Ransomware : la prise d'otage réinventée

Agathe de La Laurencie
Nov 16, 2021
5 min read

Le hacker qui attaque par ransomware prend vos données en otage et demande une rançon. Procédé éprouvé avec des personnes physiques, les pirates informatiques s'approprient ce concept et profitent du manque d'anticipation des PME face à ces menaces. Mais en affaires, le doute n'a pas sa place : la prise en otage de vos données est une question de temps, et le temps c'est de l'argent.

1. Ransomware : qu'est-ce-que c'est ?

Le terme malware (malicious software) est un ensemble désigne tout logiciel ou code portant préjudice à un système informatique (SI), il en existe une grande variété. Virus, spyware, ransomware, adware, worms, trojan, rootkit, keylogger, exploit, cryptojacking, etc. La liste est longue ! 

Les ransomwares sont donc un sous-ensemble des malwares. Le plus vieux d'entre eux date de 1989 et, à l'époque, les hackers étaient plus fascinés par leur prouesse technique que par leur possible gain financier.

Si les techniques des hackers ne cessent de se perfectionner au gré des innovations technologiques, le schéma d'attaque est souvent le même.

Prenons l'exemple de M. Sozeb, dirigeant d'Acmé, une PME qui vend des livres en ligne et génère 5 M d'euros de CA. Le hacker va successivement :

  1. S’introduire dans les serveurs d'Acmé, le plus souvent par simple phishing, 
  2. Pivoter dans le réseau, c'est-à-dire prendre le contrôle d'autres serveurs et comptes privilégiés. 
  3. Une fois ces droits administrateurs récupérés, le hacker identifiera les ressources sensibles d’Acme (ses données clients, salariés, etc.) pour écrire dessus en : (i) les cryptants et les bloquants, et en (ii)les exfiltrant et en menaçant de les faire fuiter.
  4. Les employés d'Acmé ne pourront plus travailler et leurs clients ne pourront plus commander en ligne.
  5. Demander à M. Sozeb une rançon de 200.000 euros en bitcoins en échange de l'accès aux serveurs et aux données bloquées (clef de décryptage, mot de passe).

2. PME : êtes-vous une cible pour les ransomwares ?

La plupart du temps, le ransomware qui s’infiltre dans votre SI ne cible pas votre PME en particulier mais participe à une attaque globale. Le hacker cherche les failles d’un large spectre d’adresses IP vulnérables et les associe ensuite à une entreprise, espérant un taux de rendement correct. Parmi toutes les cibles possibles, les PME sont les plus sensibles au risque.

Dans notre exemple :

  • M. Sozeb lui-même : il est vulnérable mais ne possède que peu de données intéressantes & ses capacités financières sont réduites.
  • Le fournisseur d'Acmé : il édite un grand volume de livre/an donc dispose de moyens financiers et de données sensibles mais il est aussi très bien protégé.
  • La PME Acmé : l'impact d'une attaque est très fort sur elle, elle dispose de moyens financiers & elle est souvent peu protégée.

Attaquer une seule PME est simple mais ne rapporte pas beaucoup d’argent. Attaquer beaucoup de PME reste simple et rapporte beaucoup d’argent. C’est la logique du hacker. 

L'exposition des PME aux attaques est d'autant plus importante que le commerce en ligne est incontournable depuis la crise sanitaire. Les deux priorités en cas d'attaque sont (i) la continuité de votre activité et (ii) la récupération de vos données. Plus vous attendez, plus vous perdez d'argent.

3. Paiement de la rançon : une fatalité ?

Pour autant, si payer la rançon peut être un réflexe tentant, deux choses sont à savoir :

3.1. Payer votre rançon ne vous garantit en rien le recouvrement de vos données.

Honnêteté du hacker, double-chantage, capacité du hacker à décrypter ce qu'il a crypté ... comment en êtes-vous sûr ? Les hackers sous-traitent souvent leur travail, c'est le "RaaS" : Ransomware as a Service. L'un développe le ransomware, l'autre l'achète et le met à exécution sur un panel de PME victimes. Le hacking devient accessible à des individus malveillants et aux compétences limitées.

3.2. Payer votre rançon c'est financer les hackers et cautionner un cercle vicieux.

Le Trésor américain prévoit déjà dans certains cas d’infliger des amendes aux entreprises payant la rançon et la plupart garanties d’assurance américaines et françaises excluent dores et déjà le remboursement. La réglementation est amenée à évoluer en ce sens car ce remboursement finance et cautionne l’éco-système dess hackers.

Dans notre exemple, M. Sozeb, au courant des bonnes pratiques, refuse de payer la rançon. Et ensuite ?

  • Le hacker ne décryptera pas les fichiers clients d'Acmé. Cependant M. Sozeb n'est pas inquiet : il a effectué toutes ses sauvegardes.
  • Le hacker menacera de faire fuiter les fichiers clients et risque de mettre sa menace à exécution. Dans ce cas si M. Sozeb a une cyber assurance, elle pourra l'accompagner dans ses démarches : (i) déclaratives auprès de la CNIL, (ii) juridiques en responsabilité civile et (iii) de gestion de la communication de crise.

De même qu'il est plus utile de prévenir une maladie que de passer une semaine à vous soigner, vos deux priorités sont :

  • D'éviter l'attaque par de bonnes pratiques et l’installation de logiciels de protection tels des EDR
  • De savoir rapidement rebondir lorsqu'elle arrive, notamment grâce à la sauvegarde de vos données en différents endroits de votre SI (cloud avec permissions différentes, support physique déconnecté)

N'ayez aucun doute : le ransomware est tout sauf une fatalité.

Ransomwares : la bourse ou la vie ?

Des actions défensives peuvent rapidement être prises contre un ransomware :

1. Mettez en place de bonnes pratiques : sauvegardes en cloud et en physique, restriction des droit administrateurs, configuration de vos outils, politique de mots de passes, etc. Demandez de l'aide !

2. Luttez contre la faille humaine : sensibilisez vous et vos collaborateurs au phishing

3. Luttez contre vos failles technologiques : installez des logiciels de protection cyber