menace. C'est l'attaque du réseau informatique du Hollywood Presbyterian Medical Center de L.A. Le malware a pris le contrôle du réseau de l’établissement hospitalier pendant deux semaines, bloquant l'ensemble des systèmes.

Tout a débuté le 5 février de cette année, les équipes n'étant plus en mesure d'accéder au réseau interne et se trouvant de fait dans l'incapacité de traiter les patients. Jusqu’à ce que l'hopital décide finalement de payer 16.900 $ en Bitcoin aux "preneurs d'otages" afin d'obtenir une clé de décryptage.

Le secteur Santé : une des cibles privilégiées des cyberattaques

Cette attaque a été suivie dans la même semaine par deux autres attaques visant des hopitaux allemands. Ces deux établissements ont mieux géré la situation. D'abord alertés par une lenteur inhabituelle du réseau, des alarmes déclenchées par la connexion des équipements radiologiques qui ne pouvaient plus accéder aux applications leur permettant de fonctionner, leur ont permis de détecter et de circonscrire la menace. Le contrôle de la crise en Allemagne résulte d'une meilleure gestion des comptes et des accès et d'un cloisonnement efficace des réseaux. Bien sûr, les opérations chirurgicales sensibles ont été reportées et le retour à la normale est passé par un véritable Back to the 90s et par l'utilisation temporaire d'outils de travail traditionnels, fiches papiers, rendez-vous par téléphone, fax, etc.

Les PII, Personally identifiable information, les données les plus convoitées au sein des réseaux médicaux

D'après le rapport Trend Micro sur les fuites de données , 29,8% des cybercrimes reposant sur des usurpations d'identité on touché le secteur médical et santé entre 2005 et 2015, plaçant le secteur retail à 15,9%. Pourquoi? D'abord parce que c'est le secteur qui concentre le plus d'informations personnelles et confidentielles (PII, Personally identifiable information) pouvant être utilisées par les hackers pour usurper des identités ou être revendues.

Contrairement aux informations relatives aux cartes de crédit ou aux informations de paiement, les données personnelles sont permanentes : on ne change pas d'identité comme on change de numéro de compte ou de mot de passe paypal. La protection des données en milieu médical est un vrai sujet d'attention car elles figurent parmi les plus précises et les plus complètes, donc les plus susceptibles d'intéresser ces cybercriminels. (Pour en savoir plus sur cette question téléchargez notre livre blanc sur l'hébergement des données de santé).

D'autre part, le secteur santé est devenu la cible privilégiée des hackers car un hopital constitue une cible de choix pour un ransomware. Et ce pour des raisons qui tiennent à la responsabilité des acteurs hospitaliers face au patient, qui n'est pas qu'un simple client mais dont la santé, voire la vie, peut être mise en péril par un blocage des systèmes.

Enfin, si le secteur financier, suivi par celui du commerce (retail), s'est relativement bien préparé ces 10 dernières années à répliquer aux menaces informatiques, le secteur santé, tout comme ceux de l'industrie ou des médias, n'en sont encore au stade de la prise de conscience de la vulnérabilité des infrastructures informatiques.

Cela étant, tout les secteurs de l'économie peuvent être victime de logiciels rançonneurs. Il convient donc de se préparer à affronter un jour ou l'autre la menace.

Comment protéger vos données, celles de vos clients ou de vos patients, contre les Ransomwares ?

A la question : - quelles sont les contre-mesures à mettre en œuvre pour éviter le piège des Ransomwares? - La première réponse est préventive. Il s'agit d'inciter à une vigilance accrue sur les opérations effectuées sur votre système d'information.

Des politiques de sécurité moins laxistes

Tout commence en fait par la mise en place de bonnes pratiques. Simplement. Car, on le sait, la porte d'entrée est le plus souvent l'utilisateur qui clique sur la mauvaise pièce jointe... Ici, l'éducation est au centre de la question : Ne pas cliquer sur n'importe quoi, même si le message éveille l'inquiétude, la curiosité ou l'appât du gain. Internet est malheureusement un monde de prédateurs et d'individus malveillants et le mot d'ordre "think before you click" s'applique ici de plein droit.

Un contrôle plus rigoureux des accès à l'information

Ne partagez pas les accès à vos fichiers ! Les ransomwares ne sont pas des virus à proprement parler et ne peuvent donc se multiplier sur le réseau. Toutefois, ils sont programmés pour crypter le maximum de fichiers et comme ils utilisent vos permissions et partages, le cryptage de vos documents peut s'étendre vers le cloud, vos périphériques, vos disques partagés, et crypter des dizaines de miliers de fichiers à partir d'un seul poste de travail.

D'où l'intérêt de disposer de clouds sécurisés, (Pour en savoir plus, lisez http://blog.wallix.com/fr/cloud-computing-quest-ce-que-le-cloud-account-hijacking), c'est-à-dire disposant de passerelles d'accès sécurisées et monitorées, capables de détecter des opérations inhabituelles du type cryptages en séries provoqués par des ransomwares CryptoLockers.

Une saine gestion des mots de passe

Qui dit contrôle d'accès dit saine gestion des mots passe. On considère généralement que 30 % des mots de passe actifs sur les serveurs informatiques correspondent à des utilisateurs qui ne devraient plus avoir de droit d’accès sur ces serveurs ! 

Pour gérer facilement l’ouverture et la suppression des droits d’accès aux équipements d’un système d’Information, des solutions centralisées de gestion des mots de passe s’imposent. D'autre part, Il faut en finir définitivement avec les comptes partagés. Comment détecter une infection et y remédier quand il est impossible de savoir depuis quel poste le malware s'est propagé parce qu'une demi-douzaine de personnes utilisent le même mot de passe?

Des outils de monitoring et de détection des anomalies

Il existe des solutions de détection des comportements malveillants pouvant prendre de vitesse le travail des CryptoLokers. De façon plus générale, un outils centralisé permettant le contrôle, l'enregistrement et la traçabilité des connexions, capable de générer des alertes sur connexion innapropriée à un serveur ou à une application, pourra mettre en évidence toute tentative de pénétration et de cryptage malveillant et permettre une réponse rapide par cloisonnement de la menace.

Pour protéger le système d'information, il est indispensable de limiter les privilèges d'administration de vos utilisateurs.

Enfin, il est impératif que vos utilisateurs à privilèges, administrateurs internes, managers, ou sous-traitants et infogérants, ne disposent pas de privilèges locaux, c'est-à-dire des mots de passe des équipements, serveurs et applications, mais qu'ils se connectent par l'intermédiaire de proxys sécurisés, et bien évidemment que les mots de passe utilisés aient une durée de vie limitée à la durée de la mission.

En effet si jamais un utilisateur active un ransomware, et que cet utilisateur dispose de privilèges administrateurs, non seulement sur son poste mais sur des équipements du réseau, les dégats peuvent être considérables et s'étendre à l'ensemble du système. Le malware agira tel un utilisateur à privilèges en s'introduisant d'autant plus profondément qu'il disposera d'accès privilégiés non contrôlés.

Pour en savoir plus sur les solutions permettant de mieux gérer les utilisateurs à privilèges, téléchargez notre livre blanc, ou accédez à la démo WAB suite.

New Call-to-action


Topics: Preventing Insider Threat, Mitigating External Attacks, WALLIX Products

Alexandre Reynes

Written by Alexandre Reynes