Actualités

Un ransomware (rançongiciel) qui a fait trembler le monde

Depuis le vendredi 12 mai, le ransomware Wannacry (« tu veux pleurer ») aurait infecté plus de 200.000 ordinateurs selon Europol. Cette escroquerie serait le fruit d’opportunistes ayant recyclé un logiciel espion développé par la NSA pour profiter d’une faille de Microsoft Windows.

Ce ransomware propage un ver informatique (worm) via un ordinateur sur les réseaux d’une entreprise via un ordinateur. Le logiciel malveillant crypte les données du réseau de l’entreprise infectée. Les cyber-criminels peuvent alors réclamer une rançon contre la clé de décryptage.

Comment la propagation d’un ransomware est-elle possible ?

La faille exploitée par WannaCry concerne essentiellement de vieilles versions du système d’exploitation Windows (ex : Windows XP…) et des versions non mises à jour. L’éditeur, à titre exceptionnel, a mis à disposition un correctif pour ses systèmes obsolètes. Téléchargeable ici

Cependant dans les entreprises et administrations, les utilisateurs ne peuvent pas faire eux-mêmes les mises à jour. Seuls les administrateurs le peuvent.

Peut-on se protéger contre un ransomware ? 

La mise à jour de votre système d’exploitation, c’est comme se brosser les dents tous les jours, c’est une bonne habitude à avoir. Si vous ne pouvez le faire vous mêmes assurez-vous que votre service ou responsable informatique le fasse.

Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.

De manière préventive il n’est pas possible de mettre à jour un serveur. Mais sachez que l’équipe d’Ostin vérifie tous les serveurs de ses clients et leur envoie des rappels réguliers des règles de sécurité.

Recommandations de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)

Pour prévenir les risques

  • Effectuez des sauvegardes fréquentes . Ainsi, en cas de chiffrement du disque dur, une restauration des données sera possible.
  • N’ouvrez pas les courriels dont vous n’êtes pas certain de l’expéditeur. Vérifiez l’adresse d’envoi. Méfiez-vous des courriels imitant les adresses de correspondants que vous connaissez. Les attaquants peuvent avoir identifié leurs noms (organigramme d’une entreprise par exemple) pour vous induire en erreur. En cas de doute n’ouvrez pas les pièces jointes.
  • Évitez l’ouverture de pièces jointes de type SCR ou CAB (extensions de compression actuellement utilisées dans la campagne CTB-LOCKER).
  • N’ouvrez pas vos courriels, et ne naviguez pas depuis un compte ayant des autorisations « Administrateur ».
  • Créez un compte « Utilisateur ».
  • Utilisez un antivirus et mettez régulièrement à jour sa base de signatures. De même, effectuez toutes les mises à jour logicielles et système.

En cas d’incident

  • Déconnectez immédiatement votre poste de l’Internet (arrêt du WiFi, câble Ethernet débranché).
  • Ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).
  • Effectuez ou faites effectuer une restauration de votre ordinateur. Il faut reformater le poste et réinstaller un système sain puis restaurer les copies de sauvegarde des fichiers perdus, lorsqu’elles sont disponibles.
  • Portez plainte au commissariat de votre domicile.

 

En résumé :

  1. Ne pas ouvrir les mails, ni leurs pièces attachées ou leurs liens, lorsqu’ils ne proviennent pas d’une source connue. Et même là, s’interroger sur leur origine (le contenu est-il attendu ? est-ce un mail rédigé comme d’habitude ?)
  2. Avoir un bon antivirus à jour
  3. Avoir en permanence une sauvegarde de 7 jours en place et vérifiée

 

Il est indispensable de pouvoir revenir à une situation antérieure, même si cela doit prendre 75h00.

Partager