Ransomware : l’une des plus grandes menaces du Web

Depuis vendredi, des centaines de milliers d’ordinateurs sous Windows dans 250 pays ont été infectés par WannaCry aussi appelé WannaCrypt our WCry, un ransomware, logiciel de rançon ou racket en français, qui encrypte des fichiers sur un PC ou même sur un réseau. Selon Europol, c’est la plus grosse attaque de ransomware à ce jour.

 

  • Un peu d’histoire

Le premier ransomware est apparu en 1989 et s’appelait AIDS ou PC Cyborg Trojan. Le virus était envoyé à ses victimes par le biais d’une disquette. Il comptait le nombre de redémarrage du PC et arrivé à 90, il encryptait la machine et demandait à l’utilisateur de renouveler sa licence avec PC Cyborg Corporation. Les premiers ransomware était assez simple et se contentait de changer les noms des fichiers. Il était relativement facile de résoudre les problèmes causés. Depuis, le ransomware a évolué pour devenir une nouvelle forme de criminalité utilisant des techniques de cryptographie avancée pour bloquer un ordinateur infecté.

 

  • Comment se propage un ransomware ?

Le ransomware exploite une faille connue du système d’exploitation (en l’occurrence pour WannaCry Windows) pour pénétrer les systèmes et se propager sur les réseaux des organisations. Il infecte un PC via une pièce jointe provenant d’un email souvent envoyé par un expéditeur inconnu. Dès que l’utilisateur ouvre la pièce jointe, l’ordinateur est infecté et le ransomware peut se propager sur le réseau et chercher de nouvelles victimes. Quand le système est infecté, le malware encrypte toutes les données sur le disque dur, mais aussi sur les devices externes comme les clés USB, les stockages externes ou encore les stockages réseau. L’utilisateur est éjecté de sa session et un message de rançon est affiché. La rançon de 300$ doit être payée pour que le système soit décrypté et la somme augmente sans cesse tant que l’utilisateur ne paie pas. Si les utilisateurs ne paient pas endéans une semaine, les hackers menacent d’effacer tous les fichiers.

 

  • Que faire une fois infecté ?

Il ne faut surtout pas payer ! Les chances d’obtenir le décryptage de vos données sont minces. Il vaut mieux attendre qu’une clé de décryptage soit publiée par des experts en sécurité ou restaurer votre système à partir d’une sauvegarde. Si vous travaillez dans une entreprise, le mieux est de débrancher l’ordinateur infecté du réseau. Les entreprises peuvent faire appel à des professionnels de la sécurité pour les aider.

 

  • Arrêtez de désactiver les mises à jour automatiques

L’attaque impacte uniquement les anciens systèmes d’exploitation, qui ne sont plus supportés par Microsoft (Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86 et Windows 8 x64). Microsoft a sorti un patch urgent pour pouvoir mettre à jour ces systèmes d’exploitation. Pour les systèmes d’exploitation actuellement supportés (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10, Windows Server 2012 R2 et Windows Server 2016), un patch de sécurité était déjà sorti en Mars 2017. Cependant, si les mises à jour automatiques ne sont pas activées, votre PC risque de ne pas être protégé. Le mieux est d’activer à nouveau les mises à jour automatiques. Si une machine ne peut être mise à jour, il est conseillé de l’isoler ou de l’éteindre jusqu’à ce qu’elle puisse être mise à jour.
Prévoir une sauvegarde régulière des données sur un disque dur externe, avoir un antivirus à jour et se montrer vigilant à la réception d’emails sont quelques points à ne pas perdre de vue pour éviter les mauvaises surprises.

 

  • Mieux vaut prévenir que guérir

Ces conseils peuvent bien entendu être appliqués au monde de l’entreprise. La meilleure défense étant de rester vigilant. Conscientiser les utilisateurs par rapport à ces attaques malicieuses est indispensable afin d’éviter que les utilisateurs ne cliquent sur les liens ou pièces jointes contenant les malwares. Il reste indispensable pour les entreprises d’implémenter une politique de sécurité qui tienne la route à différents niveaux pour faire face à ses nouveaux dangers. Il ne suffit pas de mettre à jour les systèmes d’exploitation ou de déployer des antivirus, mais de définir une architecture adaptée avec les protections adéquates incluant firewall et backup si besoin avec l’aide de spécialiste. A l’heure actuelle, l’avenir d’une entreprise peut dépendre des mesures de protection mise en place pour faire face à ce genre d’attaques.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *