Valéry Rieß-Marchive, rédacteur en chef de LeMagIT, a « identifié près de 80 collectivités territoriales ayant été victimes d’attaque informatique menée à coup de ransomware – ou rançongiciel, voire cryptovirus comme l’on peut le lire parfois – depuis début 2020 » :
« Si le secteur privé a souvent du mal à communiquer sur les cyberattaques de rançongiciels dont il est victime, le secteur public est très loin de se poser en parangon de la vertu. Jusqu’à parfois céder au chantage des attaquants. »
Et sans pour autant communiquer à ce sujet, pas plus envers la presse qu'à l'intention de leurs administrés, quand bien même l'attaque ait été rendue publique : « Pas un mot de la cyberattaque de ransomware dans le compte rendu du conseil municipal qui l’a suivi à Alfortville, à Vincennes, Besançon ou encore Creil, pour ne prendre que quelques exemples. »
« À l'inverse, Bondy a récemment accepté de revenir sur l'incident, révélant une facture considérable » de 1,5 million d'euros, qui « devrait perturber son fonctionnement interne jusqu’en juin 2023 », précise Le Parisien.
Certains maires refusent même « catégoriquement » que l’information soit rendue publique, quand bien même des données ont été perdues au point de faire fermer la mairie :
« Dans la plupart des cas, la communication publique, sur le moment, est restreinte à un message d’information évoquant une panne ou un incident informatique, et réduisant les capacités opérationnelles de la collectivité. »
« Il faut que l’on arrive à faire prendre conscience que cela arrive, que cela va arriver, et que cela n’arrivera pas qu’aux autres. Et surtout, que l’État ne parviendra pas à prendre les bonnes mesures si l’on cache ce qui se passe », explique Emmanuel Vivé.
Directeur général de l’Association pour le développement et l’innovation numérique des collectivités, qui intervient comme « DPO mutualisé » pour plus de 1 500 collectivités locales, l'Adico « a donc été amenée à en accompagner plusieurs dans leurs déclarations de violations de données personnelles auprès de la CNIL » :
« Il y a une culture des élus de cacher [ces incidents], comme si c’était honteux. […] C’est malheureusement la réalité. Et ça n’évolue pas forcément. »
« Les données du GIP Acyma, qui opère le portail Cybermalveillance.gouv.fr, suggèrent que plus de 160 administrations et collectivités territoriales ont été touchées par une cyberattaque avec rançongiciel au cours du premier semestre 2022 », souligne Rieß-Marchive, le journaliste français le plus expérimenté et avisé sur ces questions de rançongiciels, qui déplore pourtant n'être parvenu qu'à en recenser 10, seulement.
Commentaires (16)
#1
Si vous voulez suicider votre S.I., continuez seulement avec le tout windows/mac - vous y aurez droit - c’est juste une question de temps !
Sinon pour ceux qui ont un cerveau, la sauvegarde, c’est obligatoirement sous GNU/Linux, avec des machines dédiées qui ne font rien d’autre, et qui permettent de remettre en place les données des partages réseaux en un temps record, avec les administrateurs compétents.
Parce que oui : la sécurité a toujours un coût.
Et si vous êtes un peu plus intelligent que la moyenne, mettez tout de suite le maximum de postes clients sous OS libre. Ça vous évitera de très nombreux problèmes de sécurité, et pas seulement en cas d’attaque macroscopique.
#2
Légalement, comment ça se passe, vu que des dossiers en cours d’instruction (permis de construire, autorisations diverses, affichages légaux,…) sont perdus ?
#3
Sous android ou linux aussi ça viendra. Une infra correctement paramétrée sous n’importe quel os, c’est à peu prės le même niveau de sécu.
Que ce soit sous linux ou windows, si ‘pour aller plus vite’ Jean-Claude a donné tous les droits à tout le monde, ou si Marcel a donné tpus les droits au maire pour ‘ne pas avoir de problème’, que le maire a donné son login à la secrétaire ‘parce qu’il ne comprend rien à la délégation de signature’ et que la secrétaire a tapé le login/mot de passe du maire au stagiaire qui lui a branché son tel en partage de connexion pour surfer et aller sur discord…
Quel que soit l’os… tu l’as dans l’os…
Et ce n’est pas du tout tiré par les cheveux (toute ressemblance avec des personnes existantes ou ayant existé ou qui existeront…)
Malheureusement, ça ne de fait pas en claquant des doigts: les utilisateurs réclament alors des formations (de droit) introuvables.
Et malveureusement, quand on a l’habitude de windows, difficile de ne pas pester contre l’administration de parc linux- soit par manque de fonctionnalités, soit parce que il faut surveiller les failles de 15000 paquets, soit pour le coût exhorbitant demandé pour les logiciels payant sous linux
#4
Le rançongiciel c’est tabou, on en viendra tous à bout
#5
Bientôt, tout sera stocké dans le Cloud Souverain qui est sera à la fois sécurisé et sauvegardé. Les PC seront de simples terminaux d’accès qu’on pourra réinstaller en quelques minutes en cas de corruption par un malware.
Bref, le ransomware c’est un mal temporaire le temps d’éradiquer le “personnal computing” et les serveurs auto-hebergés. Quand toutes l’infrastructure informatique de l’état sera sous le contrôle des géants du Cloud, la sécurité sera maximale.
#SaFéRéfléchire
#6
Les rançongiciels ciblent de plus en plus l’infra et non plus le poste utilisateur (forcément avec les stratégies “full cloud” qui se généralisent, le poste client n’est plus qu’un vulgaire terminal) depuis ces deux dernières années. De ce fait, tous les systèmes sont ciblés.
Seuls les incompétents ou les inconscients peuvent croire que tel ou tel système est “sécurisé” parce qu’il est “quelque chose”. Dans la vraie vie, tous les grands OS serveurs sont autant attaqués les uns que les autres désormais. Et c’est dans le cas des rançongiciels qu’on voit qu’une bonne stratégie de sécurisation des sauvegardes est indispensable.
L’open source n’est en rien une garantie, typiquement le récent exemple des bibliothèques NodeJS vérolées ou volontairement sabotées en sont la preuve. Raison pour laquelle il faut toujours sécuriser l’entièreté de la chaîne de valeur et ne jamais reposer sur des dogmes ou des croyances.
#7
Je rappelle cette fonctionnalité de windows 10
https://docs.microsoft.com/fr-fr/microsoft-365/security/defender-endpoint/controlled-folders?view=o365-worldwide
Cela permet d’éviter que n’importe quel logiciel puisse écrire dans certains répertoires.
Par exemple, on peut dire que seul digikam peut écrire dans les photos. Un ransomware ne peut du coup plus modifier les photos (sauf si c’est un plugin digikam…)
#8
C’est quand même rare de voir un site d’information français utiliser le Eszett. Je crois que c’est même la première fois que je vois ça. Chapeau !
#8.1
Je préférerais qu’ils utilisent les espaces insécables, ça serait plus souvent qu’ils en auraient l’usage.
#8.2
Même si de plus en plus de l’autre côté du Rhin, l’usage se perd crois-moi…
PS : Marc, c’est toi l’auteur de la news ^^ ?
#9
Sauf s’il exploite une faille je pense.
#10
#11
Ca ne protège pas contre tout, mais la majorité des ransomware ‘non ciblés’ sont complètement nuls et n’utilisent que les droits utilisateurs
D’ailleurs, un deuxième ‘truc’ très efficace c’estt d’intrrdire l’exécution depuis les répertoires temporaires et de ne pas ouvrir les vannes de powershell
#12
Effectivement, de la même manière que mettre le flag noexec sur les partitions tmp et home d’un système pour empêcher les utilisateurs d’exécuter des scripts ou des binaires non maîtrisés.
#13
Il suffit de télécharger et d’enregistrer l’EXE dans un autre répertoire local ou distant non
#14
Interdire le powershell de manière uniforme est vraiment stupide. Un firewall bien configuré et des droits d’accès bien configurés sur les dossiers et c’est suffisant.
Encore un dogme de merde de la part des sysadmin qui se réservent le droit de faire tourner un programme. A peu près aussi con que de bloquer IPv6
En tant qu’utilisateur j’ai besoin d’automatiser des choses et j’en suis réduit à les faire sous cmd.exe . Depuis Windows 10, c’est mieux car on peut enfin coder les scripts en unicode et faire de la coloration avec les codes vt100 mais c’est juste chiant. Et on doit encore subir la limite des 256 caractères des api win32.
A côté de cela, on peut maintenant se faire des scripts en python qui permettent de faire autant de choses voir plus que powershell. On est décidément administré par des girouettes.