Comment protéger votre start-up des rançongiciels

0
104

Les cyberattaques compliquent bien la vie des internautes. Les rançongiciels — ou ransomwares — représentent l’une des formes d’attaques les plus destructrices utilisées par les hackers.

Tribune GlobalSign – Du fait de leur accélération et de leur intensification, elles font malheureusement toujours plus de victimes chaque jour. Ainsi, WannaCry, le rançongiciel à la une des médias ces dernières semaines, aurait infecté plus de 300 000 ordinateurs à travers plus de 150 pays.

Les petites entreprises et start-ups sont particulièrement vulnérables à ce type de cyberattaques. Rien que l’an dernier, 43 % des attaques commises ont ciblé de petites entreprises — un nombre en constante augmentation. Or, lorsque les budgets sont réduits et que les ressources viennent à manquer, toute velléité de récupérer vos données, de retrouver l’assaillant ou même de payer la rançon se retrouve presque systématiquement balayée.

Pour empêcher que ces attaques ne mettent en péril votre activité au quotidien, il est essentiel de mettre au point une stratégie de prévention contre les rançongiciels.

Qu’est-ce qu’un rançongiciel ?

Un rançongiciel est un type de malware qui accède au système d’exploitation d’un appareil et chiffre les données pour empêcher l’utilisateur d’y accéder. Pour débloquer l’accès à ses données, l’utilisateur doit payer le montant de la rançon exigée par le pirate.

Tant que la rançon n’est pas versée, le hacker refuse de déchiffrer ou de restituer les fichiers à votre entreprise. Mais qui nous dit qu’une fois la rançon payée, nos données nous seront renvoyées ou que le pirate n’aura pas conservé une copie pour lui ? Impossible d’être certain…

Types de rançongiciels susceptibles d’attaquer votre start-up

Pour éviter d’être victime d’un ransomware, vous devez connaître les différentes formes d’attaques et leur intensité. Certains signes peuvent vous mettre la puce à l’oreille sur le type de rançongiciel qui piège les données système.

Scareware

Contrairement à ce que son nom anglais indique (scare = faire peur), ce type de ransomware n’est pas aussi effrayant qu’il y paraît. C’est aussi le moins nocif. En cas d’attaque par un scareware, la machine infectée affiche un message d’alerte indiquant la présence de nombreux problèmes dans le système. Ces alertes s’appuient sur de faux antivirus ou des outils de nettoyage fallacieux pour exiger de l’argent en échange de la résolution des problèmes indiqués.

Dans ce genre d’attaque par ransomware, le système continue de fonctionner et les données sont généralement à l’abri. Mais, si on laisse traîner le problème, les fenêtres d’alerte risquent de se multiplier, annonçant la « découverte » de nouveaux problèmes dans le système.

Rançongiciel avec verrouillage d’écran

Si en démarrant son ordinateur, une fenêtre « se gèle », c’est qu’un rançongiciel avec verrouillage d’écran est peut-être installé sur la machine. Ce ransomware affiche parfois le logo du FBI ou du ministère américain de la Justice sur un plein écran verrouillé, arguant du fait que l’utilisateur a participé à un acte illégal — d’où la sanction financière exigée.

Rançongiciel chiffrant ou cryptovirus

Le rançongiciel chiffrant est au final le plus connu et le plus difficile à mettre hors d’état de nuire ; c’est le type de ransomware utilisé par WannaCry, l’attaque de grande ampleur précédemment citée. Comme son nom l’indique, le rançongiciel chiffrant chiffre les fichiers de la machine piégée, et exige de l’argent pour les déchiffrer. C’est l’un des ransomwares considérés comme les plus nocifs car, une fois pris dans les mailles de son filet, les chances de récupérer ou d’accéder à ses données sans avoir à payer sont extrêmement faibles.

Comment éviter les rançongiciels ?

Afin de protéger au mieux son ordinateur d’une attaque par ransomware, il convient de suivre des mesures de précaution précises, détaillées ci-dessous. Toutes ces méthodes aideront à prévenir une invasion de rançongiciels, sans débourser un centime.

Sauvegardez vos données

L’essentiel est de créer un support de sauvegarde pour tous les fichiers de données sensibles et importants. On peut utiliser le stockage en mode cloud (de nombreux services sont gratuits en dessous d’un seuil de données à stocker) pour conserver un enregistrement et une copie de ses précieuses données. On peut également utiliser des disques amovibles pour gérer les sauvegardes de données.

Cela n’empêchera pas un hacker d’accéder aux systèmes, mais l’utilisateur pourra toujours accéder à ses fichiers et supprimer le ransomware pour récupérer ses données d’entreprise les plus précieuses.

Muscler son antispam et la sécurité de sa messagerie

Pour son attaque par rançongiciel, le hacker diffuse son malware à l’aide de botnets et inonde la messagerie. Il crée un lien qui télécharge instantanément le malware à partir d’un e-mail et n’a plus qu’à attendre que l’utilisateur tombe dans le piège. Les dernières évolutions des logiciels de messagerie permettent justement de régler et de modifier ses filtres antispam. Il est essentiel de penser à modifier les paramètres de son filtre antispam pour empêcher que les e-mails infectés n’arrivent jusque dans sa boîte de réception.

Apprendre à ses collaborateurs à identifier les e-mails de hameçonnage (ou phishing)

Cette mesure simple, mais essentielle, peut être utile pour maintenir son réseau à l’abri des ransomwares. Les hackers utilisent souvent ces e-mails piratés pour piéger les utilisateurs en les incitant à télécharger de dangereuses pièces jointes. Les tests de simulation de phishing permettent d’initier ses collaborateurs aux principales tactiques ; une méthode éprouvée pour leur éviter de faire partie des victimes.

Installer un pare-feu et un antivirus

La plupart des ransomwares ont besoin d’une connexion aux serveurs de commande et de contrôle pour récupérer les clés nécessaires pendant le processus de chiffrement. Pour empêcher que les données ne soient chiffrées par le virus, il suffit d’un pare-feu comme Windows Firewall ou d’autres applications de pare-feu qui peuvent facilement reconnaître ce type de trafic et le bloquer. Ainsi, l’attaque est tuée dans l’œuf.

Bloquer les extensions de fichiers à risque

Les extensions comme .pif, .cmd, .bat, .scr, .vbs, .rtf, .docm. rar. .zip, .js, .exe sont des pièces jointes dangereuses qui peuvent contenir des chevaux de Troie de rançon. Il est recommandé de configurer sa messagerie pour bloquer les messages entrants présentant un contenu potentiellement dangereux.

Bloquer toute pièce jointe qui exige l’activation de macros dans les documents Office ou l’exécution de scripts.

Éviter d’utiliser les services distants

Parfois, les assaillants derrière les ransomwares utilisent des applications de support à distance pour infecter une machine. Ce fut notamment le cas d’une attaque par ransomware lancée par surprise en mars 2016 via l’application de support à distance TeamViewer. Pour empêcher ce type d’attaque, il est recommandé de mettre en place une authentification à deux facteurs en cas de connexion à un service distant.

Renommer le fichier « vssadmin.ext »

Un pirate peut utiliser le fichier vssadmin.exe et accéder à la commande Delete Shadows/All/Quiet pour supprimer les copies fantômes des volumes de fichiers. En procédant ainsi, il empêche l’utilisateur d’accéder aux dernières versions restaurées de ses fichiers.

Conseil : renommer le fichier vssadmin.exe pour empêcher le hacker derrière le ransomware de trouver le fichier et de le supprimer.

En dernier ressort : trouvez un décrypteur

Si l’utilisateur est toujours sous le coup d’une demande de rançon, il a de la chance si « son » rançongiciel a déjà été percé à jour par un expert en sécurité. Il existe de nombreux outils gratuits pour déchiffrer les fichiers pris en otage par les rançongiciels. Ne pas hésiter à les parcourir pour trouver celui qui correspond à « son » ransomware et qui permettra de récupérer les données.

Conclusion

Dans le contexte actuel de cyber-menace, les rançongiciels peuvent causer de lourds dégâts dans l’entreprise, voire paralyser complètement son activité. N’attendons pas d’être victime de ce genre d’attaques en croisant les doigts qu’un outil de déchiffrement des données bloquées soit publié. Et comme il vaut mieux prévenir que guérir, il est nécessaire d’apporter quelques modifications à son système d’information.

Si l’on n’est pas un pro en informatique, il est important de faire appel à un consultant IT pour mettre à jour et paramétrer son réseau — intervention qui ne devrait pas lui prendre plus d’une journée. Ne pas s’arrêter en si bon chemin : rappeler son consultant tous les 3 à 6 mois pour effectuer les mises à jour et configurations au gré des nouvelles bonnes pratiques. Le secteur informatique évolue en permanence et si l’on n’est pas protégé contre les dernières vulnérabilités, l’entreprise se retrouvera exposée au vol de données et aux attaques par rançongiciels.