Les rançongiciels font la Une de l’actualité de plus en plus régulièrement. L’attaque de l’hôpital de Dax est l’occasion de faire un point sur le cyber-ennemi n°1 en France et dans le monde.

La cybersécurité est au cœur des préoccupations des entreprises, des DSI et des RSSI… Mais les échecs spectaculaires ne cessent de se multiplier et de faire la Une de l’actualité dépassant très largement le cadre de l’IT et de ses problématiques.

Cyber-ennemi public n°1

Déjà en janvier 2020, l’ANSSI expliquait que les ransomwares « représentent actuellement la menace informatique la plus sérieuse pour les organisations ». En théorie, les DSI et les RSSI en ont largement conscience aujourd’hui. Une récente étude Proofpoint montre que près d’un responsable sur deux (46%) affirme considérer les ransomwares comme la plus grande menace de cybersécurité pesant sur leur entreprise. D’un autre côté, « 46% » reste un pourcentage probablement trop faible.

Un rançongiciel ou ransomware est un code malveillant (un malware) empêchant la victime d’accéder au contenu de ses fichiers avec comme objectif de lui extorquer de l’argent.
Cette menace n’est pas nouvelle. Historiquement, il y a plus de 10 ans, les attaquants utilisaient des astuces pour bloquer le système d’exploitation dès son démarrage et exiger une rançon, un paiement, avant de redonner l’accès à la machine. Aujourd’hui, la très grande majorité des rançongiciels ont la capacité de chiffrer des fichiers stockés aussi bien sur sa machine que sur le réseau de la victime. Les menaces sont de plus en plus ciblées et sophistiquées : elles veillent à désactiver les protections en place, à commencer par effacer les sauvegardes en ligne, à chiffrer d’abord les stockages cloud.

Des attaques en forte croissance contre tous les secteurs

L’ANSSI et son équivalent allemand BSI ont constaté une multiplication par 4 des cyberattaques en 2020. « Le ciblage du système de santé dans son ensemble et des chaînes d’approvisionnement représente aujourd’hui une menace majeure » rappellent-ils dans leur dernier rapport commun.

Cette semaine, on a appris que l’hôpital de Dax avait été victime d’un ransomware : « Cette attaque a mis hors service la totalité de notre système d’information par cryptage des données. Les données sont cryptées et donc ne sont plus accessibles » explique la directrice adjointe de l’établissement de santé. Le standard téléphonique et certains équipements médicaux sont paralysés parce qu’ils n’ont plus accès au réseau.

En pleine période Covid-19, l’attaque de l’hôpital de Dax met l’opinion publique en émoi. Mais le cas n’a vraiment et malheureusement rien de nouveau.

Peu avant, la Mutuelle Nationale des Hospitaliers avait, elle aussi, été victime d’un ransomware paralysant plusieurs de ses opérations. La menace est apparue le 5 février. Une semaine plus tard, la situation n’est toujours pas revenue à la normale. Pas étonnant, lors de la dernière conférence du Clusif. Jérôme Poggi, RSSI de la ville de Marseille, victime d’un ransomware en mars 2020, expliquait que « en cas d’attaque de ce type, on ne revient jamais totalement à la normale, malgré les sauvegardes… il faut bien trois mois pour revenir à un état vraiment opérationnel ».

En 2019, le groupement hospitalier Ramsay avait été victime d’un ransomware. En mars 2020, le CHU de Rouen avait aussi été victime d’un ransomware. En septembre, l’hôpital universitaire de Dusseldorf a aussi été attaqué tout comme le géant hospitalier UHS (Universal Health Services) aux USA. D’ailleurs, selon des études récentes (notamment de Tenable), près de la moitié des attaques cyber sur le secteur de la santé sont des attaques de type Ransomware !

Les établissements de santé ne sont pas les seuls visés. Les entreprises (y compris les experts en cyber comme Sopra Steria) sont victimes de ces attaques. Sans compter les mairies et collectivités. Cinq ont déjà été très impactées par des ransomwares depuis le début de l’année 2021 (et une bonne douzaine l’ont été en 2020).

N’y a-t-il donc aucune défense ?

Les protections commercialisées par les très nombreux acteurs de la cybersécurité sont-elles inefficaces ? La question mérite d’être posée mais la réponse est loin d’être simple. Et ceci pour plusieurs raisons…

D’abord, sur le papier, pour chiffrer les données des utilisateurs ces malwares n’ont pas besoin de droits administrateurs et exécutent l’essentiel de leurs méfaits avec les droits d’accès normal de l’utilisateur connecté. Elles sont donc à la fois très dangereuses, plus difficiles à repérer et plus complexes à contrer en temps réel.

Ensuite, ces attaques se sont professionnalisées et complexifiées. Elles sont de plus en plus ciblées et « personnalisées » pour l’entreprise visée.
Une tendance connue sous le nom de « Big Game Hunting » : les attaques comprennent de multiples étapes commençant souvent par un courriel très ciblé qui distribue une première charge qui va ensuite permettre aux attaquants de se propager au sein du réseau en augmentant leurs droits d’accès et en préparant le terrain puis de déployer ensuite la charge finale, le ransomware à proprement parler, à l’endroit le plus adéquat. Le rançongiciel est souvent unique et spécifiquement modifié pour l’entreprise.

Par ailleurs, les ransomwares sont en développement depuis plusieurs années et savent exploiter la moindre faille non patchées (sur les VPN, sur RDP, sur les logiciels des entreprises, sur les protections, etc.). Dernier exemple en date, RansomExx est capable d’utiliser une vulnérabilité de VMware ESXi (le moteur au cœur de la virtualisation VMware vSphere) pour directement chiffrer l’intégralité des disques virtuels ! La menace est critique mais complexe à détecter/contrer car au cœur de la plateforme d’infrastructure. Et les administrateurs ont toujours peur de patcher une couche aussi fondamentale. Il le faut pourtant!

Enfin, le dernier rapport de l’ANSSI montre également que dans la plupart des cas, les protections en place dans les entreprises ont effectivement remonté des alertes et exposé des signes d’attaque en cours. Mais ces alertes n’ont pas été analysées et gérées à temps pour empêcher le massacre. La cybersécurité n’est pas qu’une question d’outillage, c’est d’abord une question de culture et d’organisation.

Des solutions méconnues ou mal maîtrisées

L’ANSSI a publié en août 2020 un guide des bonnes pratiques pour réduire les risques d’attaque par ransomware d’une part et sur comment réagir en cas d’attaque par rançongiciel d’autre part. Sa lecture devrait être imposée à tout directeur d’entreprise, DSI, et administrateurs (on suppose que bien évidemment les RSSI le connaissent déjà).
On y retrouve les fameux principes d’hygiène qui sont toujours aussi peu respectés et appliqués : mises à jour des logiciels, systèmes et firmwares, des antivirus à jour et surveillés, le cloisonnement du système d’information, la supervision des journaux, etc…

Mais le document place en mesure n°1 la sauvegarde ! Pas la sauvegarde moderne en ligne que l’on connaît aujourd’hui, mais la bonne vieille sauvegarde à l’ancienne sur un média déconnecté (bande ou disque externe). Elle reste la seule vraie parade universelle à ces menaces. Rappelons au passage que toute sauvegarde devrait normalement répondre à la règle du « 3/2/1 » : 3 copies, sur deux supports différents et une hors site/hors réseau.

Bien sûr d’autres solutions sont envisageables. Par exemple, les baies Pure Storage disposent d’une protection spéciale contre les ransomwares qui crée des « snapshots inaccessibles SafeMode » : ces sauvegardes par snapshot spéciaux ne peuvent être accédées par les outils classiques et les API de la plateforme et nécessitent des manipulations spéciales par 5 cinq administrateurs différents pour en récupérer l’accès. Le problème, c’est que ce mécanisme n’est pas actif par défaut, nécessite une opération manuelle particulière et n’est pas connu de nombre d’administrateurs.

Autre exemple, Nutanix recommande d’utiliser le module Nutanix Objects et son mode WORM (immutabilité des données) comme cible sécurisée des sauvegardes. Un usage atypique mais pertinent de son service de stockage objet au cœur de sa plateforme d’hyperconvergence.

Ce ne sont que deux exemples pris au hasard. La plupart des acteurs du stockage et de la sauvegarde ont des astuces et des fonctionnalités spécialement pensées pour lutter contre les ransomwares. Encore faut-il que les entreprises les connaissent et prennent le temps de les mettre en œuvre !

Un dark business très juteux : peut-on ne pas payer ?

Qu’on se le dise, la situation ne va pas s’arranger. Parce que le ransomware est un business florissant. Du peu que l’on en sache, les rançongiciels ont rapporté au minimum 350 millions de dollars en 2020 aux cybercriminels selon le rapport Chainanalysis (le chiffre réel est probablement très supérieur) dont les experts ont notamment tracé les paiements Bitcoin et autres cybermonnaies.

C’est une manne financière parce que bien des entreprises payent pour recouvrer l’accès à leurs données. Selon le dernier rapport Proofpoint, 34% des entreprises rançonnées dans le monde préfèrent payer. Il est vrai que, très souvent, il est possible de négocier les montants directement avec les cybercriminels et que la rançon coûte moins cher que les opérations nécessaires à la reprise d’activité.

On comprend la tentation, mais elle dessert la communauté puisqu’elle fait de cette cybermenace un business très rentable pour les cybercriminels. En outre, payer n’apporte aucune garantie. Si seulement 2% des entreprises attaquées en 2020 avec succès n’ont jamais récupéré les données après paiement, 38% des entreprises ont dû soit affronter une nouvelle attaque soit une demande de nouveaux paiements après le premier paiement !

Rappelons également que l’ANSSI recommande « de ne jamais payer la rançon. Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. De plus, le paiement de la rançon n’empêchera pas votre entité d’être à nouveau la cible de cybercriminels. Par ailleurs, l’expérience montre que l’obtention de la clé de déchiffrement ne permet pas toujours de reconstituer l’intégralité des fichiers chiffrés. En particulier, les fichiers modifiés par une application et chiffrés dans le même temps par le rançongiciel ont de fortes chances d’être corrompus (exemple : un fichier de base de données) ».

Reste que la situation n’est pas simple, même pour les entreprises qui ont des sauvegardes et peuvent redémarrer assez facilement. Ainsi, l’ANSSI note, dans son dernier rapport, une croissance du principe de « double extorsion » : « Existant depuis novembre 2019, cette tendance consiste à faire pression sur la victime en exfiltrant ses données et en la menaçant de les publier sur un site Internet, généralement en .onion, afin qu’elle paye la rançon. Il est ainsi de plus en plus fréquent qu’un chiffrement soit précédé d’une exfiltration de donnée ».
Ainsi, cette semaine, l’éditeur de jeu CD Projekt (Cyberpunk 2077) a été victime d’un ransomware élaboré : non seulement les codes sources de ses jeux ont été chiffrés sur ses infrastructures mais ils ont aussi été dérobés avec la menace de les voir être divulgués sur les réseaux pirates. Officiellement, l’éditeur a choisi de ne pas payer de rançon.

Tout ceci démontre finalement pourquoi la menace cyber n°1 du moment va le rester encore longtemps et pourquoi s’en prémunir n’est pas simple… mais absolument nécessaire.