Techso FR

Bonnes pratiques contre la crypto-extorsion

General, IT, Security

Protection contre la cryto-extorsion

Si 2021 nous amène une nouvelle vague, ce n’est pas celle d’un virus biologique mais bien celle d’un virus numérique! Cette nouvelle vague, c’est celle des rançongiciels (cryptolockers).

Il ne se passe plus une semaine sans qu’une grande société ou qu’un gouvernement ne soit touché. Par exemple, en mai 2021, la société Colonial Pipeline a dû débourser environ 5M$ pour décrypter leurs fichiers, mais on parle peu des autres attaques, trop nombreuses, dont par exemple, le DC Métropolitain Police Department, l’opérateur ferroviaire Merseyrail UK, le Whistler Resort Municipality et même les appareils QNAP (rançongiciel Qlocker). En fait, selon le gouvernement américain (https://www.justice.gov/criminal-ccips/file/872771/download), il y aurait environ 4,000 attaques par jour.

À la base, le fonctionnement des rançongiciels est relativement simple: d’une manière ou d’une autre, un logiciel malveillant est lancé sur un poste de travail. Celui-ci crypte ensuite les fichiers sur le disque ainsi que sur les dossiers réseau partagés. À noter que certains rançongiciels ne cryptent pas, mais vous afficheront des fenêtres afin de vous effrayer et de vous forcer à payer.

Pour arriver à s’exécuter sur votre poste, plusieurs techniques sont utilisées: envoi de courriels d’hameçonnage contenant des attachements infectés, l’exploitation de failles “jour zéro” sur un serveur, ou exploitation de votre fureteur web en vous dirigeant vers des sites web malicieux contenant du code d’exploitation.

Une fois cryptés, les cybercriminels vous enverront une clé de décryptage uniquement lorsqu’ils seront payés, normalement en monnaie numérique tel que les Bitcoins.

Protection

Compte tenu de ce fléau, comment se protéger adéquatement? Voici quelques pistes de solutions qui entrent dans les bonnes pratiques. Évidemment, le risque zéro n’existe pas, mais la mise en place de ces éléments vous permettra de réduire les risques et d’accélérer la remise en place des ressources.

1. Éduquez votre personnel

Une grande partie de votre risque sera éliminé si vous formez adéquatement votre personnel sur les rançongiciels, l’hameçonnage, et autres bonnes pratiques en cybersécurité. Formez-les à identifier les signes d’un hameçonnage et à contacter votre département de sécurité TI en cas de doute.

2. Protégez vos équipements et votre réseau

Assurez-vous que la sécurité adéquate soit mise sur votre réseau (pare-feu) et sur les postes de travail (anti-virus). Privilégiez les anti-virus qui identifient des comportements inhabituels (souvent dotés d’intelligence artificielle). Vérifiez également que vos ordinateurs possèdent des politiques renforcées afin de limiter les privilèges des utilisateurs. Souvenez-vous: ne donnez que les privilèges requis, c’est-à-dire chaque utilisateur ne devrait avoir que les droits minimaux pour effectuer leur travail.

De plus, une segmentation appropriée de votre réseau en réseaux virtuels (VLANs), en y attribuant des privilèges de communication bien définis, peut réduire les risques de propagation de dommages.

3. Activez l’authentification multi-facteur

Un mot de passe, aussi complexe soit-il, n’est d’aucune utilité s’il est connu par d’autres. Il y a évidemment de bonnes pratiques à mettre en place (telles que la complexité, la longueur et la rotation des mots de passe), mais la mise en place d’un facteur additionnel (généré par un jeton physique par exemple) augmente considérablement la sécurité d’un compte utilisateur. Songez à l’activer pour tous les utilisateurs, particulièrement les comptes à hauts privilèges!

4. Tenez vos logiciels et vos équipements à jour

Maintenez à jour les “patches” sur vos équipement (ordinateurs, appareils mobiles, équipements, pare-feu, etc.). N’attendez pas plus que 14 jours avant de mettre à jour vos équipements avec les correctifs fournis par les équipementiers (attendre quelques jours après leur sortie peut être une bonne manière d’éviter l’installation de correctifs logiciels défectueux).

5. Sauvegardez vos données

Sauvegardez vos données afin de pouvoir rebâtir votre environnement à partir de zéro, ou bien afin de pouvoir restaurer qu’un sous-ensemble des données. Assurez-vous que les sauvegardes soient inaccessibles du réseau (et une sauvegarde hors-site est l’idéale). 

Ensuite, testez régulièrement votre plan de relève après désastre afin de vous assurer que vous serez en mesure de rebâtir vos données en cas de perte. Simulez la perte d’un serveur, d’une base de données ou d’un édifice au complet, et essayez de le restaurer. Ces restaurations doivent être pratiquées pour vous assurer de leur fonctionnement lors d’un vrai désastre.

6. Réduisez votre dépendance aux données de fichiers “classiques”

Si nous pouvons tirer une conclusion jusqu’à présent des rançongiciels, c’est qu’ils sont passablement inefficaces à crypter les données sur les applications Web: ils se spécialisent à crypter les fichiers binaires “classiques”, tels que les documents Word, Excel et PDF.

C’est peut-être une excellente raison de débuter votre migration vers des applications Web, tels que pour la gestion de vos projets, la gestion documentaire ou pour gérer votre inventaire.

La suite

Et maintenant, que devez-vous faire? 

Ça débute par une analyse de votre infrastructure, de vos entrepôts documentaires, des applications utilisées et des rôles et responsabilités de vos employés. En ayant un portait adéquat de votre situation, Techso est en mesure de vous guider vers les meilleures pratiques en cybersécurité afin de réduire votre risque face aux rançongiciels.

Photo par Jeremy Bishop sur Unsplash