Être victime d'une attaque par rançongiciel peut arriver à n'importe quelle société.

Vous pensiez que ce genre de tuile n’arrivait qu’aux autres, mais voilà : c’est tombé sur vous. Vos fichiers les plus précieux ont été chiffrés par un intrus et sont désormais illisibles. Il faut se rendre à l’évidence, vous venez d’être victime d’un rançongiciel, ces logiciels malveillants qui chiffrent les données d’une victime, pour ensuite demander une rançon en échange de la clé de déchiffrement. Alors, comment faire pour se tirer de ce mauvais pas ?

Que la cause du problème soit une mauvaise hygiène informatique ou un hameçonnage non détecté, commencez à riposter dès que vous découvrez l’intrus. « On arrache les câbles et on voit après, confirme Florent Curtet, le patron de Neo Cyber, une société spécialisée dans le test d’intrusion et la réponse à rançongiciel. Certains vont vous dire qu’il vaut mieux segmenter, mais il n’y a pas de temps à perdre. »

Source : Louise Audry pour Numerama

Isoler son système d’information

C’est également ce que préconise l’Anssi, le cyber-pompier de l’État, qui appelle à isoler au plus vite son système d’information. Pourquoi ? Parce que vous n’avez peut-être pas encore touché le fond. Il est possible que l’attaquant n’ait pas encore eu le temps de se propager dans votre informatique ni d’exfiltrer des données internes qui lui permettront de vous faire chanter.

Bien souvent, hélas, quand vous découvrez que vous avez été infecté, l’intrus a déjà installé sa tente dans votre jardin. C’est ce qui est arrivé il y a quelques semaines à une société spécialisée dans les enquêtes financières. Son informatique est tombée entre les mains du gang Everest. De quoi donner des sueurs froides à ses dirigeants : des mails internes à la production d’enquêtes, cela représente une masse importante de données confidentielles en fuite.

Malgré la gravité de la situation, il est important de rester calme : prenez un crayon et un grand carnet pour coucher sur le papier le déroulé des événements. Ce grand registre va vous permettre de savoir à tout moment où vous en êtes. Il est d’ailleurs temps de mettre en place une cellule de crise. Cette structure sera chargée de définir la stratégie de communication et d’identifier les problèmes posés par l’infection, ainsi que la manière de les résoudre. Réunissez enfin les dirigeants et la direction informatique pour faire le point.

Conserver un maximum de preuves

Pour remettre votre système d’information d’aplomb, il est possible de consulter une société spécialisée qui se chargera d’identifier la source de l’infection et de faire le ménage. Si vous ne savez pas vers qui vous tourner, vous pouvez vous rendre sur cette page de l’organisme gouvernemental Cybermalveillance. Demandez bien à votre prestataire ou à votre service technique interne de conserver un maximum de preuves, comme un exemple de message piégé ou les fichiers de journalisation du pare-feu. Ces éléments seront importants dans les investigations judiciaires qui pourraient suivre.

Il faut également déposer plainte, en contactant éventuellement un service judiciaire spécialisé — certains policiers ou gendarmes peu au fait de cette criminalité peuvent parfois ne pas comprendre l’urgence de la situation. Prévenez aussi votre assurance, qui va dépêcher un expert. Et communiquez sur la crise, en interne et en externe, notamment à la Cnil s’il y a eu une violation de données à caractère personnel : c’est une obligation légale. Ce genre de situation ne doit pas être dissimulée, d’autant que les cybercriminels rendent parfois eux-mêmes leur méfait public sur un site vitrine, avec un compte à rebours anxiogène suggérant que les données volées seront révélées si le paiement n’est pas versé. Touché en novembre 2020, un bailleur social breton a ainsi dû avertir ses locataires qu’un attaquant avait pu avoir accès à leurs données personnelles.

Payer la rançon ne garantit pas que les problèmes seront résolus

Et maintenant ? Qu’allez-vous faire de la demande de rançon ? Comme de trop nombreuses entreprises encore, la société d’enquêtes financières victime du gang Everest dont on vous parlait plus haut n’avait pas de sauvegarde. Elle était donc prise à la gorge par l’attaquant, qui lui demandait 200 000 euros. L’entreprise n’a pas révélé publiquement si elle avait versé ou non la somme demandée. La demande de rançon a en tout cas, elle, disparu du site du gang attaquant.

Verser la rançon est une stratégie très discutée. De nombreuses victimes ont besoin de remettre la main sur leurs données en urgence, afin de relancer leur activité. Alors elles passent à la caisse pour éviter la banqueroute. Il existe du reste des sociétés qui assistent les victimes dans la négociation du montant de la rançon. Il faut toutefois préciser que cette activité n’est pas vue d’un très bon œil par l’Anssi ni par les autorités judiciaires. L’Ansii déconseille de payer la somme demandée, jugeant que cela met en place un cercle vicieux encourageant cette forme de criminalité. Qui plus est, le paiement de la rançon ne permet pas toujours de reconstituer les fichiers chiffrés et il n’est en aucun cas l’assurance de ne pas être pris à nouveau pour cible.

Il existe d’ailleurs des cas où la victime a pu récupérer ses données sans payer les cybercriminels. Plusieurs sites — No More Ransom, Emsisoft ou encore Bleeping Computer, pour ne citer qu’eux — proposent ainsi des décrypteurs, ces logiciels qui vont casser les algorithmes de chiffrement. Que vous ayez payé ou non, essayez en tout cas de repartir du bon pied. Mettez en place un système de sauvegarde pour vous protéger des effets de ce type d’attaques. Et essayez de sensibiliser vos agents en envoyant de faux mails malveillants pour voir s’ils mordent à l’hameçon. La préparation est clé. Dans ce domaine, la question est en effet de moins en moins de savoir « si » l’on se fera attaquer un jour, mais plutôt « quand ».

Crédit photo de la une : Louise Audry pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux