Ransomware : vos données au risque de la prise d'otage

Avec le CryptoLocker et ses cousins, les hackers sont passés à la vitesse supérieure faisant entrer le malware dans l’ère de la rentabilité. Le Ransomware est une tendance forte en 2016, apparaissant comme le cauchemar informatique du moment. Retour sur un début d’année mouvementé…

Qu’est-ce qu’un ransomware?

Le CryptoLocker appartient à la famille Trojan ransomware, dans la rubrique chantage et extorsion de fonds. Une fois activé, le programme malveillant entame une procédure de cryptage de vos données et vous envoit, une fois le processus achevé, une demande de rançon par l’intermédiare d’un programme de paiement. Le malware CryptoLocker n’est pas une nouveauté, son origine remonte au botnet Gameover ZeuS en 2013, mis en échec en 2014 grâce à l’opération « Tovar ». Mais l’idée était pour le moins lucrative et les clones se sont multipliés. A l’origine, ce logiciel malveillant ne s’attaquait qu’à des machines Windows et principalement à des particuliers.

L’inquiétude des experts se porte aujourd’hui sur la multiplication des attaques visant les entreprises.

Le plus récent exemple de prise en otage d’un système d’information illustre parfaitement les risques engendrés par ce type de menace. C’est l’attaque du réseau informatique du Hollywood Presbyterian Medical Center de L.A. Le malware a pris le contrôle du réseau de l’établissement hospitalier pendant deux semaines, bloquant l’ensemble des systèmes.

Tout a débuté le 5 février de cette année, les équipes n’étant plus en mesure d’accéder au réseau interne et se trouvant de fait dans l’incapacité de traiter les patients. Jusqu’à ce que l’hopital décide finalement de payer 16.900 $ en Bitcoin aux « preneurs d’otages » afin d’obtenir une clé de décryptage.

Le secteur Santé : une des cibles privilégiées des cyberattaques

Cette attaque a été suivie dans la même semaine par deux autres attaques visant des hopitaux allemands. Ces deux établissements ont mieux géré la situation. D’abord alertés par une lenteur inhabituelle du réseau, des alarmes déclenchées par la connexion des équipements radiologiques qui ne pouvaient plus accéder aux applications leur permettant de fonctionner, leur ont permis de détecter et de circonscrire la menace. Le contrôle de la crise en Allemagne résulte d’une meilleure gestion des comptes et des accès et d’un cloisonnement efficace des réseaux. Bien sûr, les opérations chirurgicales sensibles ont été reportées et le retour à la normale est passé par un véritable Back to the 90s et par l’utilisation temporaire d’outils de travail traditionnels, fiches papiers, rendez-vous par téléphone, fax, etc.

Les PII, Personally identifiable information, les données les plus convoitées au sein des réseaux médicaux

D’après le rapport Trend Micro sur les fuites de données , 29,8% des cybercrimes reposant sur des usurpations d’identité on touché le secteur médical et santé entre 2005 et 2015, plaçant le secteur retail à 15,9%. Pourquoi? D’abord parce que c’est le secteur qui concentre le plus d’informations personnelles et confidentielles (PII, Personally identifiable information) pouvant être utilisées par les hackers pour usurper des identités ou être revendues.

Contrairement aux informations relatives aux cartes de crédit ou aux informations de paiement, les données personnelles sont permanentes : on ne change pas d’identité comme on change de numéro de compte ou de mot de passe paypal. La protection des données en milieu médical est un vrai sujet d’attention car elles figurent parmi les plus précises et les plus complètes, donc les plus susceptibles d’intéresser ces cybercriminels. (Pour en savoir plus sur cette question téléchargez notre livre blanc sur l’hébergement des données de santé).

D’autre part, le secteur santé est devenu la cible privilégiée des hackers car un hopital constitue une cible de choix pour un ransomware. Et ce pour des raisons qui tiennent à la responsabilité des acteurs hospitaliers face au patient, qui n’est pas qu’un simple client mais dont la santé, voire la vie, peut être mise en péril par un blocage des systèmes.

Enfin, si le secteur financier, suivi par celui du commerce (retail), s’est relativement bien préparé ces 10 dernières années à répliquer aux menaces informatiques, le secteur santé, tout comme ceux de l’industrie ou des médias, n’en sont encore au stade de la prise de conscience de la vulnérabilité des infrastructures informatiques.

Cela étant, tout les secteurs de l’économie peuvent être victime de logiciels rançonneurs. Il convient donc de se préparer à affronter un jour ou l’autre la menace.

Comment protéger vos données, celles de vos clients ou de vos patients, contre les Ransomwares ?

A la question : – quelles sont les contre-mesures à mettre en œuvre pour éviter le piège des Ransomwares? – La première réponse est préventive. Il s’agit d’inciter à une vigilance accrue sur les opérations effectuées sur votre système d’information.

Des politiques de sécurité moins laxistes

Tout commence en fait par la mise en place de bonnes pratiques. Simplement. Car, on le sait, la porte d’entrée est le plus souvent l’utilisateur qui clique sur la mauvaise pièce jointe… Ici, l’éducation est au centre de la question : Ne pas cliquer sur n’importe quoi, même si le message éveille l’inquiétude, la curiosité ou l’appât du gain. Internet est malheureusement un monde de prédateurs et d’individus malveillants et le mot d’ordre « think before you click » s’applique ici de plein droit.

Un contrôle plus rigoureux des accès à l’information

Ne partagez pas les accès à vos fichiers ! Les ransomwares ne sont pas des virus à proprement parler et ne peuvent donc se multiplier sur le réseau. Toutefois, ils sont programmés pour crypter le maximum de fichiers et comme ils utilisent vos permissions et partages, le cryptage de vos documents peut s’étendre vers le cloud, vos périphériques, vos disques partagés, et crypter des dizaines de miliers de fichiers à partir d’un seul poste de travail.

D’où l’intérêt de disposer de clouds sécurisés, (Pour en savoir plus, lisez http://blog.wallix.com/fr/cloud-computing-quest-ce-que-le-cloud-account-hijacking), c’est-à-dire disposant de passerelles d’accès sécurisées et monitorées, capables de détecter des opérations inhabituelles du type cryptages en séries provoqués par des ransomwares CryptoLockers.

Une saine gestion des mots de passe

Qui dit contrôle d’accès dit saine gestion des mots passe. On considère généralement que 30 % des mots de passe actifs sur les serveurs informatiques correspondent à des utilisateurs qui ne devraient plus avoir de droit d’accès sur ces serveurs !   Pour gérer facilement l’ouverture et la suppression des droits d’accès aux équipements d’un système d’Information, des solutions centralisées de gestion des mots de passe s’imposent. D’autre part, Il faut en finir définitivement avec les comptes partagés. Comment détecter une infection et y remédier quand il est impossible de savoir depuis quel poste le malware s’est propagé parce qu’une demi-douzaine de personnes utilisent le même mot de passe?

Des outils de monitoring et de détection des anomalies

Il existe des solutions de détection des comportements malveillants pouvant prendre de vitesse le travail des CryptoLokers. De façon plus générale, un outils centralisé permettant le contrôle, l’enregistrement et la traçabilité des connexions, capable de générer des alertes sur connexion innapropriée à un serveur ou à une application, pourra mettre en évidence toute tentative de pénétration et de cryptage malveillant et permettre une réponse rapide par cloisonnement de la menace.

Pour protéger le système d’information, il est indispensable de limiter les privilèges d’administration de vos utilisateurs.

Enfin, il est impératif que vos utilisateurs à privilèges, administrateurs internes, managers, ou sous-traitants et infogérants, ne disposent pas de privilèges locaux, c’est-à-dire des mots de passe des équipements, serveurs et applications, mais qu’ils se connectent par l’intermédiaire de proxys sécurisés, et bien évidemment que les mots de passe utilisés aient une durée de vie limitée à la durée de la mission.

En effet si jamais un utilisateur active un ransomware, et que cet utilisateur dispose de privilèges administrateurs, non seulement sur son poste mais sur des équipements du réseau, les dégats peuvent être considérables et s’étendre à l’ensemble du système. Le malware agira tel un utilisateur à privilèges en s’introduisant d’autant plus profondément qu’il disposera d’accès privilégiés non contrôlés.

Pour en savoir plus sur les solutions permettant de mieux gérer les utilisateurs à privilèges, téléchargez notre livre blanc, ou accédez à la démo WAB suite.

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Ransomware : vos données au risque de la prise d'otage

Qu’est-ce qu’un ransomware?

Le secteur Santé : une des cibles privilégiées des cyberattaques

Comment protéger vos données, celles de vos clients ou de vos patients, contre les Ransomwares ?

Des politiques de sécurité moins laxistes

Un contrôle plus rigoureux des accès à l’information

Une saine gestion des mots de passe

Des outils de monitoring et de détection des anomalies

Produits

Solutions

Ressources

À propos