CAHIERS UCEJAM : "Ransomwares, la bourse ou la vie ?"- Exposé de l’intervention de Pascal RITTER Ingénieur Systèmes, conférencier au CISIA

Cette année 2017, l’UCEJAM - a organisé quatre conférences-débats qui ont permis d’apporter des réponses aux questions portant sur les thématiques suivantes :
  L’expert de justice face à la cybercriminalité.
 Actualités de l’activité d’expert de justice.
 L’expert de justice face à l’expert d’assurances.
 De la réforme du droit des contrats
Nous vous proposons de retrouver l’intégralité des actes des interventions par intervenant.
Cette semaine sur le thème de la première conférence "L’expert de justice face à la cybercriminalité", nous vous invitons à découvrir l’intervention de M. Pascal Ritter - Ingénieur Systèmes, conférencier au CISIA - "Extrait de son ouvrage sur les Ransomwares".

Moins risqué, que le trafic de drogue ou un braquage de banque, le chantage aux données informatiques a fait des ravages dans l’industrie et chez les particuliers au cours de l’année 2017.
Aujourd’hui, l’important n’est pas de savoir si vous allez être touchés mais quand ?

Petites explications sur ce fléau nommé ransomware.

Le ransomware est devenu en l’espace de quelques années, l’un d’un principal code malveillant redoutable sur la toile.
Il fait des ravages aussi bien dans le monde industriel que chez les particuliers.
Par manque de connaissance ou de sensibilisation les utilisateurs sont bien souvent les acteurs involontaires de leur propre perte.
Il suffit parfois d’un peu de bon sens et d’observation pour ne pas tomber dans le piège.
Le phénomène ne cesse de progresser de manière exponentielle depuis 2013 puisque les pirates sont maintenant bien organisés et disposent de moyens importants pour développer des logiciels malveillants toujours plus redoutables.
L’attaque mondiale de mai 2017 d’une ampleur inconnue jusqu’alors a démontré que les pirates pouvaient paralyser des pans entiers de l’économie d’un pays.
Avec l’arrivée massive des objets connectés et la mise sur le marché de prothèses intelligentes il y a fort à parier que d’ici quelques années ces programmes ne limiteront plus leurs attaques aux seuls ordinateurs, tablettes ou Smartphones mais auront la douce idée de s’en prendre directement à cette nouvelle race d’objets divers et variés !
Et si demain il vous fallait payer une rançon pour que votre pacemaker continue de fonctionner ? Alors la bourse ou la vie ?

Ransomware qui es–tu ?

Un ransomware ou rançongiciel, dans la belle langue de Molière, est un code malveillant qui empêche d’accéder à vos fichiers en les chiffrant ou bien qui bloque complètement l’accès à votre ordinateur. Il propose ensuite de les déverrouiller en échange d’une rançon qui doit être versée dans un temps limité.

Pascal Ritter Ingénieur IPF. Disponible auprès de l’auteur : [email protected]

Les ransomwares existent depuis de nombreuses années, cependant cette famille de code malveillant a fait un retour fracassant depuis septembre 2013 sous une forme qui s’avère aujourd’hui beaucoup plus efficace.
De nombreux particuliers mais aussi nombres d’entreprises ont eu à faire face à ce redoutable fléau avec des impacts plus ou moins importants.
Hélas, nous le constatons quotidiennement, les conséquences de la perte de fichiers importants sont mal estimés par les entreprises mais aussi par les particuliers qui stockent une quantité d’informations numériques aussi bien sur les ordinateurs que sur les serveurs.
C’est en septembre 2013 que les ransomwares ont pris un nouvel essor avec l’apparition du désormais fameux Cryptolocker.
Ce cryptovirus est devenu un modèle encore en usage aujourd’hui même si les autorités gouvernementales ont pu démanteler la première version en mai 2014.
Le modèle repose sur un principe simple qui combine habilement le chiffrement des données et l’extorsion de fonds à distance et tout cela sur une vaste échelle. Ainsi si les sommes demandées ne sont pas importantes, le gain est, quant à lui, gigantesque vu le nombre de machines infectées.
Même si à la suite de la disparition du premier Cryptolocker, on a pu observer une diminution significative de tentatives de ce genre, il faut avouer que l’accalmie fut de courte durée. Ce modèle fut suivi par plusieurs groupes avec des dérivés et de nouvelles versions plus ou moins efficaces.
La voie était tracée !
On estime que CryptoLocker aurait rapporté à ses auteurs la modique somme de vingt-sept millions de dollars en seulement deux mois d’exploitation. [1]
Une étude de l’université de Kent indique qu’une personne sur trente au Royaume-Uni en aurait été victime et que la proportion de celles qui ont payé s’élèverait à 40% !

Le courriel une source d’infection privilégiée

Comme nous avons pu le constater lors des chapitres précédents, la messagerie est le vecteur principal des infections de cryptovirus.
L’objectif est de faire croire à l’internaute, un peu naïf, peu attentif ou encore fatigué qu’il est en présence d’un message légitime et ainsi l’inviter à cliquer sur la pièce jointe infectée.
Le plus dangereux est qu’en cliquant sur la pièce jointe infectée, visuellement, il ne se passera rien. Le travail de fond est silencieux et la mauvaise surprise n’intervient qu’à la fin du processus de chiffrement.
Dans la majorité des cas, nous sommes en présence de courriels anglophones. Cependant, afin d’avoir plus de chances de succès, les criminels personnalisent leurs messages dans la langue du pays concerné.
La localisation permet d’accroître considérablement les chances pour qu’un internaute ouvre la pièce jointe.
Dans le cas des entreprises, les services les plus touchés sont la comptabilité avec l’envoi de factures et désormais les ressources humaines avec l’envoi de CV.
Cependant, d’autres sources comme les sites internet volontairement ou involontairement infectées.
L’ordinateur est infecté que faire ? Payer ou ne pas payer ?
Dans de telles circonstances, la première question qui vient naturellement à l’esprit est : je paye ou je ne paye pas ?
Même si une enquête de 2016 révèle qu’un tiers des internautes serait prêt à payer 500€ pour récupérer les données, le message à faire passer est clair : Ne pas payer !
Les raisons sont les suivantes :
• Le paiement d’une rançon permet aux criminels, en amassant des sommes considérables, de continuer le développement de cryptovirus et de préparer des variantes toujours plus sophistiquées. Variantes dont vous pourriez être victimes dans le futur.
• Le paiement d’une rançon n’assure pas systématiquement le déverrouillage des fichiers. En effet, certains ransomwares sont soit mal implémentés, soit ne contiennent tout simplement pas de module de déchiffrement ou bien les serveurs de clés ne sont pas ou plus disponibles. Même si, pour prouver leur bonne foi, certains ransomwares proposent le déchiffrement d’un ou plusieurs fichiers comme preuve de bon fonctionnement.
• Enfin, qui dit que le cryptovirus une fois la rançon payée ne va pas se manifester à nouveau au bout de quelques jours ? Même si sur ce point, les concepteurs ironisent parfois sur leur bonne moralité et affirment que cette hypothèse ne peut pas se produire. Effectivement, il n’y a pas de cas connus où l’utilisateur qui a payé la rançon pour un ransomware s’est trouvé, dans les semaines qui suivent, confronté à un nouveau chiffrement de ses fichiers avec le même ransomware.

Cependant, ne pas payer implique la perte, au moins temporaire, des fichiers incriminés. Pour une entreprise et sans sauvegarde intègre, cette solution risque de ne pas pourvoir être tenable.

Mieux vaut prévenir que guérir

Au vu du rapport très intéressant entre l’investissement et le retour, il y a fort à parier que le nombre de ransomwares va exploser dans les mois et les années à venir.
Il est donc important d’anticiper le phénomène en prenant des mesures simples et de bon sens.
Il ne faut jamais oublier que l’utilisateur est le dernier rempart contre l’infection. Voici quelques pistes à suivre.
Sauvegarde, sauvegarde et sauvegarde, voici les trois mots qui vous sauveront à coup sûr en cas d’infection par un cryptovirus.
Avant tout, il est important de bien comprendre qu’un cryptovirus s’en prend au disque dur de l’ordinateur sur lequel il réside mais également à tous les périphériques connectés ainsi qu’à tous les lecteurs réseaux accessibles.

Cela demande donc des procédures particulières afin d’éviter de sauvegarder des fichiers chiffrés par le code malveillant.
Le premier principe de la sauvegarde est de s’en tenir à des sauvegardes régulières et sur des supports que l’on déconnecte à la fin de la procédure. La régularité dépend donc directement de l’utilisation qui est faite de l’ordinateur, du nombre de fichiers modifiés quotidiennement et surtout de la quantité d’information que l’utilisateur accepte de perdre en cas de sinistre. Dans une entreprise, tout cela doit être consigné dans un plan de sauvegarde. Malheureusement, les sauvegardes se font désormais le plus souvent en ligne et en cas d’infection par un ransomware et d’une détection tardive de celui-ci, elles peuvent aussi être corrompues.
Le second est d’avoir plusieurs sauvegardes (donc au moins deux) dont une que l’on garde dans un autre lieu (chez un parent ou un ami par exemple). Cela évitera qu’en cas de cambriolage, d’inondation, d’incendie, l’ordinateur et la sauvegarde disparaissent !
Le troisième est de bien cibler les fichiers à sauvegarder afin d’éviter de réécrire des fichiers que l’on a déjà et de prévenir ainsi des temps de sauvegarde interminables.
Comme les codes malveillants ont tendance à chiffrer également les points de restauration du système, il est intéressant de réaliser des sauvegardes intégrales du disque système par une méthode de clonage de temps en temps.
Dans le cas de l’utilisation d’un service de stockage en ligne, il est essentiel de garder à l’esprit que la majorité des ces services effectue automatiquement la vérification des versions de fichiers et récupèrent la plus récente. Le service peut ainsi remplacer une version saine par une version chiffrée sans prévenir. Il est donc important de vérifier au préalable les conditions d’utilisation précises du service. ?

AUTRES EXPOSÉS CAHIERS UCEJAM

Prendre connaissance de l’ Exposé de Jean-Raphaël DEMARCHI - Maître de Conférences : « Cybercriminalité et loyauté de la preuve » en cliquant ici