Les ransomware à l’attaque des cabinets, comment s’en prémunir ? | ANECS

Les ransomware à l’attaque des cabinets, comment s’en prémunir ?

D’après une étude de février 2016 de l’éditeur de logiciels antivirus Bitdefender, 2,2 millions de Français ont été victimes d’une ou plusieurs attaques au ransomware en 2015, alors même que les deux tiers de la population ignorent de quoi il s’agit. Il s’agit d’un logiciel malveillant dont les instigateurs cherchent à extorquer de l’argent à un utilisateur en verrouillant l’accès à sa machine et/ou à ses documents. Le virus est le plus souvent envoyé par mail et se cache dans des documents ou liens d’apparence anodine.

 

Ce type de virus a commencé à faire parler de lui en France fin 2014, suite à une vague d’attaque de collectivités locales (mairies, communautés de communes…). C’est aujourd’hui le cas des cabinets d’expertise comptable, qui ont subi de nombreuses attaques depuis ces derniers mois. Si elle ne concernait jusqu’à présent que le responsable de l’informatique de l’entreprise, la protection contre les cyberattaques est aujourd’hui devenue un enjeu de sécurité et de productivité pour tous les acteurs de nos sociétés. Ce véritable fléau repose toutes les questions qui semblaient appartenir au passé dans la réflexion des cabinets : dépendance à l’informatique, délégation des tâches aux collaborateurs, politiques de sauvegarde et de collectes des données.

 

Les données prises en otage

L’ANSSI (agence gouvernementale en charge d’appliquer la stratégie de sécurité informatique de l’Etat français) donne cette définition du ransomware : “Technique d’attaque courante de la cybercriminalité, le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en l’échange du mot de passe de chiffrement.”

La profession comptable est une cible privilégiée pour ce type d’attaque :

»» le système informatique est essentiel à la production ;

»» les données détenues sont importantes et sensibles ;

»» il s’agit majoritairement de petites entreprises sans stratégie de sécurité informatique définie.

Le premier ransomware appelé “PC Cyborg” a été détecté en 1989. Ce virus rendait inopérant le système de la victime en modifiant le nom de l’ensemble de ses fichiers servant à faire fonctionner le système d’exploitation. Les pirates réclamaient 189 $ pour réaliser la manoeuvre inverse. Le succès de la recette est tel que les ransomwares représentent plus de 50 % des virus diffusés en France (étude Bitdenfender 2016).

Lors de l’infection, un message est adressé à la victime, lui indiquant la rançon à régler et le délai limite de l’exécution, avec la menace que la somme augmente de façon exponentielle après son expiration.

 

Le paiement de la rançon n’est pas une garantie

La rançon est habituellement réclamée en Bitcoin. Il s’agit d’une monnaie dite “virtuelle” car elle n’a pas d’existence physique. Elle a été créée à la fin des années 2000 et, même si elle était initialement utilisée majoritairement comme moyen d’échange par des réseaux criminels pour des jeux d’argents et l’achat de substances illicites et de bases de données piratées. Les pirates insèrent à leur message annonçant le cryptage des données une marche à suivre claire pour leur verser la rançon. Le délai de règlement est assez court, de quelques jours à quelques heures. Les paiements en Bitcoin sont irréversibles. Il faut donc savoir garder son sang-froid et ne pas se précipiter à lancer le règlement.

Or, il semble que certains pirates, malgré le paiement de la rançon demandée, ne délivrent jamais le code de déverrouillage des fichiers. La plupart des experts s’entendent donc sur le fait que la meilleure conduite à suivre est de ne pas régler la somme demandée.

Malgré cela, à la question “Seriez-vous prêts à payer près de 500 € pour récupérer vos données, même si les criminels pourraient ne pas vous fournir la clé de déchiffrement ou vous demander une somme supplémentaire, notamment pour développer de nouveaux virus ?”, 32 % des français sondés ont répondu par l’affirmative. (Etude Bitdefender 2016).

Si vous décidiez tout de même payer la rançon pour obtenir le code, sachez que vous n’êtes pas pour autant au bout du processus. En effet, une fois la clé obtenue, il vous faudra la saisir dans chacun des fichiers infectés : un travail de longue haleine !

 

Le facteur temps est essentiel

Lors d’une attaque de ransomware, l’ampleur des dégâts dépend énormément du facteur temps.

En effet, le virus se propage vite dans le réseau, mais pas de façon instantanée. Dans un système d’informations de quelques téraoctets comme celui de nos cabinets, le virus mettra plus d’une journée pour crypter chacun des fichiers.

Plus le problème est détecté rapidement, moins les dégâts seront conséquents.

L’enjeu est de détecter l’attaque avant qu’elle n’ait eu le temps d’infecter les fichiers de sauvegarde qui, comme tous les autres, peuvent être verrouillés par le virus.

Une fois infectés, le niveau du cryptage des fichiers est tel qu’il est inenvisageable de les déverrouiller informatiquement.

De nombreux intervenants créent des programmes de déchiffrement, mais les pirates sont toujours plus rapides pour trouver des parades.

 

Restaurer la dernière sauvegarde

Une fois l’infection déclenchée, la victime doit restaurer sa dernière sauvegarde non infectée.

Cette action enraye l’infection, avec l’inconvénient de supprimer tous les travaux réalisés depuis lors.

Facteur temps : il faut réagir le plus vite possible, avant que le lieu de stockage des fichiers de sauvegardes, s’il est en réseau, ne soit touché. Après la restauration des données, il sera nécessaire de :

»» inventorier les pièces perdues ;

»» recollecter les pièces auprès des tiers ;

»» reproduire les travaux de la période perdue.

Outre les doublons de temps passés sur la nouvelle production des travaux perdus, il faut veiller à conserver une bonne qualité, qui peut vite pâtir de :

»» la frustration de chacun de refaire plusieurs fois la même tâche ;

»» les délais qui se trouvent parfois très raccourcis par la perte de temps.

Il est donc essentiel de mener une politique de sauvegardes fréquentes et sécurisées.

Dans le cas d’un cabinet d’expertise comptable, la production informatique est capitale. Une sauvegarde quotidienne est donc nécessaire.

Il ne faut pas négliger la qualité du support des sauvegardes. Différents matériels existent, avec leurs avantages et inconvénients. Aujourd’hui adoptée par de plus en plus d’acteurs économiques, tableau Pour protéger au mieux les données sauvegardées, il faut isoler informatiquement leur lieu de stockage. Cela évite, en cas d’attaque, que les fichiers de sauvegarde ne soient eux aussi contaminés par le virus.

 

Impliquer le client

Il faut également veiller durant tout ce processus à ne pas exclure le client. Pour les partenaires qui ne sont pas impactés par l’attaque, il est possible de ne pas réaliser de communication particulière. Il peut cependant être intéressant de profiter de cette expérience pour alerter nos clients sur le danger que représente ce type de virus. L’expert-comptable étant le premier conseil de l’entrepreneur, une session de sensibilisation peut toujours être bien perçue. Si le client est impacté directement par l’attaque informatique (perte de documents, retard de production…), il semble essentiel de l’associer au processus de rétablissement de la situation.

Si l’information communiquée par le cabinet est trop partielle, il pourrait soupçonner une négligence de l’équipe, ce qui serait largement préjudiciable.

Il faut également noter que la Commission européenne agit régulièrement en faveur d’une obligation toujours plus grande de communiquer les attaques dont les acteurs de l’économie ont été victimes. Elle a adopté le 18 décembre 2015 (pour application en 2018) une directive qui impose à tous les “opérateurs fournissant des services essentiels” (“operators of essential services”) de signaler toute cyberattaque ayant un impact significatif sur leur sécurité.

Sont donc concernés les acteurs de toute taille (à ce jour) des secteurs de l’énergie, des transports, des banques, des marchés financiers, de la santé, du secteur de l’eau, de l’infrastructure numérique et les fournisseurs de services numériques (e-commerce, cloud computing, moteurs de recherche). Les experts-comptables ne sont donc pas, pour le moment, visés par cette obligation de communication, mais nous pouvons tout de même prendre acte de la volonté du législateur d’aller vers une grande transparence.

 

Antivirus et logiciels à jour, les réflexes de bases

Dans la lutte contre les ransomwares, il n’existe pas de produit miracle : nous devons nous contenter de limiter au maximum les risques en multipliant les couches de mesures de protection.

L’installation d’un antivirus est relativement ancrée dans les habitudes des internautes.

Il est bon de ne pas oublier ce bon réflexe, car les fournisseurs d’antivirus de dernière génération traquent aussi les ransomwares. Ils peuvent donc en arrêter certains. Il ne faut pas oublier également que les pirates exploitent dès que possible les failles dans les logiciels. Plus la version utilisée est ancienne, plus il y a de risque :

»» qu’elle ait été décortiquée attentivement par les hackers ;

»» qu’elle ne fasse plus l’objet d’une attention aussi prévenante de la part des développeurs des versions correctives (ils sont passés à la version suivante).

Oublier de mettre à jour ses logiciels, c’est donc prendre un plus gros risque d’être perméable aux attaques cybercriminelles. Il peut être utile de souscrire un anti-spams, qui limite l’accès à certains mails infectés.

Des nouveaux logiciels dits “bac à sable”, par analogie avec le travail des démineurs qui font exploser les engins suspects dans le sable pour en limiter les effets, entrent aujourd’hui dans les offres commerciales de nos prestataires

 

Ransomware et ingénierie sociale

Si des solutions logicielles et des procédures informatiques permettent de limiter les risques et les dégâts, l’essentiel de la politique de défense contre les ransomwares est comportementale. En effet, l’efficacité de ces virus est principalement due à la maîtrise, par les pirates, de ce qu’on appelle “l’ingénierie sociale”. Il s’agit de la pratique de manipulation qui utilise principalement les failles humaines d’un système d’information comme effet de levier pour briser ses barrières de sécurité. Ce concept a été théorisé par Kevin Mitnick en 2002 dans L’Art de la supercherie. L’ingénierie sociale est également essentielle dans la fameuse “Arnaque au président” qui fait nombre de victimes partout en France.

C’est pourquoi il faut que chacun soit prêt à faire preuve d’esprit critique lors de la réception d’un e-mail. En effet, la pièce vérolée ne sera jamais nommée “virus”, mais plutôt “facture” ou “dernière relance”. Beaucoup plus tentant.

Il pourra également vous arriver de recevoir un email d’un client (très facile de pirater une adresse mail), avec une pièce jointe, et un corps de texte indiquant “ci-joint le document demandé”, ou autre mention habituellement utilisée dans les échanges professionnels.

Les responsables de cabinets ont donc la nécessité d’informer et de former ses collaborateurs sur la question, sans quoi elle s’exposerait aux plus grands risques en matière cybercriminelle.

Voici quelques bonnes pratiques :

»» ne jamais ouvrir un courrier électronique suspect (sujet, langue, syntaxe, sans rapport avec votre activité) ou de provenance douteuse (expéditeur inconnu) et signaler ce courrier au service informatique.

»» ne jamais cliquer sur un lien web dans un courrier électronique non sollicité ou de provenance douteuse.

»» supprimer immédiatement chaque courrier électronique suspect ou de provenance douteuse.

»» ne jamais double-cliquer sur des documents en pièce attachée de courrier d’expéditeurs inconnus ou suspects, de type exe, docm, zip ou avec un nom trop long pour voir l’extension.

»» ne jamais télécharger et installer des exécutables sans avis du support informatique, .zip (logiciels, utilitaires…), notamment à partir de sites web douteux.

»» si une pièce vérolée est malheureusement ouverte, signaler immédiatement la situation au service informatique. Le temps est compté.

Il faut également alerter les équipes sur les dangers de l’utilisation personnelle des équipements informatiques du cabinet. En effet, les pirates ciblent également les usages des particuliers, en faisant appel aux mots clés habituels mais toujours aussi efficaces liés à la pornographie ou l’appât du gain…

 

Assurance cybercriminalité

A tout risque son assurance. Suite à la montée en puissance des attaques cybercriminelles à l’encontre des acteurs locaux de l’économie, les assureurs commencent à développer des offres spécialisées.

La protection idéale contre les préjudices causés par les attaques de type ransomware étant constituée de la superposition de toutes les couches de sécurité possible, il est recommandé d’envisager également la solution de l’assurance.

En cas de sinistre, une assurance cybercriminalité peut vous garantir pour couvrir, par exemple et selon les options :

»» les frais de communication de crise ;

»» les honoraires d’un prestataire spécialisé pour résoudre la faille de sécurité ;

»» les frais de remise en ligne d’un site internet endommagé ;

»» la perte de revenu engendrée par la cyberattaque ;

»» le montant de la rançon.

Il convient pour cela de se rapprocher de son assureur habituel. Le coût de la couverture dépendra :

»» de la qualité de la politique de sécurité informatique du cabinet ;

»» du niveau de préjudice à couvrir.

 

Quelle tendance pour l’avenir ?

Comme toutes les technologies de nos jours, nous pourrions espérer que les ransomwares ne sont qu’un effet de mode dans le milieu des pirates informatiques. Cependant, il semble plutôt que la tendance ne soit pas prête de s’inverser. En effet, avec la prise de conscience de la valeur des données et de l’infinité des perspectives liées à leur exploitation intelligente (Bigdata), les attaques se révèlent de plus en plus lucratives.

Il appartient à la profession comptable de se tenir à la pointe de ces notions qui promettent d’orienter significativement leur business et ceux de leurs clients dans les années à venir.

 

Sources :

Quand le ransomware devient une affaire personnelle, Etude Bitdefender, 18 février 2016

Dans la peau d’une ransomware, Zataz Magazine, Damien Bancal, 27 janvier 2015

La directive NIS : les obligations en matière de sécurité incombant aux acteurs du web, Village de la justice, Justine Bertaud du Chazaud, 2 février 2016

En cas d’incident, ANSSI http://www.ssi.gouv.fr/en-cas-dincident/

Comment protéger votre réseau contre les ransomwares ?, Lahcen Elkhdar, Enterprise Security Advisor chez Symantec, 17 août 2015