Est-il possible de se protéger efficacement contre les rançongiciels (ransomware en anglais dans le texte) ?
C’est une question qui revient fréquemment et dans le monde de la cybersécurité nous avons tout un choix de réponses à proposer à nos clients.
Commençons par rappeler ce qu’est un rançongiciel alias ransomware. Il s’agit d’un code malveillant qui bloque l’accès à votre appareil ou à des fichiers en les chiffrant et qui vous réclame le paiement d’une rançon pour obtenir le déchiffrement de vos données. Il s’agit aujourd’hui de l’une des cybermenaces les plus plébiscitées par les cybercriminels (en savoir plus : http://bit.ly/3Pui0B3).
Malgré l’évolution des technologies et de nos méthodes de protection, depuis le premier ransomware que j’ai rencontré en 2016 du nom de Locky, il est clair qu’une garantie à 100% est impossible, et cela même en appliquant notre stratégie de l’oignon (bit.ly/3WnaKsV).
Cependant en appliquant cette stratégie nous pouvons apporter à nos clients de quoi réduire les risques et surtout de rendre plus rapide et efficace la remédiation des systèmes après une attaque réussie (donc un échec de quelques-unes des couches de l’oignon).
Alors nous allons voir comment le stockage de fichiers en Cloud de Microsoft (Onedrive) intègre une solution de détection AUTOMATIQUE de rançongiciel intégrant une proposition et un accompagnement extrêmement simple à la remédiation. Cette solution est efficace et intervient en amont de la dernière couche de protection qui serait la restauration des “Sauvegardes”.
Il s’agit d’une fonctionnalité méconnue de Onedrive qui lors de l’utilisation classique de votre stockage en Cloud détecte automatiquement le chiffrage de fichiers en masse et vous propose de restaurer votre espace de stockage dans l’état exact où il était à un moment dans le passé. OUI c’est une véritable machine à remonter dans le temps sur 30 jours !
Bien entendu il faudra avant de restaurer vos données vous être assuré d’avoir identifié la source du problème, d’avoir éradiqué le danger, etc… Tout cela est l’affaire de professionnels et nécessitera certainement aussi de déclarer l’incident voir de porter plainte. Mais une fois tout cela réalisé, la remise en place de vos fichiers ne devrait pas poser de problèmes (malheureusement certains rançongiciels de dernière génération ne s’arrêtent pas au chiffrement de vos fichiers bureautiques, mais c’est un autre sujet que je traiterai dans un autre article).
Venons-en au fait en quelques images...
Pour la simulation, n’ayant pas la volonté de me faire attaquer par un rançongiciel, j’ai utilisé un logiciel très intéressant sur lequel je ferai un article prochainement. Il s’agit de Cryptomator, un outil Open Source multi plateformes de chiffrage de document. Je l’utilise pour chiffrer l’ensemble des documents confidentiels que je stocke sur mon OneDrive de façon à garantir leur confidentialité, même aux yeux de Microsoft qui héberge ces fichiers.
Lors de la première configuration de Cryptomator, l’outil va chiffrer en une fois l’ensemble des fichiers que vous synchronisez avec Onedrive. Exactement ce que ferait un rançongiciel… Résultat OneDrive prend ce phénomène pour une attaque potentielle de rançongiciel.
Suite à cela, voilà l’étrange email que j’ai reçu de Microsoft !
Il est question de rançongiciel ça met un peu la pression.
OK, tout va mal !
7546 fichiers semblent compromis par une attaque rançongiciel… En cliquant sur le lien associé au mail on craint le pire…
La procédure est détaillée sobrement
Continuons fébrilement en espérant récupérer nos documents…
Houla rien n’est bon là !
A ce stade on peut noter assez rapidement que nos fichiers ont quand même une sale tête et qu’ils ne s’ouvrent plus ! On clique sur le bouton déclarant que Oui tout est foutu et que notre vie est détruite !
Déjà fait mais c’est bien de le préciser !
On arrive sur une phase importante mais peut être pas la plus efficace du processus. Imaginons que nous avons déjà fait le nécessaire en amont et que tout nos appareils sont sains…
Ca tient du miracle…
Nous voilà sur la dernière phase de la restauration. Il s’agit de la partie la plus impressionnante du système. Vous allez pouvoir voir sur 30 jours simplement en faisant glisser le bouton de scrolling horizontal, l’ensemble des modifications et l’état de vos fichiers. Quand vous arrivez sur une journée où tout vous semble correct, il vous suffit de cliquer sur “restaurer” et quelques minutes/heures après suivant le volume de votre stockage, toutes vos données seront de retour sur l’ensemble de vos périphériques.
C’est génial, presque incroyable… en fait il s’agit d’une simple gestion de versioning, mais optimisée en antirançongiciel, ça fait son petit effet et cela vous évite de recourir aux sauvegardes “froides”. Vous savez ces sauvegardes qui représentent la dernière et la plus radicale des couches de l’oignon, celles que vous réalisez bien évidemment très régulièrement sur un système externe enfermé dans un coffre ignifugé !🙂
Spécialiste de la transition numérique et consultant en cybersécurité, je compte 25 ans d’expérience dans le privé et le public au service de la réussite des transitions d’administrations et TPE/PME. J’ai été notamment RSI d’un établissement public territorial et par la suite durant 3 ans Conseiller stratégique du président fondateur de Qwant le moteur de recherche européen. Plus récemment j’ai participé depuis sa création et durant 2 ans à l’hyper croissance d’une entreprise de cybersécurité spécialisée dans la protection et l’évaluation des risques de grandes entreprises et de services d’états.