Ransomware : devriez-vous payer ?

 

La diffusion de ransomware s’est accentuée ces dernières années. Environ 40% des emails de spam en 2016 contenaient un ransomware, selon une récente étude d’IBM Security.

L’explication de phénomène est simple : ce modèle fonctionne. Près de 70% des entreprises victimes interrogées par IBM ont payé les pirates pour récupérer leurs données. Pour ces derniers, la motivation est d’optimiser leurs profits illégaux. Mais les victimes, elles, comment devraient-elles agir ? En coopérant ?

« C’est très simple dans mon esprit » déclare Michael Duff, le RSSI de l’Université de Stanford, lors d’une table ronde sur les ransomware organisée pendant la RSA Conférence. « Si vous n’êtes pas en mesure de reconstituer un système dans le délai, et que vous avez besoin qu’il fonctionne, alors payez la rançon. »

Neil Jenkins, de l’Enterprise Performance Management Office, rattaché au Département de la sécurité intérieure des Etats-Unis, rappelle que « du point de vue du gouvernement US, nous décourageons absolument de payer la rançon. »

« D’un point de vue national … payer la rançon encourage ce modèle d’activité » justifie-t-il. « Si cela est devenu une chose si populaire, c’est car ils gagnent véritablement de l’argent. »

Il reconnaît que les organisations affichent des niveaux de tolérance au risque différents. Stanford, par exemple, est avant tout un organisme de soins de santé en termes de revenus, de sorte qu’il ne peut pas se permettre de perdre l’accès très longtemps à ses actifs.

Néanmoins, insiste Jenkins, « Payer une rançon n’est pas la garantie d’obtenir de nouveau l’accès au système … qu’ils ne vont pas exiger encore plus d’argent. Nous avons des cas dans lesquels les gens ont payé la rançon et ont ensuite été ciblés à nouveau. »

Pour Michael Duff, les attaquants ont un intérêt à retourner les données volées après que la rançon ait été payée, à savoir s’assurer que leur business model conserve sa crédibilité. « Si vous savez qu’en payant vous n’aurez pas de clé en retour, alors plus personne ne paiera » avance-t-il.

En quelque sorte, « vous payez essentiellement un bug bounty » suggère Duff. « Ils ont mis en évidence une faiblesse dans votre sécurité … S’ils ne l’avaient pas fait, quelqu’un d’autre s’en chargerait. »

Partant du principe que les criminels avaient un intérêt à respecter leur engagement, Gal Shpantzer, le PDG de Security Outliers, estime qu’il y a la place pour « commencer à négocier avec vos amis de l’autre bord. »

Mais surtout, tous trois s’accordent sur les démarches que les entreprises peuvent entreprendre pour se préparer à des attaques de ransomware :

Disposez d’un compte bitcoin disponible

L’utilisation de bitcoin a augmenté parallèlement à la montée des attaques de ransomware. La société de sécurité SonicWall a récemment noté qu’avant la cryptomonnaie, les paiements de rançons pouvaient être tracés.

« C’est la monnaie du moment, c’est de l’argent réel » commente Shpantzer – et cela peut prendre du temps de le rassembler si cette opération n’a pas été anticipée « Soyez intelligent et ayez à disposition des gens qui en vivent prêts à vous aider afin d’agir rapidement. Mais aussi : prévention, prévention, prévention. »

La prévention commence avec la sauvegarde

Toutes les organisations devraient penser aux meilleures pratiques et pratiquer la résilience, prévient Jenkins.

Au sein du gouvernement fédéral, la majorité des tentatives d’attaques de ransomware ont commencé avec l’infection d’un poste utilisateur. Ce qui permet un nettoyage efficace, c’est des systèmes de sauvegarde en place.

« Il suffit de mettre hors ligne ces systèmes, d’obtenir pour cette personne un nouvel ordinateur, et tout peut reprendre » dit-il.

Outre des systèmes de sauvegarde déconnectés d’Internet, les organisations devraient disposer de plans de réponse sur incident, effectuer des évaluations des risques cyber, régulièrement patcher les vulnérabilités et effectuer des tests de pénétration sur une base régulière.

Sachez où sont vos actifs

« Si vous avez des choses sur Internet et que vous êtes un développeur ou une petite entreprise en levée de fonds … Si vous voulez atteindre le 2e trimestre, vous devez réfléchir à ce que vos développeurs mettent exactement sur Internet » avertit Shpantzer.

Il rappelle ainsi le « grand massacre de Mongo » de janvier 2017. Des dizaines de milliers de bases de données MongoDB laissées sans protection sur Internet ont été visées par des rançonneurs.

« Soyez conscient de … où se trouvent vos actifs » déclare-t-il. « Si vous l’ignorez, nos amis de la communauté du ransomware vous le diront. »

Lisez les petits caractères de votre cyber-assurance

Une projection prévoit que le marché du ransomware passera de 8,16 milliards de dollars en 2016 à 17,36 milliards de dollars d’ici 2021. Pour les petites organisations, l’assurance est certainement une considération intéressante. Assurez-vous simplement de « lire les petits caractères » commente Shpantzer.