Éviter une cyber-attaque, gérer une demande de rançon : mode d'emploi !

“On a été piratés, tout est bloqué et on ne peut pas bosser. La boîte est à l’arrêt.” Que l’on soit chef d’entreprise, investisseur ou salarié, personne n’a envie d’entendre cette phrase à propos de sa boîte en arrivant, lundi matin, au bureau.

‍

Apprendre qu’un Kevinonymous a infiltré et a crypté tout le système d’information de l’entreprise pendant le week-end. Paralysée, incapable de produire et de facturer, c’est le mur assuré en quelques semaines. Des startups aux hôpitaux, les attaques se multiplient ces derniers mois, vous l’avez remarqué.

‍

Malgré ça, le risque reste largement sous-estimé par les TPE et PME : “Il y a environ 140 000 PME en France, et seules moins de 3% sont équipées d’une assurance cyber. », a déclaré Jules Veyrat, co-fondateur et CEO de Stoïk*, l’assurance française qui couvre et aide les PME à se prémunir des cyber-attaques.

‍

Pour parler de ce risque qui menace les porteurs de projet et leurs investisseurs, La Gazette a pris un moment avec Vincent Nguyen, directeur de la sécurité chez Stoïk, justement, pour vous donner les indispensables à appliquer pour éviter les attaques. Vous apprendrez aussi les “gestes qui sauvent” si vous deviez en être victime. Parce que tout perdre pour qu’un Kevinonymous s’amuse un peu derrière son écran, ça craint vraiment !

Lancé début 2021, Stoïk a levé, en 2022, 11 millions d’euros auprès du fonds californien Andreessen Horowitz et de ses investisseurs historiques Alven et Anthemis Groupa ainsi que de business angels comme Henri De Castries (ex-CEO d’AXA) et Julian Teicke (CEO de WeFox).

‍

Tour d'horizon de la cybersécurité aujourd'hui

‍

La cybersécurité a le vent en poupe, et il y a de quoi, car les cyber-détrousseurs ne manquent pas. En 2022, on a pu constater trois grandes exploitations de failles de sécurité : le phishing, les vulnérabilités techniques et les partenaires et fournisseurs qui disposent d’un accès partagé et se font compromettre, que l’on appelle attaques par supply chain.

‍

Les grandes entreprises ayant mis en place des mesures de durcissement de leur niveau de cybersécurité, il est devenu plus difficile de les attaquer directement. Aussi, les pirates se sont adaptés et ont commencé à cibler leurs fournisseurs ou prestataires pour accéder aux systèmes d’information des grands groupes et lancer des ransomwares.

‍

On s'est entretenu avec Vincent Nguyen, directeur de la sécurité chez Stoïk pour en parler.

‍

La Gazette : Y a-t-il de nouveaux types d’attaques en 2024, autres que le phishing, les attaques par supply chain et les ransomwares ?

‍

Vincent Nguyen : Non, on est toujours sur le même type d’attaque mais, sur le phishing*, nous découvrons des méthodes de plus en plus intelligentes grâce aux moteurs IA générateurs de textes, qui génèrent des mails de phishing mieux faits. Il s’agit de mails bien écrits, qui reprennent le vocabulaire de l’organisation usurpée et sont de plus en plus crédibles.

Plus on a d’informations sur les émetteurs de mails, s’ils commettent habituellement des fautes d’orthographe ou non, par exemple, si l’on sait quel est le type de template qu’ils utilisent, plus on peut créer un mail qui semble conforme à ce que l’auteur aurait pu produire.

‍

La capacité de traduction des mails de phishing par les IA a aussi considérablement changé la donne : quelques semaines après que Chat GPT et sa capacité de traduction sont apparus, il y a eu une explosion de cas de phishing au Japon, pays qui n’en avait pas l’habitude parce que c’est particulièrement difficile d’écrire en japonais !

‍

La Gazette : Quel est le mail de phishing parfait, celui dont il faut le plus se méfier ?

‍

Vincent Nguyen : Le plus dangereux est le mail bien écrit, crédible, qui a choisi (côté attaquant), une adresse email d’origine crédible et cohérente avec le contenu et qui est entraîné, c’est-à-dire qui n’est pas filtré par les plateformes anti-phishing de Google, Microsoft ou autre (qui sont d’ailleurs plutôt efficaces).

‍

Il faut pour ça que les moteurs aient confiance dans l’infrastructure d’envoi de mails, qui aura donc été entraînée à envoyer des mails simples avant d’envoyer le mail malveillant.

‍

Enfin, le mail contiendra un lien qui redirigera l’utilisateur vers une page où il ira saisir ses identifiants, login et mot de passe. Le lien pointé doit aussi être crédible et cohérent, qu’on ait l’impression d’être sur le vrai site. Le jeu du phisher est d’avoir un process le plus attrayant possible, pour mettre en confiance la victime.

‍

Aujourd’hui, avec les nouveaux outils d’IA, il suffit d’aller aspirer un site, d’apprendre la manière d’écrire de ce site et d’en générer un identique, c’est devenu assez facile !

‍

Il n’y a pas forcément de nouveaux outils d’attaque mais il y a un malware dont on n’entend pas forcément parler, ce sont les infostealers : il s’agit de petits malwares dont l’objectif est de s’installer sur des postes de travail et de voler des informations, notamment d’identification.

‍

Ils vont aller scanner le gestionnaire de mots de passe de Chrome, de Firefox et les renvoyer à l’attaquant.

‍

L’infostealer est une menace assez mal connue, malheureusement, mais qui peut faire beaucoup de dégâts car les identifiants/mots de passe peuvent être vendus à des personnes mal intentionnées. C’est là qu’arrivent les compromissions de boîtes mails, de systèmes d’information et jusqu’au déploiement de ransomwares. Il peut venir d’un serveur légitime, par email via un document word ou pdf. Lorsqu’on l’ouvre un code s’exécute, installe l’infostealer sans que l’utilisateur ne puisse rien voir.

‍

Malheureusement un infostealer peut compromettre une boîte mail et ensuite envoyer des mails de l’attaquant mais via l’adresse légitime, donc on se méfie moins et c’est ainsi qu’il peut se propager sur des centaines de postes en très peu de temps.

‍

Les erreurs commises par les entreprises

‍

La Gazette : Quelles sont les erreurs typiques commises par les entreprises ?

‍

Vincent Nguyen :

‍

1/ Négliger la qualité de sa sauvegarde : C’est le plus gros point de défaillance des organisations. Quand on se fait attaquer, la seule chose qui peut nous permettre de nous relancer, c’est la qualité de la sauvegarde.

‍

Malheureusement, dans les TPE/PME et les ETI c’est vraiment délaissé. Beaucoup se disent “J’ai mon process de sauvegarde, ça marche depuis des années” et ils ne vont pas tester leurs sauvegardes ou tout simplement les laisser connectées à leur réseau nominal, ce qui fait qu’elles seront touchées aussi en cas d’attaque. Il faut donc impérativement les externaliser.

‍

2/ La méconnaissance de sa “surface d’exposition” : C’est-à-dire tout ce qui peut être attaqué. Il ne faut pas se dire “Je n’ai qu’un site web, c’est tout ce que j’expose”. En réalité, il y a plein d’autres applications et services qui peuvent être utilisés par un attaquant : les accès à distance utilisés par les prestataires pour gérer le parc, le site, sont aussi à surveiller.

‍

On a pas mal de portes d’entrées sur un système d’information et les méconnaître est aussi un grand défaut.

‍

Il faut faire faire un scan automatique de vulnérabilité pour identifier les actifs exposés et leur niveau de configuration. On se met à la place d’un attaquant qui va frapper à toutes les portes et tester toutes les fenêtres.

‍

3/ Le défaut d’utilisation de l’identification multi facteurs : C’est une solution gratuite, hyper-accessible car presque tout le monde aujourd’hui a un smartphone sur lequel on peut installer une application.

‍

Sauf que peu d’organisations le font sur leur messagerie, sur leur accès à distance parce qu’ils considèrent que c’est soit trop compliqué, soit ils n’y ont même pas pensé.

‍

Or, comme on l’a vu, c’est facile de récupérer des identifiants et des mots de passe. L’identification multi-facteurs permet de se prémunir de l’impact du vol d’identifiants.

‍

Que faire face contre une cyber-attaque ?

‍

La Gazette : Quelle est la meilleure porte d’entrée pour un attaquant ?

‍

Vincent Nguyen : Dès qu’on a la possibilité de se connecter à distance à Office 365, sur Gmail, c’est facile. Pour un système d’information, les VPN sont très ciblés : on a vu sur les huit derniers mois que les éditeurs de VPN ont eu de gros soucis de sécurité avec des vulnérabilités exploitables depuis internet.

‍

La Gazette : Alors comment se prémunir ?

‍

Vincent Nguyen : Étant donné qu’il n’y a pas de prévention fiable à 100%,  il faut surveiller son système d’information. On a de plus en plus d’outils EDR (Endpoint, Detection and Response) qui sont des sondes qui analysent, sur les postes de travail, les serveurs et les téléphones des collaborateurs.

‍

Ils vont identifier des comportements suspects, remontent une alerte et préviennent les personnels chargés de la sécurité qui vont pouvoir reprendre la main sur la situation.

‍

La Gazette : Comment réagir face à une attaque ?

‍

Vincent Nguyen : Généralement, une entreprise victime d’un rançongiciel n’a plus de système d’information : sa production, sa prise de commandes, sa capacité à facturer ou à payer les salaires sont arrêtées. C’est : retour au papier-crayon et, généralement, ça conduit à une phase de sidération.

‍

Souvent, les dirigeants paniquent face à l’arrêt de leur production donc je conseillerais d’abord de se poser et de réfléchir à ce qu’il faut rétablir en priorité, en général ce qui permet de générer du chiffre d’affaires. Qu’est-ce qui est le plus important à l’instant T et pour les deux-trois jours qui viennent ? Ces premiers jours sont critiques car le reste de la gestion de crise va plutôt prendre plusieurs semaines, voire plusieurs mois.

‍

Si on prend l’exemple de l’hôpital de Dax, un an après l’attaque, il subissait encore les conséquences de l’attaque : des documents sont perdus, parfois même des années de travail…

‍

Il faut ensuite mettre sur papier les quelques priorités. Il y aura ensuite un chantier d’investigation pour comprendre ce qu’il s’est passé et comment l’attaquant est entré.

‍

Vient ensuite le chantier de reconstruction du système d’information et d’une zone réseau : on recrée le cœur de confiance avec les actifs IT technologiques nécessaires aux applications-métiers.

‍

Il faut ensuite reconstruire les serveurs et les postes de travail s’ils ont été touchés. Il ne s’agit là que des chantiers techniques !

‍

Il y a ensuite des sujets organisationnels avec un volet juridique (plainte à déposer, déclaration de vol de données personnelles à la CNIL…) et un énorme aspect RH et communication : auprès des collaborateurs (vont-ils pouvoir être payés ? Vont-ils être en chômage partiel ? Vont-ils devoir travailler avec leur propre ordinateur ? Etc.) et auprès de l’extérieur (fournisseurs, clients, potentiellement grand public).

‍

Une bonne communication de crise ne veut pas dire que l’on va bien gérer la crise, en revanche une mauvaise communication de crise dit que c’est sûr, on va mal gérer la crise !

‍

La Gazette : Comment identifier un bon prestataire de sécurité informatique pour tout relancer ?

‍

Vincent Nguyen : Il existe en France les CSIRT régionaux ** qui sont des équipes de sécurité, il y en a un par Région dont l’objectif est de capter les incidents, d’identifier ce qui est en train de se passer, de l’expliquer à la victime et de l’orienter vers un partenaire de confiance qui viendra l’aider.

‍

Il y a aussi la plateforme Cybermalveillance qui vous orientera vers des partenaires labellisés. SI vous êtes, toutefois, assuré chez Stoik, par exemple, vous n’aurez pas besoin de faire ces démarches !

‍

La Gazette : Comment négocier une demande de rançon dans le cas où je n’ai pas de sauvegarde et que je n’ai pas d’autre choix que de payer (en bitcoins) ?

‍

Vincent Nguyen : Si on n’est pas habitué à négocier, il faut se rapprocher des forces de l’ordre qui mettront à disposition des experts en négociation de rançons. Toutefois, lorsque, comme nous, on est habitué à négocier, on va entrer en communication avec le rançonneur. Nous aurons alors un objectif de gestion du temps :

‍

• On peut vouloir parfois gagner du temps pour empêcher la publication des données volées. Là, on fait traîner les choses en longueur et facilement gagner trois, quatre semaines, le temps de sécuriser le système, préparer nos communications voire même communiquer avant que lui ne le fasse. On reprend alors la maîtrise du rythme de la gestion de la crise.
• On peut aussi vouloir accélérer pour lui faire publier les données volées parce qu’il peut y avoir dans nos back-ups (sauvegardes, ndlr) une donnée très précise qui nous permettra de relancer notre activité-métier, une donnée pas très sensible question confidentialité mais cruciale pour pouvoir re-faire tourner l’entreprise.

‍

Le fait de faire traîner en longueur peut aussi faire que l’attaquant acceptera de baisser le montant de la rançon. On a déjà eu des cas où, au départ, la rançon est de 100 000 dollars avec une augmentation de 20 000 dollars par jour tant qu’on ne paye pas et, à la fin, on fait table rase de tout ça et le rançonneur nous dit finalement que si l’on paie 15 000 dollars, il rend les données et on arrête tout.

‍

La Gazette : Comment communiquez-vous avec les attaquants ?

‍

Vincent Nguyen : Nous passons toujours par un canal fourni par l’attaquant. C’est bien souvent un chat sur leur site web qui est derrière un réseau d’anonymisation comme Tor. Il y a alors un chat tout bête où l’on va utiliser l’identifiant que l’attaquant a donné dans la demande de rançon (pour qu’il sache quelle victime lui parle).

‍

On commence alors à discuter. Il peut aussi y avoir des échanges par mail via des boîtes type ProtonMail qui garantissent l’anonymat. Parfois il y a des forums qui peuvent être rendus publics si l’attaquant le décide.

‍

La Gazette : Quelle est le pourcentage de rançons payées et non payées ?

‍

Vincent Nguyen : Pour notre part, on n’a jamais eu besoin de payer une rançon parce que nous avons toujours réussi à restaurer les données, soit parce qu’on avait suffisamment prévenu nos clients pour qu’ils travaillent sur leur sauvegarde de données, soit parce qu’on a réussi à casser le chiffrement de l’attaquant.

‍

Leurs outils ne sont pas parfaits, on les connaît et on réussit généralement à récupérer environ 90% des données.

‍

Dans le cas où il faudrait payer la rançon, nous savons comment faire, mais payer, c’est alimenter la prochaine attaque, il n’y a donc aucun intérêt à ça…

‍

* L’hameçonnage (phishing en anglais) est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.

** Issus d’un projet du plan France Relance en 2021, les CSIRT régionaux (Computer Security Incident Response Team) sont des centres de réponse aux incidents cyber au profit des entités implantées sur le territoire régional. Ils traitent les demandes d’assistance des acteurs de taille intermédiaire (ex : PME, ETI, collectivités territoriales et associations) et les mettent en relation avec des partenaires de proximité : prestataires de réponse à incident et partenaires étatiques.