Après WannaCry, il est temps de se concentrer sur les services de prévention et de sauvegarde
Rechercher

Après WannaCry, il est temps de se concentrer sur les services de prévention et de sauvegarde

Les experts en sécurité informatique affirment que le meilleur moyen de contrer une infection et d’être prêt est d’avoir déjà un système de sauvegarde

Ricky Ben-David est journaliste au Times of Israël

Suivi de la propagation de l'attaque informatique WannaCry à l'Agence coréenne d'internet et de sécurité (KISA), à Séoul, le 15 mai 2017. (Crédit : Yonhap/AFP)
Suivi de la propagation de l'attaque informatique WannaCry à l'Agence coréenne d'internet et de sécurité (KISA), à Séoul, le 15 mai 2017. (Crédit : Yonhap/AFP)

Combien d’entre vous ont été sur le dark web ?

Le spécialiste des technologies qui pose cette question n’a pas pu cacher sa déception quand seule une poignée de mains se sont levées. Il s’exprimait pendant une conférence organisée à la Nouvelle Orléans sur la protection des données et les services de récupération, où il s’est penché sur le dark web, cet univers parallèle à l’internet que nous connaissons, où les utilisateurs sont anonymes et généralement intraçables. Il est plus connu comme un endroit où l’on peut acheter ou vendre des produits et des services illégaux, comme des attaques informatiques, des logiciels malveillants, en quelques clics.

La question a été posée une semaine à peine après une attaque informatique mondiale d’extorsion, qui a touché plus de 10 000 organisations et 200 000 ordinateurs dans plus de 150 pays.

Le logiciel malveillant, un ransomware [logiciel de rançonnage] appelé WannaCry ou WannaCrypt, s’est rapidement propagé le vendredi 12 mai, et pendant une grande partie du week-end. Le logiciel a tiré parti des vulnérabilités d’une ancienne version de Windows, qui avaient été identifiées et stockées par la NSA, l’agence de sécurité américaine, puis volées par des pirates et publiées sur internet. Les attaquants ont crypté les fichiers et les ont retenus pour obtenir une « rançon », demandant entre 300 et 600 dollars en bitcoins pour déverrouiller les données.

Pour comprendre à quel point il est important de vous protéger contre cette menace informatique, vous devez comprendre ce qui est en face de vous, a dit le spécialiste pendant une conférence sur les ransomware, demandant que plus de personnes accèdent au dark web pour voir par elles-mêmes comment fonctionne ce marché.

« Les logiciels malveillants sont une industrie à plusieurs milliards de dollars, et elle est très sophistiquée », a prévenu Rustam Kovhaev, ingénieur de support de Vancouver, pendant la table ronde, l’une des sessions d’une conférence organisée à La Nouvelle Orléans, en Louisiane, par son employeur, Veeam, une entreprise technologique de pointe qui se développe rapidement et fournit des outils de sauvegardes, stockage et récupération de données pour les entreprises, ainsi que des logiciels disponibles sur de multiples plate-formes.

Ecran d'un ordinateur touché par un ransomware. (Crédit : autorisation)
Ecran d’un ordinateur touché par un ransomware. (Crédit : autorisation)

Les deux sessions sur le ransomware de la conférence de trois jours ont été les plus populaires, en raison de l’attention accrue portée à cette menace suite à l’attaque informatique et à ses conséquences.

« Les cyber-criminels vendent maintenant des ransomware comme un service », a dit le responsable de la table ronde, Ben Milligan, directeur du service client des logiciels Veeam pour l’Amérique. « Il y a quelques années, c’était le travail de pirates compétents. Maintenant, n’importe qui peut aller [sur le dark web] et se contenter de l’acheter » ou d’être guidé sur la manière de le libérer.

Milligan a également suggéré quelques manières évidentes dont les utilisateurs peuvent empêcher l’infection : ne pas cliquer sur des liens ou ouvrir des pièces jointes dans des e-mails de personne que l’on ne connait pas, faire les mises à jour des logiciels, et, peut-être moins évident, être prudent quand l’on reçoit des liens par Skype ou d’autres services de messagerie, notamment de contacts connus qui ont pu avoir été compromis.

C’était une présentation efficace des services de l’entreprise : présenter le problème, exposer la menace, prévenir d’un potentiel désastre imminent et proposer, si ce n’est une solution, au moins un plan de secours : dans ce cas, utiliser Veeam comme fournisseur de sauvegarde et de récupération de données.

Mais même l’entreprise a reconnu que face à la menace en évolution constante des ransomware, dont il existe plusieurs variantes, elle pourrait ne pas toujours avoir toutes les réponses.

L’un des conférenciers a prévenu que certaines des attaques les plus « méchantes » qu’il avait vues chez Veeam avaient évolué, passant des données originales du client à ses fichiers de sauvegarde.

Un ordinateur du NHS britannique infecté par le 'ransonware' WannaCry, le 12 mai 2017. (Crédit : Twitter/@fendifille)
Un ordinateur du NHS britannique infecté par le ‘ransonware’ WannaCry, le 12 mai 2017. (Crédit : Twitter/@fendifille)

Les antivirus ne fournissent pas une protection totale, a dit Milligan, et certains des ransomware, qui sont commandés manuellement par les attaquants, sont très efficaces et peuvent même empêcher les tentatives de restauration du système.

L’un des meilleurs moyens de se protéger contre la menace, a-t-il dit, est d’en être informé et d’adopter la règle du 3-2-1 : avoir trois copies de vos données sur deux médias différents dont un situé dans un autre emplacement physique, comme sur un service de Cloud.

Avoir ses données sur un système de sauvegarde qui n’est pas lié au système principal, et est donc inaccessible pendant une attaque « est la seule méthode efficace pour vous protéger des ransomware », a-t-il dit.

De plus, si vous êtes touchés par un ransomware, a indiqué un troisième conférencier, « ne payez pas la rançon, cela ne fait qu’encourager [les responsables] et leur donne une incitation pour continuer à le faire. »

Il semble que la plupart des cibles touchées par l’attaque WannaCry ont suivi ce conseil. Malgré l’ampleur de l’agression, peu ont payé, et les hôtes n’avaient reçu lundi que 296 paiements pour un peu plus de 99 000 dollars en bitcoins, selon le compte Twitter @actuel_ransom qui surveille les trois portefeuilles en bitcoins associés à WannaCry.

Mais les entreprises de sécurité et les experts informatiques qui observent l’attaque ont prévenu que même si son ampleur était importante, elle n’était pas particulièrement sophistiquée, certains de ses éléments relevant même de l’amateurisme, et que les attaquants s’adapteront.

Salim Neino, le PDG de l’entreprise de sécurité informatique Kryptos Logic de Los Angeles, a dit la semaine dernière à Associated Press que WannaCry était « mal conçue », une « somme de différents morceaux » assemblés, avec un système de paiement peu sophistiqué.

Une fenêtre annonçant le cryptage des données et une demande de paiement sur l'écran annonçant les prochains trains dans la gare de Chemnitz, en Allemagne, le 12 mai 2017. (Crédit : P. Goetzelt/dpa/AFP)
Une fenêtre annonçant le cryptage des données et une demande de paiement sur l’écran annonçant les prochains trains dans la gare de Chemnitz, en Allemagne, le 12 mai 2017. (Crédit : P. Goetzelt/dpa/AFP)

Microsoft, qui s’est associé avec Veeam, comme l’ont fait des entreprises telles que Dell, Lenovo, IBM et Amazon Web Services, a prévenu que l’attaque devait servir de « réveil » aux gouvernements, aux institutions et aux clients.

Omri Moyal, cofondateur de la start-up israélienne de cyber-sécurité Minerva Labs, pense que l’argent n’était pas l’objectif de l’attaque. « Ils cherchaient probablement à affirmer quelque chose », a-t-il dit au Times of Israël, ajoutant que l’attaque était « trop simple » pour générer un revenu réel.

« Ils ont fait quelques vrais dégâts aux systèmes de production, ce n’était pas tant pour le cryptage. De plus, le ransomware porte une réputation, et ils n’ont pas eu une bonne réputation en rendant les fichiers », a-t-il dit.

Moyal, qui est également le vice-président en charge de la recherche chez Minerva Labs, a cependant prévenu que, alors que les attaques vont être de plus en plus sophistiquées et dangereuses, ce qui est le plus important est d’avoir les outils et les ressources pour la prévention et la protection, pas nécessairement d’avoir un système de sauvegarde. Il a ajouté que plus d’un variant efficace du ransomware, qui exploite la liste de la NSA, avait été observé sur internet.

Suite à la récente attaque, Minerva Labs a développé un « vaccin » contre WannaCry, le WannaCry Vaccinator, qui piège le logiciel malveillant en lui faisant croire que le système a déjà été infecté, neutralisant ainsi l’attaque. Moyal a indiqué qu’il avait été mis en ligne gratuitement le 14 mai, deux jours après l’attaque.

La meilleure réaction, a-t-il dit, est l’information, l’éducation et l’attitude proactive contre de telles menaces.

Page d'accueil du Projet Tor. (Crédit : capture d'écran)
Page d’accueil du Projet Tor. (Crédit : capture d’écran)

En ce qui concerne le conseil de visiter rapidement le dark web, Moyal a souligné que ce n’était vraiment pas pour tout le monde.

D’abord, il faut utiliser un proxy, comme Tor, le réseau développé par des militants privés pour permettre un usage anonyme d’internet.

« Utilisez un proxy, ou soyez prêts à dire bonjour au FBI », plaisante un site internet qui donne des instructions pour se connecter au réseau.

Ensuite, a prévenu Moyal, « il y a des endroits où vous ne voulez pas aller, et des choses que vous ne voulez pas voir. »

Accéder au dark web est un peu « comme marcher dans un quartier sombre » sans direction, a-t-il dit. « Cela peut être sûr, mais il y a un risque. »

En savoir plus sur :
C’est vous qui le dites...