[fullwidth background_color= » » background_image= » » background_parallax= »none » enable_mobile= »no » parallax_speed= »0.3″ background_repeat= »no-repeat » background_position= »left top » video_url= » » video_aspect_ratio= »16:9″ video_webm= » » video_mp4= » » video_ogv= » » video_preview_image= » » overlay_color= » » overlay_opacity= »0.5″ video_mute= »yes » video_loop= »yes » fade= »no » border_size= »0px » border_color= » » border_style= » » padding_top= »20″ padding_bottom= »20″ padding_left= » » padding_right= » » hundred_percent= »no » equal_height_columns= »no » hide_on_mobile= »no » menu_anchor= » » class= » » id= » »][one_full last= »yes » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= » » padding= » » margin_top= » » margin_bottom= » » animation_type= » » animation_direction= » » animation_speed= »0.1″ animation_offset= » » class= » » id= » »]

Les données ont de la valeur, les vôtres encore plus !

On le sait, aujourd’hui  la monétisation de la « Data » est l’un des axes majeurs de l’activité digitale. Toutefois être conduit à racheter ses propres données peut paraître ubuesque. C’est pourtant sur ce paradoxe que se base le principe du « RansomWare ».

Bien qu’affichant une progression fulgurante en 2016 et une rentabilité par opération pouvant atteindre 1500 %, le but de cet article n’est pas de faire la promotion de cette activité mais surtout d’éviter que vous n’en deveniez client !

Le Ransomware : Racket 2.0

Le terme Ransomware est un néologisme issu des termes anglais « Ransom » (rançon) et « Ware » (relatif au logiciel) francisé sous le terme « Rançongiciel » peu usité. Il désigne un programme informatique ayant pour finalité l’extorsion de fonds.

Principes :

Par différents vecteurs des pirates informatiques parviennent à introduire dans votre système d’information un programme malveillant (Malware) qui va crypter vos données et vous les rendre inutilisables.

Ces cybercriminels vont ensuite vous communiquer les instructions pour verser la « rançon« . Celle ci est majoritairement demandée en crypto-monnaie Bitcoins du fait de l’anonymat possible des transactions. En échange de cette rétribution, ils vous vous communiquent ( ou pas !) la clé de décryptage vous permettant d’accéder à nouveau à vos informations.

[/one_full][one_full last= »yes » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= » » padding= » » margin_top= » » margin_bottom= » » animation_type= » » animation_direction= » » animation_speed= »0.1″ animation_offset= » » class= » » id= » »][imageframe lightbox= »no » gallery_id= » » lightbox_image= » » style_type= »none » hover_type= »none » bordercolor= » » bordersize= »0px » borderradius= »0″ stylecolor= » » align= »none » link= » » linktarget= »_self » animation_type= »0″ animation_direction= »down » animation_speed= »0.1″ animation_offset= » » hide_on_mobile= »no » class= » » id= » »] [/imageframe]

Ransomware timeline (Source: Microsoft)

[/one_full][one_full last= »yes » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= »solid » padding= » » margin_top= » » margin_bottom= » » animation_type= »0″ animation_direction= »down » animation_speed= »0.1″ animation_offset= » » class= » » id= » »]

2016 l’année du Ransomware :

S’il est une activité « digitale » qui à crû cette année c’est bien celle du « RansomWare ». Les chiffres évoqués par les autorités et les éditeurs de solutions de sécurité (Kaspersky Lab, Bitdefender, Mc Afee Labs, Intels..) sont parlants :

  • 2,2 Millions de français touchés par un ransomware
  • Une activité multipliée par 5 au regard des mois précédents
  • 500000 Connexions aux serveurs de commande du Ransomware « Locky » dans la seconde moitié de février 2016.

Cette croissance s’explique notamment par les revenus engendrés qui ont conduit des « organisations structurées à rayonnement international » à s’y focaliser, d’autant que les sanctions encourues sont relativement moindres au regard d’autres activités illégales, pour des revenus comparables

exemples:

  • Retour sur investissement  de 1500 %  pour une campagne
    (le retour en un mois pourrait atteindre 90000 €, pour une mise de fonds de l’ordre de 5000 €)
  • Un réseau  récemment démantelé avait généré plusieurs Millions de $ en 2 mois !
  • Un cybercriminel aurait prétendu avoir récolté plus de 100 Millions de $ en une demi année, en ciblant les établissements hospitaliers.

Quelques éléments complémentaires :

[/one_full][two_fifth last= »no » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= »solid » padding= » » margin_top= » » margin_bottom= » » animation_type= »0″ animation_direction= »down » animation_speed= »0.1″ animation_offset= » » class= » » id= » »][checklist icon= »fa-check » iconcolor= » » circle= » » circlecolor= » » size= »13px » class= » » id= » »][li_item icon= »fa-play »]Augmentation de 260 %  des attaques en France (35 % dans le monde)[/li_item][li_item icon= »fa-play »]Plus de 4,1% de la population touchée aux Etats Unis. 50% auraient payé la rançon.[/li_item][li_item icon= »fa-play »]Des rançons généralement entre 0,5 et 1 Bitcoin pour les « particuliers »[/li_item][li_item icon= »fa-play »]24,6 % des entreprises américaines prêtes à payer une cyber-rançon.[/li_item][li_item icon= »fa-play »]Près de 14% des entreprises U.S. prêtes à régler un montant supérieur à 1 Million de dollars.[/li_item][/checklist][/two_fifth][three_fifth last= »yes » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= »solid » padding= » » margin_top= » » margin_bottom= » » animation_type= »0″ animation_direction= »down » animation_speed= »0.1″ animation_offset= » » class= » » id= » »][imageframe lightbox= »no » gallery_id= » » lightbox_image= » » style_type= »none » hover_type= »none » bordercolor= » » bordersize= »0px » borderradius= »0″ stylecolor= » » align= »none » link= » » linktarget= »_self » animation_type= »0″ animation_direction= »down » animation_speed= »0.1″ animation_offset= » » hide_on_mobile= »no » class= » » id= » »] [/imageframe]

(Source : Kaspersky Labs)

[/three_fifth][one_full last= »yes » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= » » padding= » » margin_top= » » margin_bottom= » » animation_type= » » animation_direction= » » animation_speed= »0.1″ animation_offset= » » class= » » id= » »]

Cette évolution est également due à la facilité de se procurer sur le « dark Web » des Kits près a l’emploi pour « industrialiser » des campagnes de ransomware. Des solutions RAAS  (ransomware as a service) où les pourvoyeurs se rémunèrent sur les profits de leurs clients Cyber-Pirates sont même disponibles. De plus ces solutions intègrent tout les fonctionnalités nécessaires pour faciliter le « Parcours Client« , dès lors qu’il est malencontreusement entré dans le « Tunnel de conversion« .  Parmi ces fonctions : Génération du package et gestion du règlement en bitcoin, Faq, Assistance à distance..

Les moyens de propagation utilisés.

Presque tous les O.S.  s’avèrent vulnérables  Windows, Linux, Mac OS X, Android … La communication des failles de sécurité peu connues et non encore corrigées dites « Zéro day » font même l’objet d’un « marché » afin de pouvoir les exploiter « en primeur ».

Pour diffuser leurs logiciels malveillants, les cybercriminels s’appuient souvent sur des éléments biens connus du marketing digital : Emailing, Bannières, liens et même désormais des images « piégées » sur les réseaux sociaux. Quelquefois des sites « légitimes » sont infectés à leur insu est servent ainsi de relais de propagation.

[/one_full][one_third last= »no » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= »solid » padding= » » margin_top= » » margin_bottom= » » animation_type= »0″ animation_direction= »down » animation_speed= »0.1″ animation_offset= » » class= » » id= » »]

Un simple email et tout peut basculer !

[/one_third][two_third last= »yes » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= »solid » padding= » » margin_top= » » margin_bottom= » » animation_type= »0″ animation_direction= »down » animation_speed= »0.1″ animation_offset= » » class= » » id= » »][imageframe lightbox= »no » gallery_id= » » lightbox_image= » » style_type= »none » hover_type= »none » bordercolor= » » bordersize= »0px » borderradius= »0″ stylecolor= » » align= »none » link= » » linktarget= »_self » animation_type= »0″ animation_direction= »down » animation_speed= »0.1″ animation_offset= » » hide_on_mobile= »no » class= » » id= » »] [/imageframe][/two_third]

Un « best of 2016 » : Le Ransomware Locky propagé par une fausse facture free mobile – Vous en avez sans doute été destinataire..

Les Emails contenant des liens et de pièces jointes malveillantes sont des vecteurs privilégiés de diffusion des « crypto-verrouilleurs ». Les envois « Spam » adressent des millions d’adresses. L’objet des emails est souvent la transmission d’une facture, un bon de commande, un contrat. Il convient d’avoir une vigilance particulière sur les extension des fichiers en pièce jointe (macros office, exécutables ..).

Face à l’omniprésence de ces menaces, chacun doit se sentir concerné et se prémunir.

[one_full last= »yes » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= » » padding= » » margin_top= » » margin_bottom= » » animation_type= » » animation_direction= » » animation_speed= »0.1″ animation_offset= » » class= » » id= » »][imageframe lightbox= »no » gallery_id= » » lightbox_image= » » style_type= »none » hover_type= »none » bordercolor= » » bordersize= »0px » borderradius= »0″ stylecolor= » » align= »none » link= » » linktarget= »_self » animation_type= »0″ animation_direction= »down » animation_speed= »0.1″ animation_offset= » » hide_on_mobile= »no » class= » » id= » »] [/imageframe][/one_full][one_full last= »yes » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= »solid » padding= » » margin_top= » » margin_bottom= » » animation_type= »0″ animation_direction= »down » animation_speed= »0.1″ animation_offset= » » class= » » id= » »]

Se protéger et réagir.

[/one_full][one_full last= »yes » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= »solid » padding= » » margin_top= » » margin_bottom= » » animation_type= »0″ animation_direction= »down » animation_speed= »0.1″ animation_offset= » » class= » » id= » »]

Pour prévenir ces attaques,  la prudence et le bon sens sont déjà de mise. En effet le premier risque d’ouvrir une porte aux cybercriminels se situe « entre la chaise et le clavier ».

La réduction de ce facteur est prioritaire et passe notamment par :

  • La formation et la sensibilisation des utilisateurs.
    • comportements à adopter pour prévenir et à défaut réagir face à une infection
    • Vigilance liées aux Emails, aux liens, aux visites de sites Web
    • Risques liés aux téléchargements et fichiers, supports amovibles,partages réseaux, Cloud .
    • Activité sur les réseaux sociaux  (Ingénierie Sociale – Images piégées)
  • Charte d’utilisation du système d’information
    • Modalités d’utilisation
    • Gestion de la confidentialité
    • Politique de sauvegarde
[/one_full][one_full last= »yes » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= »solid » padding= » » margin_top= » » margin_bottom= » » animation_type= »0″ animation_direction= »down » animation_speed= »0.1″ animation_offset= » » class= » » id= » »]

En ce qui concerne le système d’information :

  • Gestions des Sauvegardes et de leur controle d’exploitabilité
  • Mise à jour imperative des Systèmes, applications, Plug Ins
  • Installation d’anti-virus, de modules spécifiques « Anti-ransomware »
  • Gestion des Pare – Feu
  • Sécurisation des accès – Gestion des mots de passe.
  • Plan de continuité d’activité
[/one_full][one_full last= »yes » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= » » padding= » » margin_top= » » margin_bottom= » » animation_type= » » animation_direction= » » animation_speed= »0.1″ animation_offset= » » class= » » id= » »]

La lutte s’organise :

Le conseil généralement prodigué est de ne pas payer afin de ne pas être considéré à nouveau comme une cible vulnérable et faire l’objet d’un « retargetting ». Pour faire de la prévention ou accompagner les victimes, des moyens sont mis en oeuvre.

Depuis juillet 2016 Europol s’active à fédérer les éditeurs de solutions de protection et les autorités de police sous initiative « No More Ransom« . Le portail www.nomoreransom.org fournit des informations pour renforcer la protection et également fournir des outils de déchiffrement au regard de certaines menaces.

En complément les principaux éditeurs d’anti-virus ont intégré des protections spécifiques anti-ransomware, et d’autres en proposent ,souvent à titre gracieux, sous forme de modules complémentaires . (cf sites des éditeurs)

 2017 sera l’année du mobile !

Les premiers signes ne trompent pas, les menaces suivent la tendance du digital .. le mobile est roi, avec un facteur de progression de 1 à 4 remonté par les observateurs. le Ransomware sur mobile est en pleine explosion et des rançons sous forme de cartes cadeaux (Itunes, amazon..), ou visionnage de publicités font parallèlement leur apparition.

Conjointement les ransomware relatifs aux drones, aux objets connectés et équipements médicaux sont évoqués. Il convient donc plus que jamais de ne pas baisser la garde et de rester vigilants.

Ressources et illustrations pour aller plus loin

Agence nationale de la sécurité des systèmes d’information

Organisation – No more Ransom 

Sites des éditeurs de solutions de sécurité et Anti-virus

[/one_full][one_full last= »yes » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= » » padding= » » margin_top= » » margin_bottom= » » animation_type= » » animation_direction= » » animation_speed= »0.1″ animation_offset= » » class= » » id= » »]

L’ingénierie d’une infection (Source Cisco)

[/one_full][three_fourth last= »yes » spacing= »yes » center_content= »no » hide_on_mobile= »no » background_color= » » background_image= » » background_repeat= »no-repeat » background_position= »left top » hover_type= »none » link= » » border_position= »all » border_size= »0px » border_color= » » border_style= » » padding= » » margin_top= » » margin_bottom= » » animation_type= » » animation_direction= » » animation_speed= »0.1″ animation_offset= » » class= » » id= » »]
[/three_fourth][/fullwidth]