Cas client : entreprises, comment réagir face à un cryptolocker ?

Securité data center nantes certification iso 27001Aujourd’hui, nous recueillons le témoignage d’un de nos administrateurs système sur un sujet qui nous tient à cœur : la sécurisation des infrastructures d’hébergement et les bonnes pratiques de sécurité. En tant qu’hébergeur et partenaire de vos systèmes d’information, nous sommes au cœur de ces problématiques et devons donc vous apporter les meilleures réponses possibles.

Afin d’illustrer notre propos, nous avons choisi de réaliser cette interview autour de la problématique d’un client victime d’un cryptolockage sur sa plateforme de gestion documentaire (GED). N’étant pas responsable de la sécurisation ni de l’infogérance de celle-ci, nos équipes sont intervenues en urgence, en phase d’audit et de préconisations, afin de la restaurer dans les meilleurs délais.

Loïc, peux-tu nous parler de l’incident de cryptolocker ?

Oui, un de nos clients a subi une attaque de cryptolocker, cet été, sur sa plateforme de Gestion Electronique Documentaire. Cet espace de centralisation est critique pour lui, car c’est ici que sont compilés tous les documents clients, fournisseurs… Je suis donc intervenu après l’appel de notre client qui m’indiquait que la GED était inaccessible.

 

Quel est le principe de cryptolockage ? Payer pour récupérer ses données, c’est bien ça ?

Oui, c’est bien ça, le principe du cryptolockage fonctionne sous forme de rançon :

  • Le virus bloque le fonctionnement du PC ainsi que l’accès aux documents tant que la personne attaquée n’a pas payé. C’est une technique très en vogue qui arrive massivement en France… De plus en plus d’entreprises en sont victimes. Le cryptolocker est une attaque destructrice car il n’y a que très peu d’option pour la personne attaquée :
    • Soit elle paie et espère que les hackers vont lui donner la clef pour déchiffrer les données
    • Soit la personne a sécurisé ses données avec un système de sauvegarde qui fait qu’elle aura un duplicata de tous ses fichiers… Dans le meilleur des cas !

A titre d’exemple, certains groupes étatiques (NSA, …) sont en capacité de déchiffrer ce type de clé. En effet, les chiffrements sont généralement basés sur des algorithmes robustes difficilement contournables par le commun des entreprises.

 

Du coup, lorsque le client t’a contacté en urgence, qu’as-tu mis en place ?

workflow et procédures métier sous sharepointTout d’abord, il était nécessaire de délimiter et limiter l’attaque. Nous avons donc tout d’abord couper la GED afin d’éviter toute propagation de l’attaque. Puis, nous avons délimité et analysé l’attaque : comprendre d’où elle venait, quel était son périmètre, s’il y avait d’autres attaques en cours…

Nous avons également réalisé une analyse de l’environnement : analyse des connexions au domaine, lecture des logs, pour connaître précisément la date de lancement de l’attaque. Cette étude nous a permis d’identifier le compte dont provenait l’attaque, nous l’avons donc rapidement désactivé !

 

Comment le cryptoloker est-il arrivé ?

Un des comptes administrateurs du domaine a été utilisé pour lancer le cryptolocker. L’attaquant a donc identifié cette adresse mail et a brute-forcé le mot de passe… Vous imaginez bien qu’un compte administrateur a beaucoup d’autorisations sur un domaine…

Préalablement à l’attaque de la GED, une attaque avait déjà eu lieu via une demande de connexion (depuis la Chine). Et donc une des machines du domaine était déjà infectée. C’est depuis cette machine virtuelle que l’application de GED a été infectée…

Selon nous, l’objectif était de cryptolocker la GED. La méthode était assez simple : le compte administrateur disposait d’un mot de passe faible et le hacker a utilisé une technique de brute force pour l’obtenir.

Peux-tu nous expliquer la technique de brute force mise en place par le hacker dans ce cryptolockage ?

Key VaultL’attaque par force brute est une technique relativement courante, mais qui nécessite potentiellement beaucoup de temps d’exécution. Le principe est simple : un hacker, avec un script, essaie toutes les combinaisons de mots de passe possibles (notamment en testant les mots de passe par ordre alphabétique : AAB- AAC).

Il existe une autre technique de brute force où l’attaquant se base sur d’énormes dictionnaires contenant des millions de mots de passe régulièrement utilisés et des mots présents dans le dictionnaire. Une technique très efficace, surtout si l’utilisateur s’est inscrit avec un mot de passe simple. La limite de cette technique est le temps et la limitation d’essais. Si, par exemple, le compte se bloque après 3 connexions infructueuses, la technique du brute-force sera inefficace. Si le compte se bloque au bout de 10 minutes d’essai, là encore, cette technique est inefficace.

D’accord, alors une fois l’attaque délimitée, quelle a été la méthodologie ?

Il y avait deux options pour nous :

  • Soit supprimer toute l’infrastructure
  • Soit envisager une démarche post-attaque pour endiguer l’attaque en cours ou éviter la sur-attaque sur le vecteur ou d’autres vecteurs (vérification des droits d’accès – comptes étranges… administrateurs à privilège…) : c’est l’option que nous avons retenue.

Une fois les failles de sécurité identifiées, la plateforme nettoyée et le rapport d’audit rédigé, nous avons lister les points de sécurité à corriger très rapidement afin d’éviter une nouvelle attaque. La GED refonctionne et des améliorations ont été mises en place de manière à renforcer la sécurité de la plateforme.

 

Quels sont les risques de ce type d’attaque ?

Data center hébergeur Nantes tier 3+L’impact en interne peut être dévastateur : plus de Ged, plus d’accès aux documents partagés. C’est une plateforme utilisée en internet et externe… Plus personne ne pouvait se connecter à la GED, plus rien ne fonctionnait, les fichiers étaient tous chiffrés, les applications aussi.  La question d’après est de savoir s’il y a un système de sauvegarde mis en place. Il faut absolument avoir des sauvegardes différentes pour éviter ce genre d’écueil qui peut paralyser une entreprise.

Dans le cas présent, c’est bien notre système de sauvegarde qui a permis d’éviter la catastrophe car nous avons réutilisé une version antérieure de la plateforme pour permettre la ré-exploitation de celle-ci.

Selon toi, d’où peut venir une attaque de ce type ?

Deux possibilités sont envisageables :

  • Soit, un espionnage industriel qui aurait eu pour objectif d’empêcher le travail de la concurrence dans un contexte d’appel d’offre ou contrat.
  • Soit, cela pourrait provenir d’un « script-kiddies » : un pseudo hacker qui utilise des logiciels tout fait pour diffuser des virus.

Si tu avais des recommandations à faire aux entreprises pour éviter ce genre d’attaque, que dirais-tu ?

Il y a trois éléments essentiels : il faut définir un plan de prévention avec la marche à suivre pour les sauvegardes de fichiers, il faut également rédiger un plan de sécurité et enfin créer un plan de formation pour les utilisateurs. Sans ces trois principes, l’entreprise sera potentiellement plus attaquable et plus fragilisée après une attaque.

Si nous regardons les grands principes, voici ce que je dirai qu’en premier lieu, le plan de prévention de sauvegarde doit comporter un certain nombre d’informations, comme par exemple :

  1. La définition des plans de sauvegarde :

    • A quelle fréquence ?
    • Quels supports de sauvegardes ont été définis ?
      • Sur des bandes magnétiques : système cher et long et stockage compliqué,
      • Via un système de backup sur le cloud
      • Sur des disques durs dédiés à la sauvegarde
    • Combien de temps garder les sauvegardes ? 
      • Sur les bandes magnétiques, la durée de rétention est très grande
      • Si le choix est d’externaliser les backup sur une infrastructure cloud – il faut faire des sauvegardes au moins tous les mois – pendant un an comme dans le cas d’un Plan de reprise d’activité
    • Combien de sauvegardes ?
      • Par exemple, il est possible d’avoir des sauvegardes sur site (en interne dans l’entreprise) et d’autres qui sont externalisées, mais elles auront des durées différentes.
        • Par exemple, sur le site principal, il existe un backup par jour, gardé 15 jours,
        • Qui est cumulée avec un ou deux backup par mois, externalisés et qui sont gardés durant 12 à 24 mois

Cela fait partie d’un plan de sauvegarde de données : c’est une récupération de données via le filet de sécurité du backup… La sauvegarde est une partie du PRA : aujourd’hui, c’est compliqué de monter un PRA sans backup. Mais il faut déterminer les besoins de l’entreprise…

Le deuxième enjeu est la politique de sécurité des données :

  1. La définition d’une politique de sécurité :

  • Définir une politique technique :
    • Comment se déroule l’exécution des fichiers ?
      • Ne pas attribuer des droits d’administrateur local aux utilisateurs est une technique efficace : si le cryptolocker se lance, il ne pourra pas chiffrer ce qu’il veut car il ne sera pas administrateur. C’est le principe du moindre privilège: la personne n’a pas les droits nécessaires pour faire une erreur. C’est un principe de base.

Enfin la formation des utilisateurs est le dernier pilier mais pas des moindres !

  1. La formation des utilisateurs :

  • Le risque le plus gros vient des utilisateurs (ouverture de pièces jointes douteuse…). Le meilleur conseil à donner est d’être le plus méfiant possible, et d’enseigner les bons réflexes pour éviter ce genre de souci…
  • Si l’on ne connait pas la personne qui vous envoie un mail, ne l’ouvrez pas. Si elle vous propose de cliquer sur un lien non sécurisé et que votre PC vous indique que c’est un lien non sécurisé, il faut résister à l’envie de l’ouvrir… Ce sont plein de petits reflexes à mettre en place sur le parc utilisateurs afin d’éviter l’attaque et l’immobilisation de toutes les ressources de l’entreprise par effet de contamination.

Ce cas client nous a permis d’aborder une problématique qui se généralise dans les entreprises françaises. L’informatique doit donc être extrêmement contrôlée afin de limiter les risques. Malgré toutes ces précautions, la sécurité n’est pas un domaine facile.

Elle réside en un ensemble d’analyses et de croisements de données… Les attaques sont bien souvent dues à une accumulation de dysfonctionnements. Et malheureusement, les équipes en internes sont dans l’incapacité de faire des audits poussés, pour détecter les soucis potentiels. Mais le jeu en vaut la chandelle et il ne faut pas négliger cet enjeu qui peut être fatal à une structure.

Aujourd’hui, les entreprises doivent mettre en place des dispositifs de sécurisation et des plans de prévention ! Anticiper le risque pour mieux le prévenir demain, c’est ça la règle. Réfléchir à un plan de sauvegarde est essentiel (via notamment un système de backup externalisé), tout comme définir des droits adaptés à vos utilisateurs, tout en les formant :  voilà trois règles à suivre, sans modération !

certification iso 27001

Nos équipes l’ont bien compris et c’est pour cela que nous proposons des infrastructures hautement disponibles à nos clients et ce, afin qu’ils bénéficient d’un dispositif de sauvegarde en cas de souci. Et en parallèle de nos offres, nous travaillons activement au passage de la certification ISO 27001 afin de garantir des dispositifs d’hébergement hautement sécurisés.

Contactez-nous

Autres actualités