Ransomware Locky : le cas AFP ou comment transformer l’expérience en leçon

RisquesSécuritéVirus
ransomware-locky-cas-AFP-temoignage-RSSI

L’AFP a été visée au moins à deux reprises par le rançongiciel Locky mais l’agence de presse a refusé le chantage des pirates. Une contribution d’un RSSI à partager.

L’Agence France Presse n’a pas échappé au ransomware Locky. Un véritable fléau en entreprise.

Alcino Pereira, responsable de la sécurité informatique de l’AFP, raconte son expérience vécue début mars, dans une large contribution blog instructive et vivante. Infographies à l’appui.

« Quand j’arrive au bureau, un collègue m’interpelle. ‘Viens voir, j’ai reçu un mail qui a l’air vraiment louche !’ Il me le transfère, et presque au même moment, plusieurs mails d’utilisateurs tombent dans ma boîte pour me signaler le même message suspect. Ce dernier provient – en apparence – d’un respectable cabinet d’avocats parisien. Tout de suite, je fais une recherche à l’aide des outils spécialisés dont je dispose. Et je découvre qu’en l’espace d’une demi-heure, ce message a été envoyé à plus de deux mille collaborateurs de l’AFP à travers le monde avec une pièce jointe infectée par un malware particulièrement dangereux que nos antivirus, à cet instant, ne détectent pas encore. »

Progressivement, le RSSI de l’agence de presse, prend conscience des dégâts potentiels. « Petit à petit, nous découvrons plusieurs autres ordinateurs infectés au siège de l’agence à Paris, puis en Europe. »

Le « Mr sécurité IT » de l’AFP se montre pédagogue en même temps. « Un ransomware, c’est un programme malin qui, lorsqu’il est activé, installe un extrait de code sur votre disque dur. Ce code se met en communication avec un serveur dit de ‘command and control’ qui se trouve quelque part sur Internet, puis il télécharge le reste du code malveillant et une clé de chiffrement unique. Après quoi, il se met à tout crypter: votre disque dur interne, les disques durs externes et les clés USB éventuellement branchés à ce moment-là, les partages de serveur… Tout devient illisible, inutilisable. Vous venez de perdre la totalité de vos données. »

Dans le mot ransomware, il y a rançon. Pour reprendre possession des postes infectés, il faut passer à la caisse. En théorie.

« Pour cette attaque, la rançon est fixée à quatre bitcoins par clé de déchiffrement. Et ce jour-là, le Bitcoin, dont le cours est très volatil, cote à environ 390 euros. Il vous faudra donc verser plus de 1500 euros pour espérer retrouver le contenu d’un seul ordinateur… », décrit Alcino Pereira.

Mais l’AFP refuse le chantage : « Nous portons plainte auprès de la police judiciaire. Nous isolons les ordinateurs infectés, nous les reformatons, nous restaurons les données dans la journée et nous conservons les fichiers cryptés comme nous le conseillent les enquêteurs. Qui sait ? Peut-être parviendront-ils à arrêter les hackers et à découvrir le serveur dans lequel se cachent les clés de déchiffrement… »

Fenêtre de tir assez courte pour les pirates

Une autre tentative de piratage via Locky a été détecté plus récemment (samedi 19 mars) : cette fois-ci, près de 400 boîtes mail ont reçu un message infecté. Mais le bouclier a tenu : « l’antivirus de l’agence a reconnu la signature de ce logiciel et a été en mesure de le bloquer immédiatement ».

Alcino Pereira ne peut pas s’empêcher d’exprimer une certaine fascination vis-à-vis des techniques d’ingénierie sociale employée et de la propagation rapide du fléau.

« Ces attaques laissent presque admiratif tant elles sont bien montées. Bien sûr on ignore qui sont les pirates et comment ils s’y sont pris. Mais on peut supposer qu’ils doivent mettre des mois à tout organiser. Que ce sont des mafias structurées comme des entreprises, avec des informaticiens ultra-spécialisés en cryptologie, des logisticiens, des traducteurs qui écrivent les messages en diverses langues, des comptables qui traitent les transactions en bitcoins… »

Tout en admettant que les pirates disposent d’une fenêtre de tir assez courte avant que les éditeurs de solutions de sécurité IT ne reprennent la main vis-à-vis de leurs clients à protéger:

« A chaque campagne, les pirates n’envoient pas la même pièce jointe, car sinon elle serait immédiatement découverte et neutralisée par les systèmes antivirus. Aujourd’hui, c’est une course dans laquelle les hackers ont quelques heures d’avance : c’est le temps qu’il faut aux éditeurs d’antivirus, même les plus réactifs, pour mettre à jour leurs bases de données et circonscrire la menace. Quelques heures au cours desquelles ces hackers peuvent gagner des millions… »

Back to basic : pour éviter ce genre de (gros) pépins, il faut mettre tous les utilisateurs de terminaux numériques dans la boucle. « Mais tout cela ne sert à rien sans la vigilance humaine, sans la pédagogie, sans la communication. Aujourd’hui, les hackers misent beaucoup sur la crédulité et l’inattention des utilisateurs. Donc moins on a d’utilisateurs crédules et distraits, moins on laisse de chances aux pirates. »

Une contribution dense et didactique de l’AFP à partager dans toutes les entreprises au nom du renforcement de la sécurité IT.

(Crédit photo : Shutterstock.com – LeoWolfert)

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur