High-tech

Le fonctionnement des rançongiciels

En cryptant les données d’un serveur, les rançongiciels ou ransomwares peuvent totalement bloquer le fonctionnement d’une entreprise.

Pour rappel, les rançongiciels sont des programmes malveillants qui, une fois installés sur une machine (station, serveur…), vont emprisonner les données qui y sont stockées en les cryptant. L’utilisateur en est alors averti via un écran d’informations et est invité à verser une rançon en échange de laquelle les clés de déchiffrement lui seront, en théorie du moins, communiquées.

Ces logiciels malveillants sont redoutables, d’autant plus qu’ils utilisent des techniques de chiffrement d’un niveau si élevé qu’il est presque impossible de les décrypter. C’est pourquoi de nombreuses entreprises victimes se résignent à payer les maîtres-chanteurs. Et ces derniers s’attaquent aux multinationales, aux PME, mais aussi à des services publics. En 2022, au moins une dizaine de collectivités locales, parmi lesquelles Saint-Cloud (92) et Caen (14), en ont fait les frais.

Attention : beaucoup de rançongiciels ne vont pas se contenter de chiffrer les fichiers contenus sur le ou les disques durs de l’ordinateur infecté. Ils vont aussi s’attaquer aux données présentes sur les supports que la machine contrôle et à celles stockées par les machines auxquelles elle est reliée (clés USB, disque dur portable, données enregistrées sur un serveur en cas de connexion à un réseau…).

En 2022, sur l’ensemble des attaques de rançongiciels signalées à l’Agence nationale de la sécurité des systèmes d’information (Anssi), 40 % l’ont été par des TPE-PME-ETI, 23 % par des collectivités et 10 % par des établissements de santé.

Prévenir les attaques

Pour réduire les conséquences d’une attaque par rançongiciel, des précautions doivent être prises.

Les rançongiciels s’introduisent sur une machine en utilisant une faille technique ou en profitant d’une erreur humaine. Il convient donc de combler ces failles techniques en appliquant les mises à jour de sécurité sur les logiciels et en maintenant à jour ses antivirus.

En termes de comportement, il est conseillé de ne pas donner suite aux courriels suspects (non sollicités, envoyés par un expéditeur non clairement identifié…) ou incongrus (envoi d’une facture par un prestataire connu à la mauvaise personne, par exemple), et surtout de ne jamais ouvrir les pièces jointes qu’ils contiennent. Il convient également d’éviter les sites internet non officiels et de ne jamais laisser un ordinateur connecté à un réseau allumé inutilement.

Plus largement, l’Anssi, dans son Panorama de la cybermenace 2022, revient sur les vulnérabilités trop souvent utilisées par les pirates informatiques pour attaquer les entreprises. L’Agence rappelle notamment l’importance d’appliquer avec rigueur une politique de mises à jour afin de corriger, au plus vite, les failles techniques (via les correctifs de sécurité fournis par les éditeurs des logiciels utilisés) afin qu’elles ne puissent servir les hackers. Elle revient également, lorsque l’on recourt au cloud ou à l’externalisation de services dématérialisés, sur la nécessité d’imposer à ses prestataires, par contrat, un niveau de cybersécurité élevé.

Les indispensables sauvegardes

Enfin, l’ultime précaution à prendre pour limiter les conséquences d’une attaque par rançongiciel est de réaliser des sauvegardes régulières des données de l’entreprise (au moins une fois par jour) sur une machine ou via un service en ligne (cloud) non connecté en permanence au réseau de l’entreprise (afin qu’il ne puisse être touché par l’attaque du rançongiciel). Dès lors, même en cas d’impossibilité de déchiffrement, les pertes de données seront réduites.

Comment réagir ?

Protéger le réseau en débranchant la machine contaminée et appeler des informaticiens en renfort sont les premières actions à mener en cas d’attaque par rançongiciel.

Même en prenant toutes les précautions, le risque zéro n’existe pas. Il faut donc se préparer à réagir, si par malheur, un rançongiciel parvenait à s’introduire sur un des ordinateurs de votre entreprise. Ainsi, en cas d’attaque, vous devez :
– débrancher immédiatement la machine contaminée du réseau de l’entreprise. L’objectif est ici, dans la mesure du possible, d’éviter que le rançongiciel ne contamine le serveur mais aussi les autres ordinateurs connectés au réseau ;
– alerter le service informatique de votre entreprise ou votre prestataire technique. Ces professionnels de la sécurité informatique tenteront alors de contrer le rançongiciel afin de récupérer le plus de données possibles. Si les données de la machine touchée sont irrécupérables, ils régénéreront la dernière sauvegarde. Ensuite, ils nettoieront la machine avant de la reparamétrer et d’y recopier les données sauvegardées. Si vous n’avez pas de service informatique, une liste de prestataires spécialisés est proposée sur le site www.cybermalveillance.gouv.fr ;
– ne jamais payer la rançon ! Pourquoi ? Tout d’abord, parce que cela ne vous garantit pas du risque que le preneur d’otage tiendra sa parole et « libérera » vos données. Ensuite, car cela ne fera que l’encourager à continuer, voire à prendre à nouveau votre entreprise pour cible ;
– déposer plainte et notifier cette attaque à la CNIL si elle a entraîné une violation des données à caractère personnel des salariés ou des clients de l’entreprise.

Important : la sécurité informatique est l’affaire de tous, des salariés comme des dirigeants. Des informations sur les bonnes pratiques doivent donc être régulièrement communiquées à chacun. Sur ce point, des fiches techniques et mémo simples et pédagogiques sont proposées sur www.cybermalveillance.gouv.fr. N’hésitez pas à inviter vos équipes à les consulter.

Des décrypteurs efficaces

Les rançongiciels ne sont pas toujours bien programmés, ce qui permet aux informaticiens travaillant dans les services de police et dans les sociétés éditrices de logiciels anti-malwares de créer des décrypteurs pour s’en libérer. Grâce à ces outils mis à disposition gratuitement sur le site No More Ransom (www.nomoreransom.org), il est possible de neutraliser plus d’une centaine de ces rançongiciels. Il est donc recommandé, en cas d’attaque et après avoir identifié le rançongiciel, de vérifier sur ce site si un décrypteur efficace n’existe pas. Un guide d’utilisation est associé à chaque outil de déchiffrement proposé sur le site.

La fraude au faux fournisseur : 45 % des tentatives*

Se faire passer pour un fournisseur pour demander à « son » client un changement de coordonnées bancaires est la fraude externe la plus répandue.

Jean-Pierre travaille au service comptable d’une centrale d’achat alimentaire. Un jour, il reçoit un courriel d’un gros fournisseur, une coopérative agricole, qui lui indique un changement de coordonnées bancaires et un changement de numéro de téléphone. Le courriel est signé par son interlocuteur habituel, M. Jean, le directeur administratif de la coopérative. Jean-Pierre compose le nouveau numéro. On lui indique que M. Jean est en déplacement et on lui confirme le changement de numéro de compte. Au cours des 6 mois suivants, Jean-Pierre met en paiement trois factures pour un total de 230 000 €.

Un jour, M. Jean appelle Jean-Pierre car il n’a pas été payé. Ensemble, ils découvrent la fraude.

Comment se protéger ?

En cas de demande de changement de coordonnées bancaires d’un fournisseur, il faut, surtout si le nouveau compte est à l’étranger :
– contacter directement le fournisseur en question sans utiliser les coordonnées présentées dans le courriel ou le courrier papier ;
– mettre en place un système de double validation pour tout changement de ce type.

Comment réagir ?

Si un virement vient d’être effectué, sans attendre, il convient :
– d’alerter sa banque pour bloquer le paiement ;
– de saisir les autorité ;
– de prévenir le fournisseur.

Une variante : les escrocs ne manquent pas d’imagination ! Certains d’entre eux n’hésitent pas à contacter les entreprises en se faisant passer pour l’administration. Le motif : obtenir une copie des factures impayées de leurs clients à des fins prétendument statistiques. En réalité, grâce à ces factures, ils n’ont plus qu’à contacter les clients « en retard » en se faisant passer pour une société de recouvrement et à les faire payer.

*Baromètre Fraude 2022, Allianz Trade

La fraude au président : 41 % des tentatives*

Même si elle émane de sa hiérarchie, une demande de paiement pressante et inhabituelle doit éveiller l’attention.

Directeur financier de la filiale néerlandaise d’un groupe français de cinéma, Edwin reçoit un courriel venant de la direction générale française. Dans ce courriel, il est question de l’acquisition d’une société à Dubaï. Une opération qui doit être menée avec discrétion et rapidité au risque d’être compromise et qui nécessite que la filiale néerlandaise procède à une avance de fonds. Par prudence, Edwin en informe sa directrice. Puis, tous deux persuadés du caractère légitime de la demande, ils ordonnent plusieurs virements. La fraude ne sera détectée que quelques semaines plus tard. Au total, 19,2 M€ auront été détournés.

Comment se protéger ?

La fraude au président est un cas typique d’abus de confiance. Elle s’appuie sur la connaissance que les fraudeurs ont de l’entreprise cible, sur la mise en place d’un scénario crédible et sur leur capacité à contrôler psychologiquement la personne qui, malgré elle, va devenir leur complice. Pour limiter ce risque de fraude, il faut :
– assurer la confidentialité des organigrammes (au moins en extraire le nom et les coordonnées des responsables financiers et comptables) ;
– limiter la communication de l’entreprise autour de ses partenariats et de ses grands projets ;
– sensibiliser les salariés en leur présentant la mécanique de cette fraude ;
– rappeler aux salariés qu’ils doivent systématiquement mettre en place une procédure de validation permettant de s’assurer de l’identité du demandeur et du caractère légitime de la demande (par exemple, contacter directement le chef d’entreprise, un cadre, le cabinet d’expertise comptable, même s’ils sont en vacances) quand la demande est insolite et/ou formulée par un interlocuteur inconnu faisant preuve d’insistance (flatterie, intimidation) ;
– mettre en place un protocole de double signature ou un principe de supervision pour tout virement supérieur à 1 000 €.

Comment réagir ?

Si le virement vient d’être effectué, il n’est peut-être pas trop tard. Les banques disposent, en effet, d’une possibilité de rappel des fonds durant les premières heures qui suivent l’ordre. Sans attendre, il convient :
– d’alerter sa banque (y compris en dehors des heures d’ouverture, via son numéro d’urgence) ;
– de saisir les autorités (la police dispose de services spécialisés).

Attention : mettre la pression sur sa victime et l’isoler est la base de toute escroquerie. Aussi, pour rompre cette emprise, le réflexe doit consister, en cas de doute, même léger, à toujours en parler à un tiers.

*Baromètre Fraude 2022, Allianz Trade

Les cyber-fraudes : 41 % des tentatives*

Les courriels inhabituels invitant à télécharger des pièces jointes ou à renseigner des mots de passe doivent finir dans la corbeille.

Cadre administratif dans une société de transport de marchandises, Gilles est en télétravail. Comme tous ses collègues dans le même cas, il passe plusieurs heures par jour à participer à des visioconférences. Et d’ailleurs, il vient de recevoir un courriel aux couleurs de Zoom. L’outil de visioconférence lui indique qu’il peut, pendant 48 heures, visionner l’enregistrement de la dernière réunion de direction. Une réunion à laquelle il n’a pas pu assister. Il se connecte, via ce courriel, sur une page d’accueil où ses code et mot de passe Microsoft lui sont demandés. Il ne s’en étonne pas et les renseigne. Or il n’accédera jamais à l’enregistrement de la conférence mais apprendra, quelques jours plus tard, que le serveur de son entreprise a été victime d’une attaque de rançongiciel qui a bloqué son fonctionnement pendant une semaine.

Comment se protéger ?

Le phishing (tentative d’extorsion de mots de passe ou de coordonnées bancaires via des mails ou des interfaces web imitant ceux d’une entreprise ou d’une administration) et les rançongiciels (logiciels cryptant les données et réclamant une rançon pour les libérer) se répandent comme tous les logiciels malveillants. Dès lors, il convient :
– de mettre à jour les antivirus et systèmes d’exploitation ;
– de ne jamais ouvrir les pièces jointes des courriels douteux (inhabituels, expéditeurs inconnus, style impersonnel, texte mal traduit…) ;
– d’effectuer une sauvegarde quotidienne des données stockées sur des supports déconnectés du réseau.

Comment réagir ?

Dès qu’une machine est touchée, immédiatement, il faut :
– la déconnecter du réseau ;
– alerter les services techniques (internes ou externes à l’entreprise) ;
– porter plainte ;
– ne pas payer la rançon demandée (rançongiciel).

*Baromètre Fraude 2022, Allianz Trade