Cyberattaques, se protéger pour 2021

Le ransomware, également appelé rançongiciel dans sa version française – ou encore cryptovirus, est devenu en quelques années une des formes de virus informatique les plus connues. Pour cause, le cryptovirus est non seulement une attaque désormais répandue mais ses effets peuvent également être dévastateurs pour l’organisme visé. Parmi les dernières en date, l’agglomération du Grand Annecy et la ville de La Rochelle ont été visées durant la période des fêtes avec pour résultat, une paralysie des services sur internet, un arrêt des serveurs et des applications, etc… A l’heure d’écrire ce papier les actions de résolutions sont toujours en cours et le site du Grand Annecy toujours inaccessible 10 jours après l’attaque.

Le terme rançongiciel consacré par l’académie française est transparent. Contraction de rançon et logiciel, il résume bien l’idée. Dans les faits, il s’agit d’un fichier informatique – virus, se déployant au sein du système d’information – SI, victime de l’attaque. Une fois le SI infecté, le virus, souvent téléguidé à distance – ce qui a son importance, va chiffrer l’ensemble des données présentes, les rendant ainsi inaccessibles pour son propriétaire. A ce moment, il ne reste pour le pirate informatique qu’à réclamer une rançon en l’échange de la clef de déchiffrage, généralement payable en bitcoin. Mettons fin au suspens immédiatement, ne comptez pas sur l’empathie du hacker, il est clairement déconseillé de payer quoi que ce soit. On range son porte-monnaie et on appelle l’ANSSI !

Au titre des illustrations marquantes, l’attaque du CHU de Rouen, un vendredi de novembre 2019, tient une belle place. En effet, le choix de cibler un établissement de santé est assez marquant pour les esprits, bien que ce ne soit pas le premier, ni le dernier… Pourquoi une telle cible ? Parce que dans un monde toujours plus informatisé, le secteur de la santé ne déroge pas à la règle. Dossier patient informatisé, appareils biomédicaux connecté, gestion informatisée des entrées, des consultations, des lits. Du départ d’un camion du SMUR à la salle de déchocage en passant par la prescription et le calcul des doses pour les traitements, le numérique est partout. On vous rassure, dans un hôpital, le personnel est formé à des plans de continuité d’activité qui prenne en compte l’interruption des outils numériques.

Néanmoins, le préjudice vital existe, ce qui en fait une cible privilégiée et le retour à la normal prend beaucoup de temps. A Rouen, malgré une intervention d’une équipe d’une dizaine d’experts de l’ANSSI, seuls 60 à 70% des applications était restaurées le mardi suivant l’attaque. Enfin, il est à noter que certaines données sont parfois définitivement perdues lorsque l’algorithme de chiffrement s’avère impossible à casser et qu’il n’existe pas de copies préservées.

Pour faire face à ces nouvelles menaces, les solutions se situent principalement au niveau de l’architecture du SI et des équipements utilisés, bien que cela ne dispense pas d’une bonne procédure de gestion de crise et d’un Plan de Continuité Informatique.

Le risque du ransomware résidant surtout dans sa capacité à s’infiltrer dans le SI, les solutions consistent avant tout à compartimenter et isoler l’infrastructure pour limiter le déploiement du virus. Cette mesure est d’autant plus vitale que, comme nous l’avons dit ci-dessous, les ransomwares sont régulièrement pilotés manuellement à distance et ce, pendant des semaines s’il le faut, jusqu’à infecter l’ensemble du SI.

Les éléments à isoler prioritairement sont les éléments de supervision. Ainsi, il est impératif d’isoler la console de supervision et les jobs de sauvegarde. Comme le rappelle l’ANSSI, « La principale mesure de sécurité consiste à dédier un poste de travail physique aux tâches d’administration et limiter les flux avec le reste des équipements ». Cette solution consiste à n’autoriser les flux que dans un seul sens – depuis la zone de confiance (administration), vers les autres zones du SI. Les flux vers les équipements d’administration étant interdit, les codes malveillants ne sont alors plus susceptibles d’accéder aux éléments de supervision. Bien-sûr, il est recommandé d’accompagner cette solution d’un compartimentage du SI en zones sécurisées par des pares-feux, appelées DMZ.

La seconde solution pour limiter le déploiement d’un cryptolocker consiste à diversifier les technologies utilisées. Cette stratégie de ne pas faire tourner l’intégralité du SI sur une seule technologie permet de limiter les effets du virus à la technologie pour laquelle il a été conçu. A titre d’exemple, en mettant en place une séparation entre applications métiers sous Microsoft et des bases de données sous Linux, le ransomware ne sera pas en mesure d’infecter l’ensemble du SI.

Reprendre de vieilles technologies pour se protéger des nouvelles menaces, cela peut paraitre saugrenu et pourtant c’est la tendance actuelle. L’idée est de tirer profit les limites technologiques des anciens équipements pour contrer les capacités du virus. C’est ainsi que depuis quelque temps on observe un retour en force de l’usage de la bande magnétique comme solution de sauvegarde. Appelée LTO, pour Linear Tape-Open, cette technologie n’est autre qu’un enregistrement sur bande magnétique et c’est tout son intérêt.

Quand un serveur offre une solution active de stockage, la bande magnétique est inerte. Comme avec un caméscope, une fois la cassette retirée, plus rien ne s’écrit dessus. Ce qui est enregistré devient alors inaccessible pour le pirate et est donc protégé de toute attaque. La seule contrainte reposera alors dans la conservation des bandes pour lesquelles il est recommandé de privilégier un stockage dans un coffre ignifugé.

Ce panel de mesures n’est bien-sûr pas exhaustif, d’autres outils pourront compléter les solutions présentées. Le ransomware n’a pas fini de faire innover les services informatiques mais face à ces menaces, il convient toujours de rappeler que la sensibilisation des équipes reste le premier rempart.