Zoom sur le phishing et le ransomware

Temps de lecture : 11 mins
Description de l'image
Jérémie Pourrier Consultant Cybersécurité
12 octobre 2022

La cybersécurité : une priorité pour les entreprises

Autrefois l’apanage des spécialistes, la cybersécurité peut se définir ainsi : « La cybersécurité est la mise en œuvre d’un ensemble de techniques et de solutions de sécurité pour protéger la confidentialité, l’intégrité et la disponibilité des informations. Cette protection doit couvrir tout le cycle de vie des données, de leur génération et traitement à leur transfert, stockage et élimination. »

Dans cet article, nous allons mettre l’accent sur les problématiques d’hameçonnage (phishing), et de rançongiciels (ransomware), deux types d’attaques qui nous concernent tous. En effet, malgré tous les moyens techniques mis en place afin de contrecarrer les attaques, l’humain reste souvent le maillon faible de la chaîne de sécurité.

C’est pourquoi les pirates exploitent cette faiblesse afin de compromettre un système d’information, cette pratique est celle de l’ingénierie sociale (social engineering). Ici la psychologie joue autant, sinon plus, que la technique.

La pêche aux données

L’hameçonnage ou phishing est une technique d’attaque qui consiste à envoyer un courriel ou SMS à la victime en usurpant l’identité d’un tiers (une entreprise, une administration, etc.), pour l’inciter à réaliser une action telle que communiquer des informations personnelles, professionnelles ou bancaires, ou encore ouvrir un lien ou une pièce jointe infectée par un virus.[1]

La personne cherchant à vous faire cliquer sur un lien malveillant utilisera des artifices pouvant vous faire miroiter un problème technique, financier ou juridique.

Au travail

Nous avons tous déjà reçu ce genre de courriels :

Ici, le pirate cherchera le plus souvent à tromper votre vigilance en imitant une adresse mail interne, une signature de l’un de vos collègues, ou un message technique se conformant à la charte graphique de l’entreprise. Sans trop vous méfier, vous cliquez machinalement sur le lien présent dans le mail ou fournissez l’information sous peur de représailles de votre management.

Cela peut mener le pirate à agir en votre nom en usurpant votre identité :

A la maison

Dans un cadre personnel, les types de courriels les plus répandus pourront être :

Ainsi, dans ce contexte, ce qui importera pour le pirate est de créer une émotion. Un courriel mentionnant un montant élevé d’une commande que vous n’avez pas faite, une action illégale ou indiquant que votre ordinateur est compromis peut vous faire paniquer ou a minima, vous inquiéter. Une adresse email d’un proche qui aura été piratée vous demandant de l’argent peut déclencher un sentiment d’empathie ou de curiosité.

Vous pouvez également être stressé, fatigué, où faites plusieurs tâches simultanément ; et vous cliquez machinalement sur le lien (vous renvoyant vers le site du pirate qui copie le site de votre vendeur d’électronique préféré ou de la sécurité sociale). Vous envoyez un courriel à l’adresse indiquée, puis vous renseignez les informations demandées, dans l’espoir de voir cette mauvaise nouvelle disparaitre.

Malheureusement vous avez désormais communiqué des informations personnelles à un tiers qui peut en faire l’usage de manière malveillante.

L’usurpation d’identité dans le cadre personnel peut mener aux situations suivantes :

Le phishing est souvent une porte d’entrée pour le pirate qui veut obtenir « les clés » de votre ordinateur. Son but en soi peut être de récupérer vos données, ou d’infecter votre machine avec un programme malveillant. Celui-ci peut être un virus, un ver, un trojan, un keylogger ou encore, comme décrit ci-après, un rançongiciel (ransomware).

Lors d’une attaque, si le phishing est souvent la porte d’entrée du pirate, le ransomware en est la conséquence.

Quand vos données sont prises en otage : le ransomware

« Une attaque par rançongiciel ou ransomware est une cyber-attaque qui bloque l’accès à l’appareil ou à des fichiers en les chiffrant et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. » [2]

Ce type d’attaque est désormais répandu et connu du grand public. Nul n’est à l’abri, de la PME au très grand groupe privé, en passant par les collectivités locales sans oublier le particulier. Dernièrement un pic d’attaques a pu être constaté contre les hôpitaux ou les mairies.

Les groupes pratiquant ce genre d’attaque cherchent à récupérer des sommes substantielles afin de financer leurs activités. Ces groupes étant même parfois sponsorisés par certains états. Les pirates demandent le versement d’une rançon (la plupart du temps en crypto-monnaie) en échange de la clé de déchiffrement. Cette dernière pourra (selon eux) vous permettre de recouvrer vos données.

Auparavant les pirates se contentaient de bloquer votre ordinateur ; aujourd’hui, ceux-ci téléchargent souvent vos fichiers avant de vous les rendre inaccessibles. La menace de publier ou revendre vos fichiers s’ajoute donc au fait de vous en priver. Les conséquences pour un particulier sont les mêmes que pour le phishing (revente de données bancaires ou sociales sur le marché noir par exemple).

Pour les entreprises, cela peut être dévastateur. Au-delà de l’interruption de service engendrée (et donc du chiffre d’affaires perdu), la perte de crédibilité peut être très forte, sans compter les répercussions légales si des données bancaires ou de santé sont rendues publiques.

Alors, quelles conséquences ?

On peut citer les attaques contre le groupe « Kojima Industries » principal fournisseur de Toyota. Quatorze usines ont été affectées, ce qui a fait baisser la production de 5%, sans compter le manque à gagner, le cours de Toyota en bourse a également été impacté. On parle ici de pertes de 300K$ par heure.[3]

Plus tard en 2022, le studio de jeu vidéo CD Projekt Red a été attaqué. Des secrets industriels et des projets en cours ont été vendus sur le darknet, car l’éditeur a refusé de payer la rançon.[4]

Une infection par un rançongiciel engendre souvent la propagation de celui-ci sur un grand nombre de machines de l’entreprise. Ainsi, sans solution de sécurité efficace et sans cloisonnement des machines, cette propagation peut provoquer une paralysie d’une partie ou de tout le système d’information.

De plus, en cas de violation de données à caractère personnel, vous êtes dans l’obligation de le signaler à la CNIL.[5] Il faut donc se prémunir au mieux de ce genre d’attaque afin d’éviter le « syndrome du cambrioleur » (acheter une alarme après s’être fait cambrioler).

Si l’on peut croire que notre PC personnel est à l’abri d’une telle menace, il n’en est rien. Les attaquants diffusent parfois au hasard leur logiciel dans le but de toucher le maximum de personnes.

En effet, nous gardons souvent sur notre ordinateur des données personnelles précieuses (scan de carte d’identité, de carte vitale, de passeports, d’attestations en tout genre…). Ce sont autant d’éléments qui peuvent servir à usurper notre identité auprès de différents services.

Sans compter d’autres types de fichiers (photos de vacances par exemple) qui pourraient se retrouver sur des sites très peu fréquentables (dark web, revente de photos d’enfants…).[6]

Cependant, l’ANSSI et plusieurs agences étatiques s’accordent sur le fait qu’il ne faut jamais payer une rançon. Lorsque vous rémunérez ce genre d’action malveillante, en plus de n’être aucunement sûr de pouvoir recouvrer vos données, vous encouragez et financez ces pratiques.

Les bons gestes

Que faire face à ces attaques qui peuvent tous nous affecter ? Nous pouvons tenter de nous en prémunir en mettant en place quelques « bonnes pratiques » afin de limiter les risques.

Vous trouverez ci-dessous quelques « gestes d’hygiène numérique » simples parmi lesquels :

Moralité ? Prenez votre temps !

Depuis l’invention et la diffusion du numérique, notre société veut tout, tout de suite. Les mails ou messages sont instantanés, nous sommes connectés en permanence. Dans cette effervescence constante, il est bon de se méfier de ce que nous pouvons recevoir.

Et avant toute chose, faites preuve de bon sens. Un mail inhabituel ? Une affaire très alléchante ? On vous promet un remboursement inopiné ? Si c’est trop beau pour être vrai, c’est sûrement le cas !

Afin que ce mois d’octobre soit placé sous l’égide de la cybersécurité, n’hésitez pas à en parler autour de vous, que ce soit à vos collègues, vos amis, votre famille.

Si cela peut paraître contraignant, le numérique fait désormais partie intégrante de nos vies. Il est de notre devoir (en tant que professionnel de l’informatique) de diffuser ces bonnes pratiques afin que notre « société numérique » soit plus sûre et que toute personne utilisant un terminal informatique se sente en sécurité.


Liens vers les ressources utiles :

[1] : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/evenements/mobilisation-cybermalveillance-cybermois-2022

[2] : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/evenements/mobilisation-cybermalveillance-cybermois-2022

[3] : https://www.cpomagazine.com/cyber-security/toyotas-supply-chain-cyber-attack-stopped-production-cutting-down-a-third-of-its-global-output/

[4] : https://www.engadget.com/cd-projekt-red-data-breach-online-114047285.html

[5]: Articles 33-1,34 et 55 du RGPD

[6] : https://www.zdnet.com/article/the-latest-dark-web-cyber-criminal-trend-selling-childrens-personal-data/


Articles Similaires

AWS : quels outils pour implémenter le DevSecOps ?

Définition du DevSecOps  Le DevSecOps se matérialise par l’intégration des tests de sécurité à chaque étape du processus de développement...

Comment mettre en œuvre une approche DevSecOps ? 

SecDevOps ou DevSecOps : définitions et différences   La sécurité occupe une place de plus en plus prépondérante dans les projets,...

Cloud Security : la stratégie du Zero Trust 

Cloud : la sécurité par défaut Il y a peu, Vincent Strubel, Directeur Général de l’ANSSI, a affirmé que la...