Je vous propose dans cet article de vous présenter les principales attaques actuelles qui menacent votre système d’information et de voir ensemble quelques bonnes pratiques pour diminuer ce risque.
Les menaces peuvent se regrouper autours de 4 grandes catégories :
1)Le Ransonware (ou rançongiciels)
Un ransonware est un programme malveillant conçu pour pirater des ordinateurs et tenter de forcer les victimes à payer une rançon en bitcoins pour que les fichiers soient décryptés ou de nouveau accessibles.
Plus précisément, il existe deux types de ransonwares :
- Le Ransonware « Locker » : L’accès à l’ordinateur est bloqué (il n’est pas possible de s’identifier au niveau de la session) mais les fichiers ne sont pas cryptés,
- Le Ransonware « Crypto » : Les fichiers sont chiffrés (c’est-à-dire cryptés par chiffrement) et ne sont plus consultables. Souvent, un compte à rebours est affiché indiquant le délai de paiement de la rançon ce qui accroit le sentiment de panique chez l’utilisateur.
Les ransonwares actuels présentent également des capacités avancées leur permettant de :
- S’exécuter avec des privilèges de compte administrateur,
- D’utiliser des certificats d’authentification signés par une autorité de certification,
- De contourner des solutions antivirales.
L’attaque par ransonware est de plus en plus fréquente et le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (cert.fr) a d’ailleurs publié un bulletin d’alerte de sécurité concernant les Ransonwares (bulletin accessible ici). Le business du Ransonware est en extension du fait du développement du phénomène de Ransonware as a service (RaaS). Il s’agit d’une plateforme qui propose un abonnement pour utiliser un RansonWare (exemples : GandCrab, SamSam, …). Les pirates proposent des virus / rançonwares sur internet comme un service permettant à n’importe qui (ayant des compétences ou non en informatique) de diffuser des ransonwares et de les utiliser pour atteindre des objectifs malveillants.
Focus sur un Ransonware bien connu : Wannacry !
Wannacry est un ransonware ayant infecté plus de 300 000 ordinateurs en mai 2017 et touchant majoritairement des postes de travail équipés de Windows XP et de Windows dont la version est antérieure à Windows 10 (absence du patch correctif 14 mars 2017 MS17-010). Wannacry se transmet via le réseau local ou via l’envoi de pièces jointes infectées par messagerie. Les documents sont cryptés et une rançon de 300 à 600 dollars (bitcoins) est demandée. Attention, le paiement de la rançon n’assure pas de pouvoir effectuer le décryptage des documents.
En première intention et au plus vite, il faut respecter ces trois règles :
- Ne pas payer la rançon,
- Ne pas redémarrer l’ordinateur,
- Débrancher l’ordinateur du réseau (wifi ou prise éthernet).
Nous verrons un peu plus loin quelles sont les bonnes pratiques de sécurisation de son système d’information afin d’éviter ce type de déconvenue.
2) Le déni de service distribué (DDOS)
La deuxième attaque récurrente est le déni de service distribué (ou DDoS).
L’attaque vise à rendre un serveur ou une infrastructure indisponible donc non accessible en envoyant une multitude de requêtes en même temps et depuis plusieurs machines. L’objectif est de produire un arrêt de service mais il n’y a pas de fuite de données.
Cet arrêt de service est possible via plusieurs moyens dont notamment :
- La saturation de la bande passante,
- L’épuisement des ressources de la machine.
A noter que les attaques DDOS s’accompagnent de plus en plus de demande de rançons à l’image des Ransonwares.
Quels sont les impacts d’une attaque DDOS ?
Les impacts sont de deux ordres :
- Impacts techniques :
- Une surconsommation des ressources matérielles de la machine et du réseau
- Il peut également y avoir un impact applicatif qui est en réalité un effet de bord de l’attaque. Dans le cas d’une application Legacy (c’est-à-dire vieilles de plusieurs décennies), des problèmes d’intégrité peuvent se présenter lors de l’attaque même si la cible de l’attaquant n’est pas d’impacter l’intégrité des données.
- Impacts financiers :
- Au regard de l’augmentation du trafic et des requêtes, les services de scalabilité et d’auto-provisionning (approvisionnement des ressources) seront davantage utilisés et induiront de fait un coût financier plus important,
- Coûts associés à la gestion de l’incident (ressources humaines, financières, …)
- Coûts associés à la perte d’activité et impact sur l’image du service auprès des clients (= perte directe de chiffre d’affaires).
3) Insider threat
« L’insider threat » est un type d’attaque qui diffère des deux premières. Il s’agit d’une corruption interne à l’organisation (particulièrement au niveau du service informatique) reposant sur la demande d’un service en échange d’une compensation financière. Exemples :
- Copie d’une base de données de logiciel
- Copie de l’annuaire Utilisateurs (Active Directory par exemple)
L’insider threat repose donc sur :
- Un déclenchement en interne
- Le facteur Humain et le risque statique lié à chaque utilisateurs de l’organisation (principalement au niveau de la DSI).
4) Virus, adware, attaques ciblées, …
Cette catégorie englobe les autres grands types d’attaques « classiques » :
- Adware : Programme conçu pour afficher de la publicité sur votre poste et pouvant potentiellement vous rediriger vers un site infecté,
- Virus ou cheval de troie : Programme qui contient un virus et qui vise à prendre le contrôle à distance de votre ordinateur
- Attaques ciblées autours d’une technologie ou d’un logiciel.
Quelles sont les bonnes pratiques pour réduire le risque d’attaque ?
Au regard des différentes types d’attaques possibles, il n’est pas envisageable de centraliser sa stratégie de sécurisation sur un seul et unique outil. Il est recommandé d’adapter une approche de défense en profondeur afin de diversifier les moyens de protection.
Pour cela, la base est de déployer des mesures d’hygiène globale du système d’information afin de réduire la surface d’attaque. En effet, il n’est pas pertinent de mettre en place des actions visant à se protéger d’un seul type d’attaque. Les attaques aujourd’hui sont de type pluriel et la stratégie de sécurisation doit donc s’adapter à cet état de fait.
Voici quelques exemples de leviers techniques et organisationnels pour diminuer ce risque :
- Sensibiliser les utilisateurs et les décideurs aux risques informatiques,
- Faire une analyse de risques et disposer d’une politique de sécurité du système d’information,
- Disposer d’une organisation et des outils permettant de gérer et corriger les vulnérabilités. Le processus de veille est donc ici primordial,
- Déployer rapidement les patchs de sécurité au niveau du système d’exploitation, au niveau des applications et des équipements réseau (incluant caméras etc),
- Durcir les configurations et paramétrages des équipements du système d’information après acquisition,
- Identifier rapidement les attaques (log-management) et réagir de manière pertinente via un processus de gestion de crise (impliquant une organisation adaptée, une formalisation de ce processus et une parfaite maitrise via des exercices réguliers),
- Donner les capacités à son architecture de s’adapter à une montée en charge ou une surconsommation des ressources (avec un répartiteur de charges par exemple, l’utilisation d’outils de conteneurisation comme Docker par exemple, de Web application Firewall pour identifier les requêtes malveillantes, de mise en cache comme Akamai, …),
- Adopter une démarche de cloisonnement des réseaux.
La mise en place d’un ou plusieurs outil(s) doit s’accompagner de la mise en place d’une organisation pertinente au regard de la taille de l’organisation.