TRANSITION NUMÉRIQUE - INNOVATION - COMPÉTITIVITÉ

15Nov 2018

CYBER MALVEILLANCE : L’APRÈS WANNACRY

Par Clémence Adista

En 2017, le ransomware Wannacry avait fait couler beaucoup d’encre, notamment pour avoir lourdement impacté le système de santé britannique. Certains de ses prédécesseurs, comme Locky, semblent avoir été pour leurs exploitants des affaires lucratives.

Ces attaques étaient en grande majorité basées sur un mode opératoire commun, initié par des envois massifs de mails frauduleux. Wannacry avait ajouté un mode de propagation novateur, en s’appuyant notamment sur le kit d’exploitation secret de la NSA, fuité au printemps 2017.

Mais en 2018, les pratiques de malveillance ont évolué.

Des attaques plus ciblées
Des informations semblent indiquer que les cibles sont désormais sélectionnées, évaluées avant l’attaque, par exemple par rapport à leur solvabilité. Désormais, nous ne recevons plus directement les « rançongiciels » par e-mails, mais des kits de prise de main à distance (RAT pour « Remote Access Toolkit ») qui vont permettre au pirate de faire le tour du propriétaire, de visu, pour adapter l’attaque, la personnaliser, et la rendre plus dangereuse.

De cette façon, un pirate peut attaquer spécifiquement les sauvegardes, avant de détruire le système en production. Ce qui justifie la nécessité de toujours avoir un niveau de sauvegarde « offline ».

Ceci fait craindre également que les menaces dormantes non détectées s’accumulent, dans des systèmes informatiques compromis mais pas encore attaqués. L’équipe de pirates capitalise une liste de cibles, et sélectionne qui attaquer. Les proies qui seraient délaissées dans un premier temps sont conservées vivantes, à leur insu, justement au moyen d’un RAT.

On constate également une recrudescence d’attaques « directes », de systèmes informatiques surexposés à Internet, parfois rendus vulnérables par un mot de passe trop faible, et pour autant pas protégés par une détection des anomalies de connexion.

Le mode opératoire ? La victime reçoit un email, affichant son mot de passe en clair pour lui prouver que celui-ci est compromis. L’attaquant annonce que le poste de travail est corrompu, et qu’il a pu prendre connaissance des habitudes de surf de la victime, sur des sites inavouables. Il affirme que le navigateur de sa victime a fonctionné comme un bureau à distance avec un enregistreur, et qu’il a filmé à la fois l’écran d’affichage et le malheureux internaute par le biais d’une webcam.

Le pirate menace de révéler publiquement ces habitudes de surf, photos à l’appui, si une rançon n’est pas payée (de 400 à plus de 6000$), en Bitcoin évidemment.

Comment passer à côté de cette campagne de rançonnage d’un nouveau type, exploitant simplement des bases de données disponibles sur le « Dark Web » pour faire chanter les personnes ?

Le nouveau Western
Que faire pour se protéger dans ce Far West numérique ? La bonne nouvelle, c’est que les mesures de protection sont bien celles qu’on connait déjà. En appliquant les bonnes pratiques les plus simples, la plupart de ces attaques sont déjouées :

Les faiblesses sur les mots de passe, sont particulièrement frustrantes pour une victime, car il devient difficile de prétendre « qu’on n’était pas au courant ». Nous en parlions dans cet article du Mag Adista datant d’août 2017. La sécurité de l’information reste l’affaire de tous, chaque collaborateur est  concerné.

Contrôler sa « surface exposée ». Par exemple, un responsable de traitement qui validerait l’exposition à tout internet, sans autre forme de contrôle, d’un service « RDP/Remote Desktop », devrait aujourd’hui être vu comme un inconscient. Un responsable de traitement qui aurait une attitude « j’ai rien à cacher » devrait aujourd’hui être vu comme un danger public. La minimisation de la surface exposée est bien un principe fondamental pour assurer la sécurité de son système d’information.

On peut citer également les bonnes pratiques de gestion des droits sur les systèmes. De quoi s’agit-il ? S’assurer qu’on n’a pas, par facilité, donné tous les privilèges à tous les utilisateurs. Si on fait le parallèle avec les locaux de l’entreprise, c’est s’assurer qu’en prenant livraison des nouveaux bureaux, on a bien pensé à demander la clé.

N’hésitez donc pas à diffuser ces pratiques autour de vous. La démarche de sécurité de l’information doit devenir, dans toutes les organisations et pour tous les citoyens, aussi évidente que la sécurité routière ou la sécurité incendie.