Académique Documents
Professionnel Documents
Culture Documents
Le résultat est alors aussi spectaculaire que dramatique : une grande partie – sinon
l’ensemble – des ressources du système d’information commence à être chiffrée, d’un
seul coup, sans que rien de bien visible ne le laisse présager.
Forts de cette connaissance, les attaquants n’ont pas besoin d’identifier précisément
chaque machine chiffrée par leurs soins, ni de définir une clé de déchiffrement unique
pour chacune d’entre elles : l’extorsion vise l’organisation touchée dans son entièreté.
Un peu plus tard, l’Agence nationale pour la sécurité des systèmes d’information (Anssi)
confortait ces analyses : l’exécution du ransomware « est réalisée sur plusieurs
semaines (voire plusieurs mois) après la compromission effective de la cible. Une étude
approfondie de la cible et de son infrastructure est donc fortement probable ».
Ce type de mode opératoire n’est pas isolé. On le retrouve dans bon nombre d’attaques
par ransomware. Cela vaut ainsi pour les cas Friedex/BitPaymer, comme le relevait
l’Anssi à l’automne dernier : après quelques jours de reconnaissance, les assaillants
déploient, « le week-end et au milieu de la nuit, la charge de chiffrement », expliquait
alors l’Agence, « notamment sur les systèmes de sauvegarde de fichiers restés
connectés ». Ryuk, MegaCortex, ou encore Crytomix Clop, qui a fait parler de lui
notamment avec le CHU de Rouen, n’échappent pas à la règle.
Mais pour ne rien gâcher, « le serveur de sauvegarde est très souvent lui-même
dépendant de l’annuaire ». Alors pour Gérôme Billois, l’une des principales mesures à
prendre avant un incident, consiste « à s’assurer que les procédures de restauration
peuvent être lancées même dans une situation où il n’y a plus les fonctions de support
classiques ». La question étant : « imaginons un cas où il n’y a plus rien ; combien de
temps faut-il pour accéder à nouveau aux sauvegardes » ?
Mais dans un cas où l’on est amené à soupçonner une atteinte à l’intégrité de
l’annuaire, la restauration apparaît bien difficile. « Dans un cas pareil, on repart d’une
infrastructure de base, en réinstallant de zéro. Et on en profite pour appliquer les
bonnes règles d’architecture Active Directory qui, bien souvent, ne l’étaient pas avant ».
De là, il devient possible d’envisager de récupérer prudemment, en les nettoyant
soigneusement si nécessaire, les données d’applications qui n’étaient pas la cible de
l’attaque.
D’aucun soupçonnent que l’université de Gießen, en Allemagne, ait été récemment
confrontée à une telle situation, même si elle n’a pour l’heure communiqué que très
sporadiquement sur l’épisode de ransomware dont elle a été victime en décembre
2018.
Dans le cadre de LockerGoga, Félix Aimé recommandait de bloquer tous les serveurs
de commande et de contrôle connus de Cobalt Strike, relevant que la plupart de ceux-
ci, n’étant pas mis à jour régulièrement, « sont largement liés à des cochonneries
(APTs, débutants, et autres) ».
pic.twitter.com/uzSUow0GpX
Full network emotet (or trickbot) infection resulting in all servers and workstations
infected with ryuk ransomware. I'm trying to laugh... But it's still raw :P
Mais voilà, le nettoyage, n’a rien de trivial. Kyle Hanslovan, PDG de Huntress Labs, le
soulignait en mars 2019 : « chaque jour, notre équipe voit les réseaux de 5 à 15 clients
touchés par Emotet. Le nettoyage peut prendre entre 3 jours et 3 mois suivant les
compétences, les outils et la télémétrie disponibles ».
Et ce n’est pas la seule porte d’entrée. Le phénomène n’est pas nouveau : certains
acteurs s’invitent directement via des services RDP exposés ouvertement sur Internet
sans véritable sécurité, à commencer par une authentification de l’utilisateur au niveau
du réseau (NLA, ou Network Level Authentification). Certaines vulnérabilités ne
manquent d’ailleurs pas de les y aider, lorsque les correctifs requis n’ont pas été
appliqués.
L’état américain du Texas a d’ailleurs émis plusieurs recommandations à la suite de
l’attaque d’une vingtaine d’entités locales de gouvernement dans le courant de l’été
dernier : « n’autoriser l’authentification sur les outils d’accès à distance que de l’intérieur
du réseau du prestataire ; utiliser l’authentification à double facteur sur les outils
d’administration à distance et des tunnels VPN plutôt que RDP ; bloquer tout le trafic
entrant provenant de nœuds de sortie Tor ; bloquer tout le trafic sortant vers Pastebin ;
des outils d’EDR pour détecter les scripts PowerShell exécutant des processus
inhabituels ».
Mais d’autres systèmes servant de point d’entrée sur le système d’information peuvent
être affectés par des vulnérabilités, à l’instar de serveurs de réseau privé virtuel (VPN).
Le rançongiciel Revil/Sodinokibi ne manque ainsi pas d’être distribué via des serveurs
VPN Pulse Secure laissés vulnérables. Travelex est soupçonné d’en avoir fait les frais.
Et d’aucuns s’attendent à ce que la vulnérabilité CVE-2019-19781 affectant les
systèmes Citrix/Netscaler ADC/Gateway soit également prochainement exploitée avec
le même objectif.
Se préparer au pire
Face à la difficulté de la protection et aux défis de la reconstruction, même avec les
meilleures volontés, il apparaît essentiel de se préparer à la gestion d’incident – y
compris lorsque la menace est arrêtée tôt dans la chaîne d’attaque. Et cela d’autant
plus qu’une crise de cybersécurité n’est pas une crise IT.
Maersk, Fleury Michon ou Norsk Hydro, voire même Altran et le groupe M6, ont
sûrement des histoires à raconter dans le domaine, même si tous ne se prêtent pas à
l’exercice, et c’est bien regrettable.
Mais même d’une crise comme celle traversée par Travelex, il y a au moins un
enseignement à tirer : préparer une solide réponse à un incident affectant une fonction
métier critique, est indispensable et implique bien plus que la seule DSI. De fait, comme
le souligne Brian Honan dans les colonnes de ComputerWeekly (groupe TechTarget), «
Travelex est rapidement devenu l’exemple de ce qu’il ne faut pas faire pour répondre à
un incident de sécurité ».
Accéder à plus de contenu exclusif PRO+
Vous avez accès à ce PDF en tant que membre via notre offre PRO+ : une collection
de publications gratuites et offres spéciales rassemblées pour vous par nos
partenaires et sur tout notre réseau de sites internet.
L’offre PRO+ est gratuite et réservée aux membres du réseau de sites internet
TechTarget.