Connexion
Abonnez-vous

L’ANSSI et la DACG publient un guide sur les attaques par rançongiciels

Le Monde de Money

L’ANSSI et la DACG publient un guide sur les attaques par rançongiciels

Le 04 septembre 2020 à 08h00

« Depuis le début de l’année, l’ANSSI a traité 104 attaques par rançongiciels » annonce l'Agence pour la sécurité des systèmes d’information. Elle publie du coup ce jour, avec la Direction des Affaires criminelles et des grâces, un guide de sensibilisation. Explications.

Dans ce guide de 21 pages, Guillaume Poupard, directeur général de l’ANSSI et Catherine Pignon, directrice de la DACG entendent signaler les risques pesant sur les opérateurs face à ces actes de cybercriminalités. Les rançongiciels « représentent aujourd’hui la menace la plus sérieuse. Ils augmentent en nombre, en fréquence, en sophistication et peuvent être lourds de conséquences sur la continuité d’activité voire la survie de l’entité victime ».

Si le champ de compétence de l’ANSSI s’est d’abord concentré sur les opérateurs d’importance vitale puis sur les fournisseurs de services essentiels, ce guide qui s’adresse à tous entend ajouter une « première pierre » à un édifice en gestation.

Il est publié alors que « le gouvernement mène une réflexion sur les mesures à même de réduire le risque que représentent les rançongiciels en vue de casser le modèle économique des attaquants et diminuer de manière drastique leur sentiment d’impunité ».

Conséquence de ces programmes malveillants ? « arrêt de la production, chute du chiffre d’affaires, risques juridiques (…), altération de la réputation, perte de confiance des clients, etc. ». Parmi les risques juridiques, ceux nés du règlement général sur la protection des données personnelles, qui oblige déjà à documenter l’attaque précisément, puis à notifier cette base à la CNIL en cas de risque pour la vie privée, en principe dans les 72 heures, voire aux personnes physiques concernées, si ce risque est élevé (voir également cette page sur les marqueurs de compromission).

Des recommandations issues du « Guide d'hygiène informatique »

Témoignage de ces conséquences, le dossier ANSSI/DACG cite les commentaires de représentant du CHU de Rouen, du Groupe M6 et de Fleury Michon, autant de structures victimes de ces faits. «  Dans la nuit du 10 au 11 avril 2019, une attaque par rançongiciel a obligé l’entreprise à couper toute liaison Internet et avec les ensembles applicatifs. Conséquence directe de l’attaque : arrêt total de l’activité pendant trois jours et fonctionnement en mode dégradé pendant deux semaines », rapporte Laurent Babin, le RSSI de Fleury Michon.

Des noms qu'on retrouve sans surprise dans son état de la menace, publié l'an passé par l'Agence, où celle-ci indiqué avoir traité « 69 incidents en 2019  », relevant de son périmètre spécifique. 

L’Agence remet sur la table des éléments de bon sens issus de son « Guide d’hygiène informatique » : correctifs de sécurité, mise à jour des signatures antivirus, politique de filtrage sur les postes de travail, « désactivation des droits d’administrateur pour les utilisateurs de ces postes », avec limitation des privilèges. « Les actions de propagation du rançongiciel au sein du système d’information sont généralement réalisées à l’aide de comptes d’administration » comment le guide, qui préconise aussi dans sa besace, une sensibilisation des utilisateurs. S’y ajoutent des sauvegardes régulières des données, une politique de veille aiguisée (notamment via le site du Cert-FR) accompagnée au besoin d’une assurance dédiée.

« Aujourd’hui, les contrats d’assurance cyber permettent d’accompagner les entités victimes de cyberattaques en leur fournissant, en cas de sinistre, une assistance juridique ainsi qu’une couverture financière du préjudice (matériel, immatériel, etc.) », applaudit le document, avant de relever néanmoins un marché « encore naissant [qui] doit poursuivre son développement, en particulier en matière de jurisprudence concernant l’activation ou non des clauses d’exclusion ».

Prévenir ces attaques consiste aussi à établir un plan de réponse. « Les fonctions support comme la téléphonie, la messagerie, mais aussi les applications métier peuvent être mises hors d’usage. Il s’agit alors de passer en fonctionnement dégradé et dans certains cas, cela signifie revenir au papier et au crayon ». Le guide préconise des moyens de communication de secours « propres au plan de continuité informatique ». Une gestion de crise qui doit également passer par une stratégie de communication cette fois externe, afin de limiter la casse en termes de réputation.

Après le préventif, le curatif

Au-delà du volet préventif, que faire en cas d’attaque ? « Le premier réflexe est d’ouvrir une main courante permettant de tracer les actions et les évènements liés à l’incident ». Doit y être consignée une chronologie exacte des évènements, accompagnée de leur description. « Ce document doit permettre à tout moment de renseigner les décideurs sur l’état d’avancement des actions entreprises ».

L’ANSSI et la DACG rappellent aussi l’importance d’isoler le système d’information. « En bloquant toutes les communications vers et depuis Internet (…) l’attaquant ne sera plus en mesure de piloter son rançongiciel ni de déclencher une nouvelle vague de chiffrement ». « Une fois les programmes malveillants à l’origine de l’infection identifiés, il sera possible de rechercher dans les journaux du système d’information les éventuelles caractéristiques de ceux-ci », ajoute le guide.

« Ces éléments pourront être utilisés sur les passerelles applicatives ou sur les équipements de filtrage réseau pour éviter de nouvelles infections. En particulier, si une adresse IP est identifiée comme étant malveillante, il sera possible de mettre en place une règle au niveau des pare-feux ». Autre mesure de bon sens : laisser éteintes les machines non démarrées au moment de l’attaque.

« Malgré le chiffrement des données par le rançongiciel, il est possible qu’une solution de déchiffrement soit découverte et rendue publique ultérieurement. Aussi, il est important de conserver les données chiffrées ». Le guide rappelle l’initiative No more ransom, qui propose une série d’outils de déchiffrement pour une série de rançongiciels (Checkmail7, Spartcrypt, Crycryptor, Redrum, Zorab, Mapo, Vcryptor, Javalocker, Dragoncyber, Gogoogle, Magniber et Simplelocker). Une initiative commune rassemblant le National High Tech Crime Unit de la police néerlandaise, European Cybercrime Centre, Kaspersky et McAfee, outre de nombreux partenaires et soutiens.

Pour les structures disposant de moyens, est préconisée la mise en place d’une cellule de crise, qui pourra notamment gérer les échanges avec la CNIL, avec son DPO en appui. Pour les plus petites entités, les choix se réduisent, mais l’ANSSI rappelle sa plateforme cybermalveillance.gouv.fr qui permet, notamment, une mise en relation des victimes avec des professionnels à proximité. Elle dispose d’ailleurs d’une fiche dédiée à ce type de cybercriminalité.  

Dans tous les cas, les deux entités recommandent d’une part de porter plainte, qui permettra notamment d’enclencher des moyens d’investigation plus poussée.

Ne surtout pas payer

Ces mesures relèvent d’ailleurs de l’extorsion de fonds, infraction prévue dans le Code pénal qui sanctionne de 7 ans d’emprisonnement et 100 000 euros d’amende, le fait d’obtenir par contrainte une remise de fonds. Elles concernent également le droit pénal de la fraude informatique, puisqu’il s’agit d’une atteinte à un système de traitement de données, accompagnée d’une modification ou d’une altération (3 ans de prison, 100 000 euros d’amende, voire 5 ans et 150 000 d’amende pour les traitements mis en œuvre par l’État).

D’autre part, elles invitent surtout à ne pas payer la rançon, contrairement à ce que suggère les dernières actualités. « Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. De plus, le paiement de la rançon n’empêchera pas votre entité d’être à nouveau la cible de cybercriminels ».

Commentaires (13)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Tiens, Je n’ai plus la possibilité de vous signaler une coquille dans l’article :
S’y ajoutent des sauvegardes régulières des donnés => S’y ajoutent des sauvegardes régulières des donnéEs

votre avatar

« Aujourd’hui, les contrats d’assurance cyber permettent d’accompagner
les entités victimes de cyberattaques en leur fournissant, en cas de sinistre
une assistance juridique ainsi qu’une couverture financière du préjudice



heu…???
(ce qui est ‘perdu’, par la faute du ‘rançongiciel,..est perdu) ! :reflechis:

votre avatar

vizir67 a dit:


heu…??? (ce qui est ‘perdu’, par la faute du ‘rançongiciel,..est perdu) ! :reflechis:


Ils n’indiquent en aucun cas que ce qui est perdu sera récupéré, mais une aide juridique et financière, genre tu perds tous tes docs financiers, tu ne peux plus payer tes créanciers en temps et en heure, t’es couvert par l’assurance



(enfin, une assurance reste une assurance, elle se désengagera en trouvant un point du contrat en taille 2pt en gris très clair sur fond blanc qui dira qu’ils ont le droit de le faire…)

votre avatar

une assurance reste une assurance, elle se désengagera
en trouvant un point du contrat…



‘pour ça’…on peut leur faire confiance : “ho, que oui..ils trouveront la faille” !!! :mad:

votre avatar

(reply:1822831:Ninja-Veloce)


Il y a des boutons “signaler une erreur” en haut et en bas de l’article.
Pour le signalement “en ligne”, depuis la v7 il faut réactiver l’option dans “Paramètres/Signalement d’erreur contextuel”.

votre avatar

J’aimerais bien avoir une étude sur les cause réelles d’une attaque réussie… Certains dirons que c’est pour économiser de l’argent pour en gagner et d’autres dirons que c’est pour économiser de l’argent juste pour survivre.

votre avatar

Une chose très simple pourrait permettre de réduire considérablement la réussite de ce genre d’attaques: la formation.
Quand les employeurs forment-ils les utilisateurs des ordinateurs des entreprises: quasiment jamais. C’est un peu comme si on filait les clefs d’une voiture sans demander le permis et en exigeant simplement la signature d’un fomulaire où on s’engage à respecter les règles (sans les expliquer bien sûr).

votre avatar

Sauf erreur, ce document ne répond pas à une question que je me suis toujours posée : les attaques par rançongiciels sont-elles aveugles, résultant de la propagation automatique du logiciel malveillant, ou bien ciblées, adaptées à une victime donnée, et utilisant, par exemple, du « spear phishing » ?



Les exemples publiés dans la presse semblent indiquer des attaques aveugles (copies d’écran montrant un message générique).



Ou bien on trouve les deux cas ?

votre avatar

(reply:1823146:Stéphane Bortzmeyer)


Je pense que c’est un peu les deux.



J’ai un client (groupe international, secteur retail) qui avait été victime d’une attaque par déni de service sur ses infras (on l’a méchamment senti, tout le réseau était à genoux) à plusieurs reprises jusqu’à ce que la source soit enfin trouvée.



Et il ne se passait pas une semaine sans que la sécu ne fasse un rappel en masse aux bonnes pratiques notamment liées au phishing et aux PJ vérolées des mails. Moi-même qui était prestataire IT recevait des .docx ou autre avec un “comme convenu voici le bon de commande pour le produit blablabla”. Les mails étaient souvent contextualisés à l’activité de l’entreprise avec des types de produits vendus par le groupe.



Un crypto-lock avait une fois commencé sur un partage réseau d’un service, identifié grâce à l’activité de la baie de disque qui a monté en flèche et rapidement isolé.



Je pense qu’il y a à la fois une visée stratégique, mais aussi à l’aveugle en espérant que les gros poissons paniquent et paient.

votre avatar

(reply:1823146:Stéphane Bortzmeyer)


Très clairement il y a une énorme majorité qui est à l’aveugle sur des listes de mails qui ont fuité (voire en brute force sur des mails au hasard ?!? :keskidit: , qui n’en a pas déjà reçu ? ;)
Et d’autre part des attaques ciblées, essentiellement du côté industriel. Dernier exemple en date à la magistrature de Paris, où c’était ciblé, il y a à peine quelques jours.

votre avatar

(quote:1823146:Stéphane Bortzmeyer)
Sauf erreur, ce document ne répond pas à une question que je me suis toujours posée : les attaques par rançongiciels sont-elles aveugles, résultant de la propagation automatique du logiciel malveillant, ou bien ciblées, adaptées à une victime donnée, et utilisant, par exemple, du « spear phishing » ?



Les exemples publiés dans la presse semblent indiquer des attaques aveugles (copies d’écran montrant un message générique).



Ou bien on trouve les deux cas ?


Je pense que les pirates ont évolué. Je pense qu’ils vérolent à l’aveugle et instaure une période de tranquillité. Durant cette période, ils inspectent le type de cible et sa taille. Selon sa taille, ils réagissent différemment, de manière personnalisée.
Ainsi, ils peuvent rester en sommeil et essayer d’infiltrer pour avoir “plus” qu’une simple rançon: Voler, s’incruster grave, s’assurer des accès permanents, désactiver silencieusement des sécurités, etc….

votre avatar

vizir67 a dit:


« Aujourd’hui, les contrats d’assurance cyber permettent d’accompagner les entités victimes de cyberattaques en leur fournissant, en cas de sinistre une assistance juridique ainsi qu’une couverture financière du préjudice



heu…??? (ce qui est ‘perdu’, par la faute du ‘rançongiciel,..est perdu) ! :reflechis:


Oui… mais non.



Premièrement, l’assureur interviens sur de nombreux aspects en cas d’incidents. Il va notamment payer les équipes d’investigation et de remédiation ainsi que la perte d’exploitation. Pour être déjà intervenu pour un assureur connu dans le milieux, il privilégient la compétence à l’appétence. Un incident coûte vite très très cher même pour une PME/ETI.



Au niveau des données il y a parfois des opérations de récupération en laboratoire sur les volume réseau avec reconstruction des données sur des grappes RAID si besoin. Je travaille actuellement sur un incident et pour vous donner un ordre d’idée, les travaux sur un RAID5 avec plusieurs disques ont coûtés ~15k€.

votre avatar

ok !
‘merci’ ! :smack:

L’ANSSI et la DACG publient un guide sur les attaques par rançongiciels

  • Des recommandations issues du « Guide d'hygiène informatique »

  • Après le préventif, le curatif

  • Ne surtout pas payer

Fermer