Les données sont le nerf de la guerre pour les entreprises. Les pirates informatiques l’ont bien compris et utilisent de plus en plus le CryptoLocker – qui est désormais, selon un rapport d’Europol, le malware le plus répandu.

Un CryptoLocker est un malware qui attaque les fichiers, les renomme et les chiffre avec pour finalité de les rendre inaccessibles – et cela peut concerner un data center entier si rien n’est fait assez rapidement. Il créée aussi un fichier avec des instructions à suivre pour contacter le pirate et payer une rançon.

Il est tentant de penser que seulement « les autres » seront atteints par un CryptoLocker. Prenons donc un exemple simple pour illustrer l’ampleur du phénomène : les pirates ont industrialisé leur processus de diffusion des CryptoLockers, au point qu’il leur a fallu mettre en place des centres d’appels pour que les « clients » puissent payer et se faire expliquer comment récupérer les données !

Vu l’ampleur du phénomène, toute entreprise se doit d’avoir une stratégie rôdée pour faire face à ce risque. Trois étapes sont cruciales dans la lutte contre les cryptowares : la prévention, l’alerting et le nettoyage.

– La prévention : l’antivirus est utile mais insuffisant pour protéger l’entreprise au vu du risque pour ses activités. Il est plus efficace de prévenir les dommages causés par un cryptoware en gérant les droits d’accès par utilisateur. En effet, le CryptoLocker scanne tous les répertoires auxquels l’utilisateur du poste infecté a accès – ainsi, en limitant les droits d’accès des collaborateurs, on limite les dégâts potentiels du CryptoLocker. Par exemple, lorsqu’un collaborateur change de poste ou de département, il faut supprimer les accès aux répertoires auxquels il avait accès mais dont il n’a plus besoin.

Un autre moyen de prévention est la micro-segmentation : la sécurisation du trafic Est Ouest (entre serveurs) en plus du trafic Nord Sud (client vers le serveur) permet d’isoler efficacement un serveur infecté.

– L’alerting : si malgré tout, un collaborateur est infecté et le virus se répand, il existe des logiciels qui scannent en temps réel l’activité des systèmes de l’entreprise, et qui pourront détecter le CryptoLocker assez rapidement pour contenir les dégâts. Ces solutions sont capables de détecter les comportements anormaux – comme le fait de renommer 100 fichiers en quelques secondes. Le logiciel coupe automatiquement l’accès à l’utilisateur infecté et prévient les personnes responsables. L’automatisation de ces tâches permet de protéger les serveurs même en l’absence du service informatique.

– Le nettoyage : une fois le CrypoLocker mis hors d’état de nuire, il convient de procéder à la restauration des données. La première étape est d’établir une liste de priorités afin de récupérer les données les plus critiques d’abord, et les moins importantes ensuite. Avoir un inventaire clair des dossiers infectés accélère ce processus, et des logiciels permettent de l’automatiser.

Un mécanisme de CDP (Continuous Data Protection) permet de minimiser le RPO (recovery point objective) en cas de corruption ou perte de données. Une sauvegarde est généralement effectuée de façon quotidienne. Mais cela veut aussi dire qu’en cas d’attaque, l’entreprise peut perdre jusqu’à 24h de données. Le CDP va jusqu’à historiser chaque IO. En cas d’attaque, on peut revenir à l’état dans lequel les serveurs étaient quelques secondes avant l’attaque du CryptoLocker et avoir ainsi une très faible perte de données.

Mais il est aussi possible que le CryptoLocker ait infecté un serveur de sauvegarde, le corrompant ou en empêchant l’accès. C’est l’inconvénient des systèmes de sauvegarde sur disque (par ailleurs très pratiques). Il faut alors utiliser un protocole de sauvegarde invisible pour les CryptoLockers, comme ceux utilisés sur les Appliances dédiées à la sauvegarde. Ainsi, même si le serveur de sauvegarde est infecté, les données sur la baie de sauvegarde seront utilisables.

Si la protection contre les CryptoLockers se fait en trois étapes, c’est que la diversité et l’évolutivité des malwares sont telles qu’une seule ligne de défense n’est pas toujours suffisante. Une entreprise doit donc investir dans des solutions de prévention, d’alerting et de nettoyage afin de réduire à chaque fois, à la manière de tamis de plus en plus fins, le risque et l’étendue potentielle des dégâts causés par un logiciel malveillant.

__________
Thomas Lecomte est Consultant MTI France