Ransomwares : Chères données volées

Après LinkedIn et Gmail, quelle autre grande entreprise sera la prochaine victime des cybercriminels ? Alors qu'on la pensait bien protégée. Les grands groupes sont concernés par ce danger croissant aussi bien que les start-up. Et, à chaque fois, ce sont des millions de données personnelles, privées, confidentielles qui se trouvent sous la menace d'être divulguées sur les canaux les plus indésirables. Malaise général.

Alors, prêt à payer 700 000€ pour récupérer des fichiers précieux dérobés par des hackers ? Les victimes de ces demandes de rançons n'ont pas toujours le choix. C'est malheureusement ce que croient, prises de paniques, un trop grand nombre d'entreprises.

Des rançons à six chiffres

Mais d'où sort cette idée folle de demander la somme astronomique de 700 000€ ? C'est le tarif. Traduisez : le montant moyen extorqué aux entreprises par les auteurs de ce type de forfait en 2021. Soit 3 fois plus qu'en 2020. Et 3500 fois plus qu'en 1989 ! Le secteur public est moins touché. Il est considéré sans doute comme un vivier de proies moins rémunératrices. Les cybercriminels sont à même d'établir le montant des rançons en fonction du volume brassé par leurs victimes. Ils savent tout sur elles. Ils sont à la source. Les chiffres le démontrent : le marketing fait partie de la panoplie des hackers aux crocs acérés d'aujourd'hui. Il y a un véritable catalogue de rançons. Les particuliers « bénéficient » d'un tarif plus « low cost » : entre 500 et 1 000€. Il n'en grève pas moins tout aussi injustement leur budget.

Business lucratif

Les petites fuites et les douches froides forcées font les grandes inondations. À l'arrivée, ce sont des millions de dollars que représente aujourd'hui le total des recettes du crime digital au niveau mondial. Pour un investissement très accessible même aux start-up du côté obscur de la force. Du coup, les cybercriminels investissent, s'équipent, expérimentent, se forment et s'améliorent pour produire des virus toujours plus « innovants ». En bons gestionnaires d'entreprises. Les plus nuisibles de ces nouveaux malwares rançonneurs s'appellent Babuk, Locky, Revil Ryuk et Wannacry. Le cynisme provo de certains de ces noms résume bien le problème. On comprend à qui on a affaire.

Attention : double chantage

Complication supplémentaire : les ransomwares ou « rançongiciels » qu'utilisent aujourd'hui les hackers sont toujours plus difficiles à repérer. Pire : ils savent désormais distinguer les données les plus sensibles. Ces véritables sangsues les détectent sur les ordinateurs et serveurs comme sur les smartphones. Il ne leur reste plus qu'à les crypter ensuite afin d'en interdire tout usage à leurs propriétaires. Forfait ciblé. La grande nouveauté du hacking des années 2020 réside précisément dans le fait qu'il ne se contente plus de cryogéniser les données vitales au sein même d'un système pour les rendre inexploitables. Les cybercriminels actuels menacent de diffuser sans états d'âme les informations top secret extorquées. Sur le Darknet notamment. On appelle cela une double peine. Et les voleurs ne tardent pas à mettre la pression. Du coup, la question n'est plus de savoir s'il faut payer ou non. On craint juste d'être jugé trop lent à obtempérer. Et l'on trahit ainsi toute l'importance que l'on accorde au butin rançonné. Résultat : la pression monte encore d'un cran. Si l'on craque, on est bon pour lâcher une fortune pour rien. De préférence en cryptomonnaie.

Une entreprise sur deux touchée

Chantage, rançon, doutes quant à sa sécurité informatique à l'avenir… Cette triple menace aura été une réalité pour plus de 50% des entreprises en 2020. La moitié d'entre elles ont payé la rançon demandée. Et leur cryptage a été levé. Les hackers seraient-ils « réglo » à défaut d'être corrects ? Inutile de leur prêter des valeurs morales. Si la rumeur se répandait qu'il ne sert à rien de payer, ce serait la fin de leur business. C'est le chantage auquel ils s'exposent eux-mêmes en retour. Arroseur arrosé. La fiabilité est de facto dans l'ADN de leur image de marque. Communiquer est ainsi devenu un excellent moyen pour les cybercriminels de renforcer la crédibilité de leurs menaces. Un comble.

Vous souhaitez bénéficier d'un audit de sécurité ?
Prenez un rendez-vous de 15 minutes pour discuter : 

Elsa Bestault
Directrice Commerciale

Payer ou ne pas payer ?

Il convient de rappeler ici qu'environ 75% des entreprises ciblées ont refusé de payer toute rançon en 2020. Plus de 90% de l'ensemble des données dérobées n'en ont pas moins été récupérées. Car plus de 50% des sociétés touchées par le hacking avaient pris soin d'effectuer des sauvegardes systématiques. Ne pas payer, c'est contribuer à assécher l'unique source de financement du hacking. Dans cette guerre économique, il est naturellement recommandé de s'équiper d'un système de sauvegarde incorrigible. Doter de solutions antivirus chaque poste et chaque serveur est pareillement tout sauf un luxe. Mais même une surveillance de tous les instants ne suffit pas pour atteindre le zéro risque.

Origines multiples

D’où viennent les failles ? Le plus souvent d'un problème de sécurisation des formulaires du site internet ou de la configuration du serveur. Mais les voies d'accès à un système que peuvent s'ouvrir les ransomwares sont multiples. Il ne s'agit pas seulement d'attaques à distance directes. Le danger peut venir de partout. D'une bête clé USB comme d'une mauvaise configuration d'instances de Cloud. En passant par les grands classiques que constituent les pièces jointes d'emails malveillantes.

Punis d'avoir été volés

L’idéal reste de procéder à des tests de sécurité automatiques permanents. L'enjeu justifie de tels moyens. Laisser des cybercriminels s’emparer d’informations personnelles dont on a la garde constitue une faute grave pour les instances européennes. Les amendes encourues sont sans commune mesure avec le coût d'un audit permettant de les éviter. Une surveillance systématique s’impose. Mais elle ne garantit pas une constance absolue dans l’inviolabilité d'un système. De nouvelles brèches peuvent s’ouvrir à tout moment. Le responsable s'appelle presque toujours facteur humain. Un intervenant sur le système commet une erreur et ne s’en rend pas compte. Le prochain audit la détectera. Mais dans l'intervalle…

Parades de grandes entreprises

La sécurité est le premier aspect technique inspecté à la loupe lors de tout audit d'un système digital par AODB. L'Alliance est depuis toujours un fournisseur apprécié des grands groupes qui constituent la cible privilégiée des cybercriminels. La recherche des failles devient vite ici une préoccupation de tous les instants. Cette confrontation permanente à la menace d'une attaque permet de ne jamais être en retard d'une guerre face aux hackers. Toute une palette de solutions prêtes à l'emploi a ainsi pu être développée grâce aux expérimentations des grandes entreprises confrontées constamment à des pièges inédits. Elles jouent les ouvreurs pour tous. Malgré elles.

L'erreur d'être humain

Programmer des tests de sécurité automatiques permanents s'avère la première mesure préventive à prendre. Mais elle ne constitue pas une garantie d'inviolabilité absolue. Car le vecteur numéro 1 d'ouvertures de brèches dans un système digital reste le facteur humain. Il suffit d'oublier de sécuriser un seul petit fichier à l'installation d'un nouveau logiciel sur un serveur pour générer, sans s'en rendre compte une faille fatale dans son système de défense. Scénario classique.

À hacker, hacker et demi

La meilleure solution pour se prémunir contre les hackers consiste à penser comme eux.En charge des audits de sécurité, le Directeur technique d'AODB se montre un champion en la matière. Il a développé un tel art du mimétisme dans cette identification qu'il parvient désormais percevoir au premier regard 90% des failles par lesquelles des hackers malins auraient beau jeu d'entrer dans un système. Son diagnostic après un examen plus approfondi fait toujours autorité. On peut se fier à son expertise et sa connaissance à 360° des erreurs et méfaits digitaux possibles. Quand il garantit qu'un système est nickel en termes de sécurité, c'est comme si un hacker le certifiait !

En formation de combat

Ce savoir-faire impressionnant ne doit pas rester rare. AODB propose des formations pour s'initier aux bonnes pratiques et savoir faire face à l'inattendu. On y devient meilleur en apprenant à se faire plus méchant. Tout l'art ici consiste à savoir procéder comme les criminels eux-mêmes : se former, s'équiper, expérimenter et s'améliorer. Pour se montrer toujours d'attaque en défense.

(Sources : Sophos, Securelist)