19.02.2020 - Ces dernières semaines, MELANI / GovCERT a traité plus d’une douzaine de cas d’attaques impliquant des rançongiciels: des escrocs non identifiés verrouillent les systèmes de PME et de grandes entreprises suisses, les rendant inutilisables, puis exigent une rançon de plusieurs dizaines de milliers de francs, voire parfois de plusieurs millions.
L’analyse technique de ces incidents a révélé que le système de sécurité informatique des entreprises touchées était souvent lacunaire et que les meilleures pratiques (Sécurité de l'information: aide-mémoire pour les PME) n’étaient pas toujours rigoureusement observées. En outre, ces entreprises ont ignoré certaines mises en garde provenant des autorités.
L’examen des événements des dernières semaines a mis en évidence les failles ayant rendu possibles les cyberattaques. Ces failles peuvent être comblées en appliquant les recommandations formulées par MELANI:
1. Protection antivirus et mises en garde
Les entreprises n’ont soit pas remarqué, soit pas pris au sérieux les messages des logiciels antivirus avertissant que des maliciels avait été repérés sur les serveurs (par ex. sur les contrôleurs de domaine). Dans certains cas, plusieurs serveurs n’étaient même pas dotés d’un antivirus, ce qui augmente considérablement les risques de voir se propager des maliciels au sein d’un réseau d’entreprise.
Recommandations:
• Installez des logiciels antivirus sur la totalité des clients et des serveurs.
• Enregistrez et passez régulièrement en revue les mises en garde provenant des antivirus. Dans le cas où il ne serait pas possible d’examiner la totalité des mises en garde (par ex. à cause de leur nombre important), il faut au moins contrôler quotidiennement les avertissements concernant les serveurs (contrôleurs de domaine, serveurs de sauvegarde, etc.).
2. Protection de l’accès à distance
Dans de nombreux cas, seul un mot de passe faible protégeait les protocoles de contrôle à distance des systèmes (Remote Desktop Protocol, RDP). De plus, leur port d’écoute était souvent celui qui était paramétré par défaut (port 3389) et ce dernier ne présentait aucune restriction d’accès (par ex. au moyen d’un VPN ou d’un filtre d’adresses IP). Tous ces éléments rendent les systèmes vulnérables: les attaquants ont pu facilement s’immiscer en toute discrétion dans les réseaux et y installer des maliciels.
Recommandation:
• Sécurisez tous les accès à distance tels que les VPN ou les RDP (serveur de terminal) au moyen d’une authentification à deux facteurs. De plus, si possible, n’utilisez pas les ports d’écoute configurés par défaut (par ex. le port 3389 dans le cas du RDP). Il est également essentiel de mettre en place des directives pour empêcher l’utilisation de mots de passe faibles («123456», «password», etc.).
3. Communications des autorités
Les entreprises concernées ont ignoré ou n’ont pas pris au sérieux les mises en garde des autorités ou des fournisseurs d’accès à Internet concernant la propagation éventuelle de logiciels malveillants. L’infection n’a ainsi pas du tout été traitée ou ne l’a été que partiellement, ce qui a entraîné dans de nombreux cas le verrouillage complet du réseau d’entreprise.
Recommandation:
• Prenez impérativement au sérieux les mises en garde provenant des autorités ou des fournisseurs d’accès à Internet relatives à des infections. En cas de doute, par exemple sur l’authenticité d’un avertissement, prenez contact avec l’autorité ou le fournisseur qui a expédié le message.
4. Sauvegardes hors ligne et mises à jour
De nombreuses entreprises ne disposaient que de sauvegardes en ligne, qui n’étaient donc pas séparées du système. Lors des attaques par rançongiciel, ces sauvegardes ont été cryptées ou irrémédiablement supprimées. Dans de nombreux cas, la reprise des activités de l’entreprise n’a pu avoir lieu qu’au prix d’efforts coûteux, voire n’a pas été possible.
Recommandations:
• Effectuez des sauvegardes régulières (backup) de vos données sur un support externe (par ex. sur un disque dur externe ou sur une bande magnétique). Après la sauvegarde, veillez à déconnecter physiquement de l’ordinateur et du réseau le support contenant les données sauvegardées. Définissez en outre un processus de sauvegarde régulière des données et respectez-le scrupuleusement.
• Effectuez systématiquement les mises à jour. Veillez à garder à jour tant les systèmes d’exploitation que l’ensemble des logiciels installés sur les serveurs et les ordinateurs (par ex. Adobe Reader, Adobe Flash, Oracle Java, etc.). Dans la mesure du possible, activez la fonction de mise à jour automatique.
5. Gestion des correctifs et des cycles de vie
Les entreprises ont souvent une mauvaise gestion des correctifs et des cycles de vie. Cette situation a conduit à l’utilisation de systèmes d’exploitation ou de logiciels obsolètes ne bénéficiant plus d’aucune maintenance. Les attaquants ont profité des failles de sécurité qui en résultaient pour accéder aux réseaux et à d’autres systèmes internes. Une fois entrés dans un réseau, les escrocs peuvent tirer profit d’une mauvaise gestion des correctifs et des cycles de vie pour y propager des maliciels.
Recommandations:
• Mettez en place un système de gestion des correctifs et des cycles de vie. Séparez les systèmes obsolètes du reste du réseau s’ils ne vous sont plus utiles, ou remplacez-les sans tarder.
• Isolez les systèmes mal protégés. Dans le cas où des systèmes nécessitant un système d’exploitation ancien (par ex. Windows XP, Windows 2003 Server, Windows 2008 Server) ne pourraient pas être migrés, séparez-les autant que possible du reste du réseau en autorisant uniquement les connexions absolument indispensables.
6. Segmentation du réseau
Lorsqu’un réseau n’est pas segmenté, les attaquants peuvent, en infectant par exemple un ordinateur du service du personnel, se frayer un chemin jusqu’au service de production.
Recommandation:
• Séparez les réseaux afin d’isoler au moins les environnements critiques.
7. Étendue des droits d’utilisateurs
Il est fréquent que les utilisateurs se voient attribuer un rôle d’utilisateur assorti de trop de droits (par ex. le rôle de backup user, qui a des droits d’administrateur de domaine, ou celui d’administrateur système, qui a les mêmes droits lorsqu’il surfe sur Internet que lorsqu’il gère le système).
Recommandation:
• Établissez un plan de rôles qui définit quels sont les droits dont ont besoin les différents types d’utilisateurs. Assurez-vous également que ces droits seront modifiés en cas de changements au niveau du personnel (notamment lorsqu’un collaborateur quitte l’entreprise ou change de division).
Recommandations en cas de demande de rançon
Dans le cas où vos systèmes seraient cryptés par un rançongiciel, MELANI déconseille de céder au chantage. MELANI recommande en principe de ne pas verser d’argent à l’attaquant, car cette somme servira à financer son infrastructure. Il est important de souligner le fait que le paiement d’une rançon ne garantit aucunement que l’escroc vous redonnera accès à vos données.
Les entreprises victimes d’une extorsion par rançongiciel doivent prendre contact sans délai avec la police cantonale, porter plainte et déterminer la suite de la procédure à appliquer. Tant que des entreprises accepteront de verser de l’argent aux attaquants, ces derniers continueront de recourir au chantage.
Si l’entreprise envisage tout de même de payer, il faut avoir conscience du fait que, une fois l’accès aux systèmes et aux données rétabli, des maliciels comme «Emotet» ou «TrickBot» peuvent être encore actifs et continuer d’infecter le réseau. Cela signifie que les attaquants ont encore accès au réseau de l’entreprise et peuvent, par exemple, installer à nouveau un rançongiciel ou voler des données sensibles. Des cas portés à la connaissance de MELANI font état en Suisse et à l’étranger d’entreprises victimes plusieurs fois de rançongiciels dans un court laps de temps.
Appel à la responsabilisation
Dans le cadre du partenariat public-privé (PPP), MELANI a déjà pris l’année dernière, en collaboration avec différents partenaires, des mesures pour réduire les menaces que constituent certains acteurs isolés ainsi que la propagation de maliciels en Suisse. MELANI appelle les entreprises suisses à prendre leurs responsabilités en assurant une exploitation de leur infrastructure informatique qui soit conforme aux normes de sécurité.