Blog GlobalSign

30 juin 2017

Comment protéger votre start-up des rançongiciels

Les cyberattaques compliquent bien la vie des internautes. Les rançongiciels — ou ransomware — représentent l’une des formes d’attaques les plus destructrices utilisées par les hackers. Du fait de leur accélération et de leur intensification, elles font malheureusement toujours plus de victimes chaque jour. Ainsi, WannaCry, le rançongiciel à la une des médias ces dernières semaines, aurait infecté plus de 200 000 ordinateurs à travers plus de 74 pays.

Les petites entreprises et start-ups sont particulièrement vulnérables à ce type de cyberattaque. Rien que l’an dernier, 43 % des attaques commises ont ciblé de petites entreprises — un nombre en constante augmentation. Or, lorsque les budgets sont réduits et que les ressources viennent à manquer, toute velléité de récupérer vos données, de retrouver l’assaillant ou même de payer la rançon se retrouve presque systématiquement balayée.

Pour empêcher que ces attaques ne mettent en péril votre activité au quotidien, vous devez mettre au point une stratégie de prévention contre les rançongiciels.

Qu’est-ce qu’un rançongiciel ?

Un rançongiciel est un type de malware qui accède au système d’exploitation d’un appareil et chiffre les données pour empêcher l’utilisateur d’y accéder. Pour débloquer l’accès à ses données, l’utilisateur doit payer le montant de la rançon exigé par le pirate.

Tant que la rançon n’est pas versée, le hacker refuse de déchiffrer ou de restituer les fichiers à votre entreprise. Mais qui vous dit qu’une fois la rançon payée, vos données vous seront renvoyées ou que le pirate n’aura pas conservé une copie pour lui ? Impossible d’être certain...

Types de rançongiciels susceptibles d’attaquer votre start-up

Pour éviter d’être victime d’un ransomware, vous devez connaître les différentes formes d’attaques et leur intensité. Certains signes peuvent vous mettre la puce à l’oreille sur le type de rançongiciel qui piège vos données système.

Scareware

Contrairement à ce que son nom anglais indique (scare = faire peur), ce type de ransomware n’est pas aussi effrayant qu’il y paraît. C’est aussi le moins nocif. En cas d’attaque par un scareware, la machine infectée affiche un message d’alerte indiquant la présence de nombreux problèmes dans le système. Ces alertes s’appuient sur de faux antivirus ou des outils de nettoyage fallacieux pour exiger de l’argent en échange de la résolution des problèmes indiqués.

Dans ce genre d’attaque par ransomware, votre système continue de fonctionner et vos données sont généralement à l’abri. Mais, si vous laissez traîner le problème, les fenêtres d’alerte risquent de se multiplier, annonçant la « découverte » de nouveaux problèmes dans votre système.

Rançongiciel avec verrouillage d’écran

Si en démarrant votre machine, une fenêtre « se gèle », c’est qu’un rançongiciel avec verrouillage d’écran est peut-être installé sur votre machine. Ce ransomware affiche parfois le logo du FBI ou du ministère américain de la Justice sur un plein écran verrouillé, arguant du fait que vous avez participé à un acte illégal — d’où la sanction financière exigée.

Rançongiciel chiffrant ou cryptovirus

Le rançongiciel chiffrant est au final le plus connu et le plus difficile à mettre hors d’état de nuire ; c’est le type de ransomware utilisé par WannaCry, l’attaque de grande ampleur précédemment citée. Comme son nom l’indique, le rançongiciel chiffrant chiffre les fichiers de la machine piégée, et exige de l’argent pour les déchiffrer. C’est l’un des ransomwares considérés les plus nocifs car, une fois pris dans les mailles de son filet, les chances de récupérer ou d’accéder à vos données sans avoir à payer sont extrêmement faibles.

Comment éviter les rançongiciels ?

Curieux de savoir comment protéger au mieux votre machine d’une attaque par ransomware ? Suivez les mesures de précaution présentées dans cet article. Toutes ces méthodes vous aideront à prévenir une invasion de rançongiciels, sans débourser un centime.

Sauvegardez vos données

L’essentiel est de créer un support de sauvegarde pour tous vos fichiers de données sensibles et importants. Vous pouvez utiliser le stockage en mode cloud (de nombreux services sont gratuits en dessous d’un seuil de données à stocker) pour conserver un enregistrement et une copie de vos précieuses données. Vous pouvez également utiliser des disques amovibles pour gérer vos sauvegardes de données.

Cela n’empêchera pas votre hacker d’accéder à vos systèmes, mais vous pourrez toujours accéder à vos fichiers et supprimer le ransomware pour récupérer vos données d’entreprise les plus précieuses.

Musclez votre antispam et la sécurité de votre messagerie

Pour son attaque par rançongiciel, le hacker diffuse son malware à l’aide de botnets et inonde votre messagerie. Il crée un lien qui télécharge instantanément le malware à partir d’un e-mail et n’a plus qu’à attendre que vous tombiez dans le piège. Les dernières évolutions des logiciels de messagerie vous permettent de régler et de modifier vos filtres antispam. Pensez à modifier les paramètres de votre filtre antispam pour empêcher que les e-mails infectés n’arrivent jusque dans votre boîte de réception.

Apprenez surtout à vos collaborateurs à identifier les e-mails de hameçonnage (ou phishing). Cette mesure simple, mais essentielle, peut être utile pour maintenir votre réseau à l’abri des ransomwares. Les hackers utilisent souvent ces e-mails piratés pour piéger les utilisateurs en les incitant à télécharger de dangereuses pièces jointes. Les tests de simulation de phishing permettent d’initier vos collaborateurs aux principales tactiques ; une méthode éprouvée pour leur éviter de faire partie des victimes.

Installez un pare-feu et un antivirus

La plupart des ransomwares ont besoin d’une connexion à vos serveurs de commande et de contrôle pour récupérer les clés nécessaires pendant le processus de chiffrement. Pour empêcher que les données ne soient chiffrées par le virus, il suffit d’un pare-feu comme Windows Firewall ou d’autres applications de pare-feu qui peuvent facilement reconnaître ce type de trafic et le bloquer. Ainsi, l’attaque est tuée dans l’œuf.

Bloquez les extensions de fichiers à risque

Les extensions comme .pif, .cmd, .bat, .scr, .vbs, .rtf, .docm. rar. .zip, .js, .exe sont des pièces jointes dangereuses qui peuvent contenir des chevaux de Troie de rançon. Il est recommandé de configurer votre messagerie pour bloquer les messages entrants présentant un contenu potentiellement dangereux.

Bloquez toute pièce jointe qui exige l’activation de macros dans les documents Office ou l’exécution de scripts.

Évitez d’utiliser les services distants

Parfois, les assaillants derrière les ransomwares utilisent des applications de support à distance pour infecter une machine. Ce fut notamment le cas d’une attaque par ransomware lancée par surprise en mars 2016 via l’application de support à distance TeamViewer. Pour empêcher ce type d’attaque, il est recommandé de mettre en place une authentification à deux facteurs en cas de connexion à un service distant.

Renommez le fichier « vssadmin.ext »

Un pirate peut utiliser le fichier vssadmin.exe et accéder à la commande Delete Shadows/All/Quiet pour supprimer les copies fantômes de vos volumes de fichiers. En procédant ainsi, il vous empêche d’accéder aux dernières versions restaurées de vos fichiers.

Conseil : renommez le fichier vssadmin.exe pour empêcher le hacker derrière le ransomware de trouver le fichier et de le supprimer.

En dernier ressort : trouvez un décrypteur

Si vous êtes toujours sous le coup d’une demande de rançon, vous avez de la chance si « votre » rançongiciel a déjà été percé à jour par un expert en sécurité. Il existe de nombreux outils gratuits pour déchiffrer les fichiers pris en otage par les rançongiciels. N’hésitez pas à les parcourir pour trouver celui qui correspond à « votre » ransomware et qui vous permettra de récupérer vos données.

Conclusion

Dans le contexte actuel de cybermenace, les rançongiciels peuvent causer de lourds dégâts dans l’entreprise, voire paralyser complètement votre activité. N’attendez pas d’être victime de ce genre d’attaque en croisant les doigts qu’un outil de déchiffrement des données bloquées soit publié. Et comme il vaut mieux vaut prévenir que guérir, apportez quelques modifications à votre système d’information.

Si vous n’êtes pas un pro en informatique, faites appel à un consultant IT pour mettre à jour et paramétrer votre réseau — intervention qui ne devrait pas lui prendre plus d’une journée. Ne vous arrêtez pas en si bon chemin : rappelez votre consultant tous les 3 à 6 mois pour effectuer les mises à jour et configurations au gré des nouvelles bonnes pratiques. Le secteur informatique évolue en permanence et si vous n’êtes pas protégé contre les dernières vulnérabilités, votre entreprise se retrouvera exposée au vol de données et aux attaques par rançongiciel.

À propos de l’auteur

Peter Buttler est un professionnel de la sécurité et conférencier. Titulaire d’un master en technologies de cybersécurité, Peter est aujourd’hui un expert actif dans le domaine de la protection de la vie numérique, de la cybersécurité et des technologies. Il interviewe des virtuoses de la sécurité pour présenter l’avis d’experts sur les thématiques de sécurité du moment. Ces dernières années, Peter a aussi été rédacteur digital et journaliste pour plusieurs structures dédiées à la sécurité. Dans ses articles, Peter met l’accent sur les tendances dans la sécurité et l’actualité des technologies qui concernent directement le respect de la vie privée. Suivez Peter sur Twitter @peter_buttlr.

Partager ce blog