Connexion
Abonnez-vous

Rançongiciels : l’ANSSI dresse un inquiétant état des lieux et des menaces à venir

Avec des services de rançon as a service

Rançongiciels : l’ANSSI dresse un inquiétant état des lieux et des menaces à venir

Le 03 février 2020 à 10h00

Les attaques par rançongiciels sont en augmentation et se « professionnalisent » pour l'ANSSI. Les conséquences peuvent être catastrophiques, aussi bien financièrement qu’humainement. L'Agence dresse un vaste état des lieux de cette menace, précisant au passage être intervenue sur 69 incidents majeurs en France.

Commençons par une définition, donnée par l'ANSSI, qui sera utile pour la suite : « un rançongiciel est un code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent ». 

Big Game Hunting, Ransomware-As-A-Service, sous-traitant…

Il en existe des centaines de variantes, avec même principe : le chiffrement des données, les rendant illisible à l'utilisateur. Ce dernier doit alors payer une rançon en espérant que cela lui permettra d'obtenir une clé de déchiffrement. Un type d'attaque qui a le vent en poupe, car elles peuvent rapporter gros aux pirates.

« Alors que les montants de rançons habituels s’élèvent à quelques centaines ou milliers de dollars, celles demandées lors des attaques "Big Game Hunting" [très sophistiquées, parfois au niveau de ce que peut produire un service d’espionnage étatique] sont à la mesure de la cible et peuvent atteindre des dizaines de millions de dollars », explique l’ANSSI.

À la fin de son rapport (page 18 à 26), l’Agence revient en détail sur une dizaine de rançongiciels de cas de « Big Game Hunting » : SamSam, BitPaymer, Ryuk, LockerGoga, Dharma, GandCrab, Sodinokibi, MegaCortex, RobinHood, Maze et Clop.

Certains d’entre eux, comme GandCrab, Sodinokibi, Dharma et Maze, sont considérés comme des « Ransomware-As-A-Service », car ils sont proposés par des pirates à d’autres pirates via un système d’affiliation. Un système bien rôdé : « Il permet aux attaquants de sous-traiter une grande partie des actions pour mener à bien leurs opérations d’extorsion et d’y acheter les ressources nécessaires (données personnelles, accès légitimes compromis, codes malveillants) ».

... un écosystème très lucratif

L’attaque Cryptolocker aurait rapporté 3 millions de dollars en 2013, contre 6 et 7 millions pour SamSam et Ryuk. On passe à 150 millions de dollars avec GrandCrab grâce à son modèle de Ransomware-As-A-Service permettant de « louer » le rançongiciel contre un pourcentage des gains, et enfin entre 18 et 320 millions de dollars pour Cryptowall. 

Au total, cet écosystème générerait « deux milliards de dollars de bénéfices annuels », à mettre en perspective avec les 1 500 milliards de dollars en 2018 pour l’ensemble des activités cybercriminelles. 

De l‘autre côté, les coûts sont limités et, pour une attaque de type « Big Game Hunting », ne dépasseraient pas en moyenne « les dizaines de milliers de dollars sur l’ensemble de la période d’activité » selon l’ANSSI. « Dans tous les cas, il est très peu probable que le coût pour l’attaquant approche ses revenus potentiels », ajoute-t-elle. 

Des attaques coûteuses… même si vous avez des sauvegardes

Les rançongiciels peuvent avoir des conséquences fâcheuses pour les cibles, pas uniquement pécuniaires : « la ville de Baltimore a vu ses réseaux paralysés par une attaque de ce type et a évalué le préjudice financier à 18 millions de dollars, dont dix pour la remise en état du parc informatique ». Les pirates réclamaient 100 000 dollars et 10 000 de plus par jour de retard après le délai imparti. La ville n’a pas payé, mais elle a mis plus d’un mois à rétablir l’ensemble de ses services.

En mars 2019, une entreprise norvégienne spécialisée dans l’industrie de l’aluminium (Norsk Hydro) a été infectée par LockerGoga. Elle a dû stopper une grande partie de sa production et continuer en manuel pendant un temps. Elle possédait des sauvegardes et a donc décidé de ne pas payer la rançon.

Mais « la baisse de productivité due à l’attaque aura coûté environ 40 millions de dollars à l’entreprise ». Le rapport explique même que « des sociétés se sont développées autour de ce paiement des rançons en proposant des services de négociation avec les attaquants ». Ce qui revient à se poser l'une des questions majeures : Faut-il payer ?

Pour les professionnels, « les assurances incitent les victimes à payer la rançon qui s’avère souvent moins élevée que le coût d’un rétablissement de l’activité sans le recours à la clé de déchiffrement. Pour autant cette couverture n’empêche pas les victimes d’être attaquées de nouveau. Cette incitation à payer valide le modèle économique des cybercriminels et les amène déjà à augmenter les rançons et à multiplier leurs attaques ».

Rappelons tout de même que payer n’est pas la garantie de récupérer ses données. Cela devrait inciter chacun à revoir ses procédures de sécurité, de sauvegarde et ses plans de continuité/reprise d'activité. L'idéal est toujours de disposer de copies de vos fichiers, dans des lieux, sur des supports différents... et même hors-ligne pour éviter la contamination.

Faire pression sur la justice

Si l’argent est le principal moteur de cette activité fortement lucrative, « il est tout à fait envisageable que des groupes cybercriminels (ou le crime organisé en général) s’appuient un jour sur ce moyen pour faire pression sur la justice ».

De premiers cas sont survenus avec des attaques contre certains départements de police américains et les laboratoires d’analyses Eurofins Scientific. Ces derniers effectuent la moitié des analyses forensiques de la police anglaise et ont décidé de payer la rançon pour continuer leurs activités.

Les attaques se professionnalisent

Pendant un temps, les attaquants ciblaient très larges avec des attaques de types « Fire and Forget » ou « Spray and Pray ». Pour faire simple : on arrose tous azimuts et on regarde ensuite ou ça mord à l’hameçon. On pourrait comparer cela à de la pêche à la grenade en aveugle en espérant attraper un gros poisson « par chance ».

Ces dernières années, cela s'est largement affiné « afin de s’assurer de la présence de ressources importantes sur les machines compromises et de la capacité financière de leurs cibles à payer des rançons de plus en plus élevées ». Les pirates utilisent notamment des listes d’adresses en vente sur les marchés noirs.

Pour appuyer ses dires, l’ANSSI reprend une étude de Symantec mettant en avant « une baisse générale de 20% des infections par rançongiciel, mais une hausse de 12% à l’encontre des entreprises ». Depuis fin 2019, certains attaquants opèrent en deux temps en commençant par « exfiltrer de grandes quantités de données présentes sur le système d’information compromis avant d’action de chiffrements. Ils se servent ensuite de la divulgation de ces données afin d’exercer une pression supplémentaire sur les victimes afin de les inciter à payer la rançon ».

Un exemple avec la compagnie américaine Southwire qui a été attaquée via le rançongiciel Maze, et qui est restée silencieuse face aux pirates. Ces derniers ont alors publié des documents sur un site Internet pour les faire réagir. « Southwire a alors intenté une action en justice contre les opérateurs de Maze pour avoir publié des données personnelles tombant sous la réglementation RGPD et le site a été fermé ».

En réponse, les pirates ont publié un peu moins de 2 Go de données sur un forum d’attaquants russophones.

En 2019, l’ANSSI est intervenue 69 fois en France

Pour l’ANSSI, le rançongiciel est « la menace informatique la plus sérieuse pour les entreprises et institutions par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité ». L’Agence nationale de la sécurité des systèmes d'information annonce avoir traité « 69 incidents en 2019 sur son périmètre », soit plus d’un par semaine, avec une forte augmentation sur les derniers mois de l’année.

Parmi les compromissions les plus importantes, l’Agence met en avant ses interventions chez Altran en janvier 2019, Fleury Michon en avril 2019, Ramsay Générale de Santé en août 2019 et le CHU de Rouen en Novembre 2019. Dans le détail, 18 attaques concernent le domaine de la santé et 14 les collectivités territoriales ; soit quasiment 50 % des attaques à eux deux.

Dommage par contre que l’ANSSI ne parle pas des pirates arrêtés ou des groupes démantelés suite aux enquêtes menées.

Retour sur WannaCry

Le cas de WannaCry est encore dans toutes les têtes et montre les conséquences explosives de la combinaison d’un rançongiciel et d’un moyen de propagation automatique. L’ANSSI en profite pour rappeler que « l’impact de WannaCry aurait pu être fortement limité par une meilleure politique de mise à jour logicielle des entreprises dans le monde ».

En une seule journée, « au moins 200 000 machines dans plus de 150 pays » ont été infectées, avec des conséquences sur de nombreux secteurs. En France par exemple, « Renault a arrêté par mesure de précaution plusieurs sites de production », tandis qu’au Royaume-Uni le National Health Service était touché et des services d’urgence arrêtés.

« À la connaissance de l’ANSSI, il n’existe pas d’autre cas d’attaque à but lucratif de ce type ». Elle rappelle que WannaCry se basait sur le code EternalBlue, « supposément développé par la NSA et divulgué en source ouverte deux mois plus tôt ». Il s’est répandu comme une traînée de poudre, car les mises à jour n’avaient pas été faites. Il a pu être stoppé grâce à la présence d’un Kill switch permettant notamment aux concepteurs d’éviter d’être infectés.

Tout le monde est concerné

L’ANSSI rappelle – au cas où certains penseraient encore pouvoir passer entre les mailles du filet – que « toute entreprise, institution ou particulier ayant un accès à Internet peut être infecté par un rançongiciel s’il n’a pas mis en œuvre des mesures de sécurité informatique basique (sauvegardes à froid, sensibilisation à l’hameçonnage, mise à jour logicielle sur ses machines connectées, antivirus) ».

Sur les attaques de type Big Game Hunting, les entreprises américaines sont de très très loin la cible principale des pirates. La Turquie, le Royaume-Uni, l’Australie et le Canada arrivent ensuite. On retrouve donc quatre des « Five Eyes » dans le top 5. La Chine est 10e et la France n’est pas présente dans ce classement.

Mais l’ANSSI met en garde sur un biais important à prendre en considération, notamment pour la Chine et les pays non anglo-saxons : « Les chiffres présentés par Symantec sont largement influencés par le positionnement de ses solutions de détection. Le marché de cet éditeur étant majoritairement américain et anglo-saxon, il est normal de voir apparaître les États-Unis comme principale cible ». Malgré tout, ces statistiques représentent de manière générale « une réalité ».

Un avenir peu réjouissant…

L’ANSSI propose une vision d’avenir qui a de quoi inquiéter : « L’augmentation du nombre d’attaques par rançongiciel pourra également amener à la répétition des infections, les victimes voyant tout ou partie de leur réseau paralysé régulièrement, qu’ils aient payé ou non les extorsions précédentes ».

Pour se prémunir, il n‘y a pas 36 000 solutions : prudence, mise en garde et éducation des employées qui sont souvent un vecteur d’attaque, mise à jour des systèmes et des sauvegardes, vérification de son plan de reprise d’activité en cas de crash (notamment la durée), etc.

Les attaques ne se contentent plus d’un rançongiciel, elles combinent souvent plusieurs vecteurs, notamment des trojans bancaires et des mineurs de cryptomonnaie. Ils accentuent la pression sur les victimes et assurent des bénéfices supplémentaires aux attaquants. 

Enfin, « la frontière entre l’utilisation d’un code de chiffrement et un code de sabotage est ténue », explique l'Agence. « NotPetya et GermanWiper sont deux exemples de codes se faisant passer pour des rançongiciels, mais ayant uniquement une finalité de sabotage ». À l’avenir, il est d'ailleurs possible que « des puissances étrangères utilisent des rançongiciels dans une logique déstabilisatrice » note l'ANSSI.

Commentaires (32)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



…à mettre en perspective avec les 1 500 milliards de dollars en 2018 pour l’ensemble des activités cybercriminelles



Je serai intéressé par la source de ces chiffres : j’en étais resté à environ 500 milliards prévus en 2021 (Transparency Research Market, 2017).

votre avatar

Ne pas oublier, sur certains postes ciblés par les attaques en 2017 il y avait encore du windows xp et des routeurs pas à jour (merci cisco).



Concernant les assurances depuis quelques années, elles ont développés des contrats pour ces types d’attaque. Le problème, ces derniers sont tellement flous ou trop pointilleux qu’ils ne servent à rien aux entreprises.

votre avatar



Si l’argent est le principal moteur de cette activité fortement lucrative, « il est tout à fait envisageable que des groupes cybercriminels (ou le crime organisé en général) s’appuient un jour sur ce moyen pour faire pression sur la justice ».





Orgie de preuves, chantage, entrave à la justice…

Il serait utile de retrouver une ergonomie d’usage “préventive”. Mais personne ne sera d’accord pour avoir une boite noire fermée (aka secure enclave ou équivalent) sur son matériel si l’utilisateur est pris en otage par le système.

On est jamais mieux servi que par soi-même malheureusement !

votre avatar

Sérieusement, pourquoi personne ne mentionne le fait que ça ne touche que le monde Windows ? (si ce n’est pas 100 %, ça doit être très proche)



Il y en a sans doute peu, mais dans les boîtes sous Linux (et j’en connais), on a l’esprit assez tranquille à ce sujet, en tous cas jusqu’à présent.

Par exemple, la gendarmerie utilisant essentiellement Linux, ils doivent être relativement à l’abri de ce genre de mésaventure.

(dire que je constatais ça, avec d’autres, déjà dans les années 2000 quand les virus sévissaient et proliféraient grâce à Outlook)

votre avatar

C’est surtout un problème d’éducation:

ON NE LAISSE PAS LES DROITS ADMIN À SES EMPLOYÉS, CES DROITS SONT À RÉSERVER AUX INFORMATICIENS!!!



Les personnes sous Linux ont assez de connaissance en hygiène informatique pour laisser sudo & co aux seules personnes compétentes.

La critique de windows là dessus est un peu rapide même si MS n’incite pas aux bonnes pratiques.

votre avatar

Parce que c’est faux?

par exemple :https://forum.malekal.com/viewtopic.php?t=53426 ou liluhttps://medium.com/cmd-security/new-linux-ransomware-lilocked-is-added-to-the-gr…



Il faut plutot mettre en corrélation la mutation de l’attaque (qui devient ciblée pour maximiser) et les cibles qui rapportent gros. et la oui on retombe essentiellement sur de l’environnement windows (qui facilite grandement la progression par son intégration).



mais il existe un paquet de petit ransomware plus ou moins aggressif sous linux et dans mon entourage pro, 2 TPE/PME sous linux s’en sont pris…

votre avatar

Manifestement les problèmes de rançongiciel (et autres) se produisent très bien sans que les utilisateurs aient des accès admin.

votre avatar

Quel était le vecteur d’attaque (ou “pénétration” dans le système) ?



De toutes façons ça reste très marginal hors Windows, quelle que soit la raison, donc bonne raison d’éviter ce système (idem il y a 20 ans).

votre avatar

ah bon ?

votre avatar

pour l’un je n’ai pas d’info pour l’autre, assez bêtement un déploiement de test exposé, à partir de là progression classique par des shares ou machine avec de l’identifiant par défaut

votre avatar

On a l’esprit tranquille tant qu’on n’a pas été touché <img data-src=" />

Le côté malsain des ransomware c’est comme les gros massacres en prod : on ne se vante pas quand on s’est fait avoir , c’est pas cool pour la réputation



Mais Qnapcrypt , Lilu , Lilocked, killdisk ou BOrOntOK existent et c’est sur Linux

votre avatar

En 2013 MAC OS (FBI scam qui a touché majoritairement les USA ce qui est logique) avait la palme des machines tomber avec des ransomwares.

&nbsp;

&nbsp;Et en 2017 se sont des servers web qui sont tombé qui tournent avec linux. ex: une compagnis ce retrouve avec 153 servers web infecté par un ransomware ce qui paralyse environs 3500 sites.



Je ne vais pas citer toute l’historique des campagnes de ransomware qui se sont passé juste 2 exemples.

&nbsp;

Windows est une cible de choix en france et ou en europe car il y en plus que de MAC OS ce qui est le contraire aux USA et ou le Japon/ Coree du sud.



Et je ne parle des vagues à venir qui vont visé les smartphones aussi bien android et IOS (ce qui a deja comencé).

votre avatar







thinkerone a écrit :



pour l’un je n’ai pas d’info pour l’autre, assez bêtement un déploiement de test exposé, à partir de là progression classique par des shares ou machine avec de l’identifiant par défaut





Ça ressemble à de la négligence là. On n’a pas l’air d’être dans le cadre du poste de travail, d’ailleurs.







Dyfchris a écrit :



Et en 2017 se sont des servers web qui sont tombé qui tournent avec linux. ex: une compagnis ce retrouve avec 153 servers web infecté par un ransomware ce qui paralyse environs 3500 sites.





En général, c’est plutôt le souci du site Web proprement dit, bien sûr les attaques existent.

Mais ça reste relativement rare quand même.







Dyfchris a écrit :



Windows est une cible de choix en france et ou en europe car il y en plus que de MAC OS ce qui est le contraire aux USA et ou le Japon/ Coree du sud.





Il n’y a pas plus de MacOS que de WIndows aux USA, et de loin. Les chiffres ont toujours été d’environ 90 % pour Windows. Pour la Japon/Corée je n’ai pas regardé mais ça m’étonnerait beaucoup qu’on ait une majorité de Mac.







Dyfchris a écrit :



Et je ne parle des vagues à venir qui vont visé les smartphones aussi bien android et IOS (ce qui a deja comencé).





Je ne connais personne dans mon entourage (et ça fait du monde, côté geek) qui a eu ce genre de souci. Là aussi il faut une porte d’entrée, une manip à faire.


votre avatar







JoePike a écrit :



On a l’esprit tranquille tant qu’on n’a pas été touché <img data-src=" />

Le côté malsain des ransomware c’est comme les gros massacres en prod : on ne se vante pas quand on s’est fait avoir , c’est pas cool pour la réputation



Mais Qnapcrypt , Lilu , Lilocked, killdisk ou BOrOntOK existent et c’est sur Linux





“Qnapcrypt”, ça ressemble beaucoup à un truc qui tourne sur un poste Windows et qui “crypte” les données d’un NAS QNAP.

Ça existe sur Linux, mais ça reste très marginal.



Ça me rappelle déjà il y a 15 ans quand des gens venaient dire qu’il y avait aussi des virus sous Linux. Peut-être, mais en pratique, et 15 ans plus tard…


votre avatar

Ce qui est étonnant, c’est que MS Win 10 comporte un outil intégré anti Ransomware, désactivé par défaut (a priori) sur la version 1909. Bon, faut reconnaitre que c’est pas pratique à utiliser : quand une application demande d’écrire des documents, on n’a pas droit à un popup pour demander comme pour un Firewall “voulez vous autoriser l’application MACHIN à accéder au dossier BIDULE, et voulez vous retenir la règle ?”…



C’est comme le firewall de Win 10 pour bloquer le sortant : si on l’utilise, aucune popup pour demander que faire… faut y aller à la main, dans les paramètres, et c’est assez chiant en fait !

votre avatar

si c’était que le service info de la boite..



mais dans ma SSII&nbsp; chez les clients , les droits admins sont obligatoires ( avec TOUT de désactivés, le meilleur vivier pour le cryptolocker )&nbsp; .. à cause des logiciels métiers…

votre avatar

Que dire des logiciels qui demandent systématiquement les droits admin pour se lancer.

Deux exemples:




  • ]TiMonoblockEntrancePanel: le logiciel de configuration des vidéophones de Legrand (boite Française) ;

  • zkaccess un logiciel de configuration de contrôle d’accès physique d’une boîte chinoise.







    Ce sont des logiciels, utilisés par des utilisateurs lamba, qui n’ont aucune raison valable d’imposer cela.

    Sauf que l’on a pas le choix car ils sont imposés par les fabricants des matériels associés.



    Avec cela, les machines sous windows ne sont pas prêtes d’être vraiment protégées un jour.

votre avatar

Le fait de ne pas avoir mes droits admin évite de rendre le système infecté inutilisable mais n’empêche pas le cryptage de toutes les données auxquelles l’utilisateur à accès en écriture (partages réseau compris), ni les tentatives de réplication vers les autres machines du réseau.



Suivant le type d’entreprise, perdre des données peut être plus important que perdre du temps d’activité. En plus, suivant comment le SI est (mal) organisé, la perte de certaines données provoque aussi le crash du SI.



Je ne suis pas expert, mais la problématique me semble bien plus compliquée que la gestion des droits admin. J’ai même l’impression que cette gestion peut avoir assez peu d’influence sur le résultat final pour certains types d’entreprises.

votre avatar

Ton article medium est écrit par une boite vantant ses propres services de sécurité sur Linux…

Les attaques sur Linux sont souvent sur des serveurs web peu sécurisés (failles xss, php, injection sql etc..) ou négligence de l’admin (ftp/http en clair…)

Les virus sur des desktop Linux, ça doit être extrêmement rare…

votre avatar

Dans le choix d’acquisition d’un logiciel métier, le besoin de se lancer avec un minimum de droits requis devrait être situer en bonne place du cahier des charges…

votre avatar

sans oublier les versions de soft pas à jour disposant de failles connues (Wordpress, joomla, nextcloud…)

Mais ça reste une négligence de l’admin.



Alors que c’est plutôt simple de compromettre un Windows, étant donné sa nature de passoire (même avec un antivirus à jour…)

votre avatar

Comment chiffres-tu les données sans installer le logiciel malveillant???

En détournant des fonctions de chiffrement de l’OS et envoyant les clés par courriel aux pirates?

votre avatar







Soriatane a écrit :



Comment chiffres-tu les données sans installer le logiciel malveillant???

En détournant des fonctions de chiffrement de l’OS et envoyant les clés par courriel aux pirates?





Pourquoi installer quelque chose ? Sous Windows je peux créer un .exe standalone que par exemple j’envoie à des employés en les convainquant de l’exécuter, et qui va crypter tous les fichiers qu’il peut. Comme pour les versions portables de logiciels connus, qui ne nécessitent ni installation ni droits admin.



Même chose pour une attaque avec utilisation d’une faille de sécurité permettant d’injecter du code (en plus parfois avec les droits admin même si l’utilisateur ne les as pas), avec en plus la possibilité de rechercher la même faille sur les machines proches pour les infecter aussi.



Pas besoin de d’installation ni de droits admin pour pouvoir exécuter un programme, ni pour écrire des fichiers ou communiquer sur le réseau.


votre avatar







refuznik a écrit :



Concernant les assurances depuis quelques années, elles ont développés des contrats pour ces types d’attaque. Le problème, ces derniers sont tellement flous ou trop pointilleux qu’ils ne servent à rien aux entreprises.







Ni aux assureurs d’ailleurs !



Si aucune donnée informatique n’est volée, alors c’est la modification non autorisée du SI qui est assurable. Mais dans ce cas il faudrait une responsabilité professionnelle pour le concepteur du SI qui pourra par exemple subir un manquement à une obligation de prudence ou de sécurité si il laisse une modif se faire sans son autorisation motivée. C’est là que définir un manquement à une obligation de sécurité est difficile : la ou les reine(s) étant impressionnée(s) par le miroir magique il faut au moins sept nains à chaque fois pour retrouver blanche neige…


votre avatar

Grosse attaque en cours chez Bouygues, ça confirme les prédictions malheureusement. On parle de 200To de données leakées et 10M de demande de rançon, chaud !

votre avatar

dans certains corps de métier , tous les logiciels métiers sont openbar, aucun des prestataires ne fait mieux que l’autre niveau gestion des droits ..



le mieux reste de trouver des presta qui font du web .. mais c’est encore rare .. en 2020 ..

votre avatar







Elwyns a écrit :



si c’était que le service info de la boite..



mais dans ma SSII&nbsp; chez les clients , les droits admins sont obligatoires ( avec TOUT de désactivés, le meilleur vivier pour le cryptolocker )&nbsp; .. à cause des logiciels métiers…





Je me demande à l’heure actuelle pourquoi un logiciel demanderait des droits d’admin…J’imagine qu’il veut écrire des données dans /program files ou autre…

Dire qu’il y a un dossier spécial pour cela sur Windows dans chaque utilisateur qui s’appelle Appdata -_-



Enfin, le SI peut toujours créer un compte admin local sur chaque machine via la GPO, et demander du coup un logn/mot de passe à chaque exécution du logiciel; ça peut limiter la casse si un cryptolocker essaie de s’exécuter via le compte utilisateur (qui ne sera pas admin).

&nbsp;


votre avatar

*



Oubliez mon message, j’avais mal lu… <img data-src=" />

votre avatar
votre avatar

oui c’est ça écrire dans Program Files . pour certains logiciels j’ai réussi à réduire leur propre dossiers en droits utilisateurs .



Mais beaucoup ouvrent des appli en mode admin pour des modifs de fichiers qui se trouvent direct dans C:\ ou C:\Windows éparpillé partout , et ou en faisant appel à d’autres applis Windows ( genre tous les appli fait avec Framework )



fin bref pour beaucoup c’est un vrai bordel



et ton idée est pas trop trop mauvaise, mais les presta exigent “ que l’UAC soit désactivé” = droits admins GRAND ouvert. enfin bon j’abandonne parfois

votre avatar

Le problème des Crypto c’est plutôt la gestion des droits d’accès aux données du réseau.

Dans combien de boites on ouvrent les droits a tout le monde “car c’est plus simple”.

Et je parle pas des cadres de directions ou directeurs qui eux veulent avoir accès à tout car ce sont “les chefs” et clairement pas les premiers en termes de vigilance.

c’est du pain béni pour ce type de Malware.

Il y’a toute une mentalité a changer/éduquer.

votre avatar

Comment on se protégè du fait que le ransomare va télécharger les données avant de chiffrer le ou les disques ?

Rançongiciels : l’ANSSI dresse un inquiétant état des lieux et des menaces à venir

  • Big Game Hunting, Ransomware-As-A-Service, sous-traitant…

  • ... un écosystème très lucratif

  • Des attaques coûteuses… même si vous avez des sauvegardes

  • Faire pression sur la justice

  • Les attaques se professionnalisent

  • En 2019, l’ANSSI est intervenue 69 fois en France

  • Retour sur WannaCry

  • Tout le monde est concerné

  • Un avenir peu réjouissant…

Fermer