Zoom sur le phishing et le ransomware

La cybersécurité : une priorité pour les entreprises

Autrefois l’apanage des spécialistes, la cybersécurité peut se définir ainsi : « La cybersécurité est la mise en œuvre d’un ensemble de techniques et de solutions de sécurité pour protéger la confidentialité, l’intégrité et la disponibilité des informations. Cette protection doit couvrir tout le cycle de vie des données, de leur génération et traitement à leur transfert, stockage et élimination. »

Dans cet article, nous allons mettre l’accent sur les problématiques d’hameçonnage (phishing), et de rançongiciels (ransomware), deux types d’attaques qui nous concernent tous. En effet, malgré tous les moyens techniques mis en place afin de contrecarrer les attaques, l’humain reste souvent le maillon faible de la chaîne de sécurité.

C’est pourquoi les pirates exploitent cette faiblesse afin de compromettre un système d’information, cette pratique est celle de l’ingénierie sociale (social engineering). Ici la psychologie joue autant, sinon plus, que la technique.

La pêche aux données

L’hameçonnage ou phishing est une technique d’attaque qui consiste à envoyer un courriel ou SMS à la victime en usurpant l’identité d’un tiers (une entreprise, une administration, etc.), pour l’inciter à réaliser une action telle que communiquer des informations personnelles, professionnelles ou bancaires, ou encore ouvrir un lien ou une pièce jointe infectée par un virus.[1]

La personne cherchant à vous faire cliquer sur un lien malveillant utilisera des artifices pouvant vous faire miroiter un problème technique, financier ou juridique.

Au travail

Nous avons tous déjà reçu ce genre de courriels :

• Votre entreprise a mis en place un système de carte cadeaux pour les fêtes de Noël, afin d’enregistrer votre participation, cliquez sur ce lien.
• Bonjour, je suis « votre N+4 », j’ai besoin d’une information urgente, veuillez m’envoyer le fichier « gestion des paies 2022 » dès que possible.
• Votre mot de passe d’accès à votre compte va expirer dans moins de 24 heures, veuillez cliquer sur le lien suivant pour le modifier.

Ici, le pirate cherchera le plus souvent à tromper votre vigilance en imitant une adresse mail interne, une signature de l’un de vos collègues, ou un message technique se conformant à la charte graphique de l’entreprise. Sans trop vous méfier, vous cliquez machinalement sur le lien présent dans le mail ou fournissez l’information sous peur de représailles de votre management.

Cela peut mener le pirate à agir en votre nom en usurpant votre identité :

• Envoi de fausses communications internes au sein de votre entreprise depuis votre adresse mail,
• Téléchargement de données confidentielles depuis votre adresse email, ou sur les serveurs de l’entreprise,
• Envoi de mails avec une pièce jointe infectée afin de diffuser un programme malveillant,
• Tentative de racket de la personne s’étant fait pirater.

A la maison

Dans un cadre personnel, les types de courriels les plus répandus pourront être :

• Votre colis est bloqué en douane, veuillez cliquer ici afin de régler les frais correspondants afin de le récupérer.
• Une commande de 1248€ a été faite sur votre compte, cliquez ici afin de valider ou non l’opération.
• La sécurité sociale a fait une erreur dans votre décompte annuel ; afin que nous puissions vous rembourser, veuillez nous renvoyer le numéro de votre carte vitale.
• Vous avez été surpris en flagrant délit de consultation de sites pédopornographiques, veuillez-vous justifier en envoyant un email à l’adresse suivante sans quoi votre dossier sera transmis à la brigade de protection des mineurs.

Ainsi, dans ce contexte, ce qui importera pour le pirate est de créer une émotion. Un courriel mentionnant un montant élevé d’une commande que vous n’avez pas faite, une action illégale ou indiquant que votre ordinateur est compromis peut vous faire paniquer ou a minima, vous inquiéter. Une adresse email d’un proche qui aura été piratée vous demandant de l’argent peut déclencher un sentiment d’empathie ou de curiosité.

Vous pouvez également être stressé, fatigué, où faites plusieurs tâches simultanément ; et vous cliquez machinalement sur le lien (vous renvoyant vers le site du pirate qui copie le site de votre vendeur d’électronique préféré ou de la sécurité sociale). Vous envoyez un courriel à l’adresse indiquée, puis vous renseignez les informations demandées, dans l’espoir de voir cette mauvaise nouvelle disparaitre.

Malheureusement vous avez désormais communiqué des informations personnelles à un tiers qui peut en faire l’usage de manière malveillante.

L’usurpation d’identité dans le cadre personnel peut mener aux situations suivantes :

• Commandes frauduleuses via une CB piratée,
• Escroquerie à la carte vitale,
• Revente de vos données personnelles,
• Infection de votre machine avec un rançongiciel.

Le phishing est souvent une porte d’entrée pour le pirate qui veut obtenir « les clés » de votre ordinateur. Son but en soi peut être de récupérer vos données, ou d’infecter votre machine avec un programme malveillant. Celui-ci peut être un virus, un ver, un trojan, un keylogger ou encore, comme décrit ci-après, un rançongiciel (ransomware).

Lors d’une attaque, si le phishing est souvent la porte d’entrée du pirate, le ransomware en est la conséquence.

Quand vos données sont prises en otage : le ransomware

« Une attaque par rançongiciel ou ransomware est une cyber-attaque qui bloque l’accès à l’appareil ou à des fichiers en les chiffrant et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. » [2]

Ce type d’attaque est désormais répandu et connu du grand public. Nul n’est à l’abri, de la PME au très grand groupe privé, en passant par les collectivités locales sans oublier le particulier. Dernièrement un pic d’attaques a pu être constaté contre les hôpitaux ou les mairies.

Les groupes pratiquant ce genre d’attaque cherchent à récupérer des sommes substantielles afin de financer leurs activités. Ces groupes étant même parfois sponsorisés par certains états. Les pirates demandent le versement d’une rançon (la plupart du temps en crypto-monnaie) en échange de la clé de déchiffrement. Cette dernière pourra (selon eux) vous permettre de recouvrer vos données.

Auparavant les pirates se contentaient de bloquer votre ordinateur ; aujourd’hui, ceux-ci téléchargent souvent vos fichiers avant de vous les rendre inaccessibles. La menace de publier ou revendre vos fichiers s’ajoute donc au fait de vous en priver. Les conséquences pour un particulier sont les mêmes que pour le phishing (revente de données bancaires ou sociales sur le marché noir par exemple).

Pour les entreprises, cela peut être dévastateur. Au-delà de l’interruption de service engendrée (et donc du chiffre d’affaires perdu), la perte de crédibilité peut être très forte, sans compter les répercussions légales si des données bancaires ou de santé sont rendues publiques.

Alors, quelles conséquences ?

On peut citer les attaques contre le groupe « Kojima Industries » principal fournisseur de Toyota. Quatorze usines ont été affectées, ce qui a fait baisser la production de 5%, sans compter le manque à gagner, le cours de Toyota en bourse a également été impacté. On parle ici de pertes de 300K$ par heure.[3]

Plus tard en 2022, le studio de jeu vidéo CD Projekt Red a été attaqué. Des secrets industriels et des projets en cours ont été vendus sur le darknet, car l’éditeur a refusé de payer la rançon.[4]

Une infection par un rançongiciel engendre souvent la propagation de celui-ci sur un grand nombre de machines de l’entreprise. Ainsi, sans solution de sécurité efficace et sans cloisonnement des machines, cette propagation peut provoquer une paralysie d’une partie ou de tout le système d’information.

De plus, en cas de violation de données à caractère personnel, vous êtes dans l’obligation de le signaler à la CNIL.[5] Il faut donc se prémunir au mieux de ce genre d’attaque afin d’éviter le « syndrome du cambrioleur » (acheter une alarme après s’être fait cambrioler).

Si l’on peut croire que notre PC personnel est à l’abri d’une telle menace, il n’en est rien. Les attaquants diffusent parfois au hasard leur logiciel dans le but de toucher le maximum de personnes.

En effet, nous gardons souvent sur notre ordinateur des données personnelles précieuses (scan de carte d’identité, de carte vitale, de passeports, d’attestations en tout genre…). Ce sont autant d’éléments qui peuvent servir à usurper notre identité auprès de différents services.

Sans compter d’autres types de fichiers (photos de vacances par exemple) qui pourraient se retrouver sur des sites très peu fréquentables (dark web, revente de photos d’enfants…).[6]

Cependant, l’ANSSI et plusieurs agences étatiques s’accordent sur le fait qu’il ne faut jamais payer une rançon. Lorsque vous rémunérez ce genre d’action malveillante, en plus de n’être aucunement sûr de pouvoir recouvrer vos données, vous encouragez et financez ces pratiques.

Les bons gestes

Que faire face à ces attaques qui peuvent tous nous affecter ? Nous pouvons tenter de nous en prémunir en mettant en place quelques « bonnes pratiques » afin de limiter les risques.

Vous trouverez ci-dessous quelques « gestes d’hygiène numérique » simples parmi lesquels :

• Utilisez un gestionnaire de mot de passe afin d’avoir un mot de passe fort et unique par site ou service.
• Faites des sauvegardes régulières sur un support externe (disque dur, clé USB).
• Vérifiez bien l’adresse électronique de l’expéditeur des emails que vous recevez, en entreprise utilisez la fonction « signaler ce mail » si cette fonction est disponible.
• N’ouvrez pas un document d’une adresse inconnue / Ne cliquez pas sur un lien suspect (en survolant le lien avec votre souris, vous pourrez apercevoir le lien vers lequel vous allez être redirigés).
• N’installez pas d’applications ou de logiciels « piratés » ou dont vous ne pouvez vérifier la provenance avec certitude.
• Ne communiquez pas d’informations sensibles (votre banque ne vous demandera jamais votre numéro de carte bleue ou votre mot de passe !).
• En cas de doute sur un courriel vous indiquant une information concernant un paiement, rendez-vous directement sur le site concerné, ne cliquez pas sur le lien du courriel.
• Si le site ou le service le permet, activez la double authentification (2FA).
• Gardez vos appareils informatiques et les logiciels installés à jour.

Moralité ? Prenez votre temps !

Depuis l’invention et la diffusion du numérique, notre société veut tout, tout de suite. Les mails ou messages sont instantanés, nous sommes connectés en permanence. Dans cette effervescence constante, il est bon de se méfier de ce que nous pouvons recevoir.

Et avant toute chose, faites preuve de bon sens. Un mail inhabituel ? Une affaire très alléchante ? On vous promet un remboursement inopiné ? Si c’est trop beau pour être vrai, c’est sûrement le cas !

Afin que ce mois d’octobre soit placé sous l’égide de la cybersécurité, n’hésitez pas à en parler autour de vous, que ce soit à vos collègues, vos amis, votre famille.

Si cela peut paraître contraignant, le numérique fait désormais partie intégrante de nos vies. Il est de notre devoir (en tant que professionnel de l’informatique) de diffuser ces bonnes pratiques afin que notre « société numérique » soit plus sûre et que toute personne utilisant un terminal informatique se sente en sécurité.

Liens vers les ressources utiles :

[1] : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/evenements/mobilisation-cybermalveillance-cybermois-2022

[2] : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/evenements/mobilisation-cybermalveillance-cybermois-2022

[3] : https://www.cpomagazine.com/cyber-security/toyotas-supply-chain-cyber-attack-stopped-production-cutting-down-a-third-of-its-global-output/

[4] : https://www.engadget.com/cd-projekt-red-data-breach-online-114047285.html

[5]: Articles 33-1,34 et 55 du RGPD

[6] : https://www.zdnet.com/article/the-latest-dark-web-cyber-criminal-trend-selling-childrens-personal-data/