Rançongiciel 2020

Photo by Chris Mok on Unsplash

Le crime organisé dans sa version XXI ème siècle

Cette année s’annonce comme celle du rançongiciel. Mais qu’est-ce qu'un rançongiciel ? Que peut-on faire pour se protéger ? Doit-on dépenser des millions pour l'éviter ? Peut-on élaborer une nouvelle stratégie ?

Au delà de la peur alimentée par les médias, la menace du rançongiciel est réelle.

Le phénomène, d’abord artisanal, est apparu il y a quelques années comme une spécialisation lucrative du “virus informatique”. Sa portée croît exponentiellement grâce à un modèle qui a évolué vers celui d'une “entreprise” criminelle structurée et globale.

Comment fonctionne cette “entreprise” ?

  • Elle repose sur un grand nombre d’acteurs spécialisés et indépendants qui collaborent entre eux
  • Des mécanismes protégés et efficaces de communication et de coordination
  • Un système de redistribution des gains et des coûts grâce aux monnaies numériques non-réglementées et opaques (“Bitcoin”)

Nous sommes bien loin du “hacker” fonctionnant seul dans le sous-sol de ses parents.

L’objectif est simple: extorquer de l’argent de vos organisations et créer un flux monétaire pour nourrir le système criminel. Les siècles précédents ont vu le jeu, la drogue, le vol et la fraude occuper cet espace. Le XXIème siècle est celui l’exploitation de vos données.

Qu’est-ce qu’une attaque au rançongiciel ?

C’est un virus sophistiqué distribué par un promoteur qui s’attaque directement aux données entreposées sur vos postes de travail et vos serveurs. Le virus exploite les failles de votre infrastructure, découvre et recense vos données puis les accapare en les chiffrant. Le promoteur n’a plus qu’à exiger une rançon pour les libérer. Si vous acceptez de payer, il n’y a évidemment aucune garantie que le criminel s’exécutera.

Une variante récente montre que le criminel peut réussir, dans certains cas, à extraire et exfiltrer vos données qui peuvent ainsi être utilisées pour amplifier le chantage en menaçant de les rendre publiques.

La prévention

Les principaux organismes gouvernementaux de protection et de standardisation proposent des approches pour vous protéger contre l'occurrence et l’impact d’une telle attaque.

Ils mettent souvent l'emphase sur les moyens suivants (voir cette publication):

  • Élever la conscientisation de vos utilisateurs face au phénomène
  • Implanter des mécanismes informatiques pour renforcer votre infrastructure
  • Mettre en place une mécanique de backup et de récupération de vos données

Ce sont évidemment des choses à faire mais il faut reconnaître qu’elles demandent beaucoup d’efforts et des dépenses importantes. Sans compter que leur succès est souvent mitigé.

Apprendre à vos utilisateurs à reconnaître les mails malveillants va rapidement devenir un défi hors de leur portée. Le temps des emails mal traduits, des incongruités ou des signes faciles à détecter est terminé. Les rançonneurs ont raffiné leur approche et ça demande une attention de tous les instants pour détecter et éviter ces mails. Ce n’est pas leur travail. Votre stratégie ne devrait donc pas reposer sur l'habileté de vos utilisateurs à contrer cette menace. L’humain ne sera jamais une panacée ni même une solution efficace.

Évidemment, pouvoir récupérer vos données à la suite d’un sinistre, quelqu’il soit, n’est pas une option. Vous devriez déjà avoir une solution en place qui soit robuste, fiable, maîtrisée et rapide à mettre en oeuvre. Mais un sinistre demeure un sinistre et il y a un coût élevé à être hors circuit pour plusieurs jours. Selon cet article de ZDnet, le délai pour récupérer vos données s'allonge rapidement et se calcule maintenant en jours sinon en semaines. Un coût très élevé, quelque soit l’organisation.

Virage à 180 degrés pour une meilleure stratégie!

Vous avez donc besoin d’une stratégie plus robuste et qui pourra évoluer et vous soutenir pour plusieurs années. Regarder du côté de votre architecture des systèmes d’information. C’est là que les choix importants vont déterminer votre capacité à survivre aux nouvelles menaces en corrigeant les problèmes à leur source plutôt qu'en périphérie.

Une approche consiste à vous éloigner du modèle de gestion des fichiers qui date du milieu du XXème siècle: la plupart des systèmes courants sont conçus pour donner à chaque utilisateur un accès étendu et direct au système de fichiers partagés. Cette approche, simple et intuitive, nous a bien servi pour de très nombreuses années mais elle ne pourra pas survivre aux nouvelles menaces. Plutôt que d'ajouter des contrôles coûteux et complexes, la solution serait donc ajouter une couche d’abstraction et éventuellement retirer l’accès direct au fichiers.

Cette approche existe déjà (hourra !): un exemple connu est celui des “drive” proposé par les Microsoft, Google et autres fournisseurs de services nuagiques. Leur systèmes de fichiers ouvrent une fenêtre sur les données sans en donner directement le contrôle. Un virus aura beaucoup plus de difficulté à procéder au chiffrage.

Pour l’instant, il y a peu d’opérateur proposant une approche complète et indépendante du poste de travail. L’approche courante de Microsoft repose sur l’hypothèse que le système de fichier doit demeurer accessible: un système hybride qui ne corrige pas le problème. Une partie de la solution consisterait à éliminer le poste individuel classique (Windows, Apple ou autres) pour le remplacer par une approche à la “Chrome OS”. Comme le poste individuel est souvent le vecteur d'attaque, l'infection est beaucoup plus difficile.

Tout revient à gérer le niveau de risque: l’approche courante reposant sur l'utilisation de postes Windows comporte un risque élevé et est suicidaire: il faut en sortir le plus rapidement possible. Si vous avez temps et argent pour un seul projet de transformation à démarrer en 2020, c’est celui-là !