Les attaques de type ransomware n’ont jamais été aussi nombreuses et les secteurs public et privé réalisent qu’être la prochaine cible n’est pas une question de probabilité mais de temps. Comment en est-on arrivé là ? Depuis vingt ans, les entreprises investissent dans des solutions antivirus, mais elles continuent pourtant à faire l’objet de multiples attaques. Quels sont les facteurs qui laissent présager que ce n’est que le début de cette pandémie de ransomware ?
- On ne peut pas tout le temps appliquer des correctifs
Microsoft Windows et les logiciels d’entreprise associés ont souvent des vulnérabilités. Microsoft a dû corriger pas moins de 200 vulnérabilités, dont 27 classées comme critiques. En mars dernier, quatre différentes attaques « zero-day » sur MS Exchange ont entraîné des brèches dans des milliers d’entreprises. L’une de ces failles existait sur Microsoft Exchange depuis 2013, les autres remontaient respectivement à 2016 et 2019. Car certaines failles restent indétectables pendant des années, voire des décennies ! CVE-2021-24092, une vulnérabilité d’élévation de privilèges sur Windows Defender (logiciel de sécurité de Microsoft censé tenir les attaquants à distance…) est restée sans correctif pendant 12 ans.
Il est tentant de penser que ce n’est qu’une question de temps avant que toutes ces failles ne soient finalement découvertes et corrigées, mais ce n’est malheureusement pas la réalité. Ainsi, la récente vulnérabilité d’élévation de privilèges locale HiveNightmare (alias SeriousSAM) a été introduite dans Windows 10 dans la version 1809. Elle permettait à n’importe quel utilisateur d’escalader les privilèges SYSTEM, avec tout le casse-tête que cela implique pour les équipes de sécurité.
- Les attaques sophistiquées l’emportent toujours sur les solutions de sécurité simples
Mises à part les bugs, Windows Defender (intégrée dans Windows) n’est tout simplement pas assez performant pour arrêter les attaques sophistiquées actuelles. Si l’on efface le côté « juge et partie » d’un éditeur de solution de sécurité qui est également fournisseur de système d’exploitation, la récente attaque Sunburst/SolarWinds n’a pas été arrêtée par Windows Defender, selon NETRESEC.
Le paysage actuel de la cybermenace repose sur l’effet de levier. Les hackers veulent accéder aux données (soit pour les vendre, soit pour réclamer une rançon, soit les deux) et ils ont les moyens d’acheter, de développer et de voler les outils nécessaires pour les obtenir. Grâce au modèle « Ransomware as a Service », les développeurs de logiciels malveillants sophistiqués peuvent vendre leurs produits à un grand nombre de clients. En un mot, l’époque où la gestion de la sécurité des entreprises reposait majoritairement sur les humains est dépassée. Les attaques sophistiquées nécessitent des outils encore plus sophistiqués capables de réagir de manière autonome à la vitesse de la machine pour empêcher les attaques de ransomware. Tant que les entreprises n’ont pas intégré cette nouvelle donne, les attaques continueront à toucher les entreprises publiques et privées.
- Les récompenses sont plus importantes que les risques
Les logiciels corrompus et les contrôles de sécurité insuffisants, combinés à un risque faible et à des récompenses élevées, font des ransomwares une option attrayante pour les hackers. Pendant longtemps, n’ayant pas pris conscience des gains potentiels que l’attaque d’une entreprise pouvaient générer, ils se concentraient sur le quidam moyen, qui recevait une demande de paiement automatique de 300 euros. Les choses ont beaucoup évolué depuis. Aujourd’hui, les hackers collectent et engrangent des sommes faramineuses grâce à la double extorsion : le bon vieux cryptage de fichiers associé au vol de données d’une part et au chantage des victimes d’autre part. L’année dernière, l’ensemble des paiements liés aux ransomwares aurait atteint 350 millions de dollars en crypto-monnaie. L’histoire nous a enseigné que les gens étaient prêts à prendre de gros risques pour des sommes plus que modestes. Un braquage de banque peut entraîner une peine d’emprisonnement à vie et a beaucoup plus de chances de mal tourner. Une attaque par ransomware – menée depuis chez soi ou d’un pays peu préoccupé par la répression des crimes informatiques – est moins risquée qu’une promenade dans un parc.
- Les crypto-monnaies facilitent les paiements
Les crypto-monnaies sont en plein essor. Alors que les opposants ne cessent de parler des risques de la « bulle des crypto-monnaies », les criminels sont plus qu’heureux de s’en servir. Avant la pandémie, le bitcoin s’échangeait à un peu plus de 7 000 dollars, mais il a explosé lorsque l’économie s’est arrêtée dans le monde entier. En décembre 2020, il s’échangeait à 24 000 dollars, a atteint un pic de 64 000 dollars en avril 2021 et oscille actuellement autour de 46 000 dollars. Toutefois l’attrait principal des crypto-monnaies réside dans le fait que toute personne impliquée dans des activités criminelles peut être payée dans un anonymat total, la technologie blockchain sur laquelle elles reposent utilisant le chiffrement à base de clés publiques plutôt que les noms des personnes pour enregistrer la propriété.
Si les tentatives de traçage des paiements criminels se renforcent, les criminels ne manquent pas de créativité pour masquer l' »encaissement », c’est-à-dire la conversion des crypto-monnaies en espèces. Certaines innovations sont technologiques, d’autres ne sont que des méthodes éprouvées de blanchiment de fonds via des comptes bancaires de sociétés fictives, opérées par des experts du crime organisé.
- Grâce à l’inertie des entreprises, les anciens systèmes antivirus ont (malheureusement) encore de l’avenir
Alors que les cybercriminels tirent profit des technologies modernes, la grande majorité des entreprises s’accrochent aux anciennes technologies AV, pourtant dépassées. Malgré la prévalence de ces contrôles de sécurité AV, on estime à 9,9 milliards le nombre d’attaques de logiciels malveillants pour la seule année 2019, contre 8,2 milliards en 2015. Il s’agit d’un échec indéniable pour les fournisseurs historiques de cybersécurité.
Les chefs d’entreprise se doivent de repenser leur approche de la sécurisation de l’entreprise car les cyberhackers se sont adaptés à ces anciennes approches de la sécurité et les ont contournées. Les attaques « supply chain », « fileless », … sont monnaie courante chez les opérateurs de ransomware et leurs affiliés, qui échangent sur les forums du darknet, des informations, des astuces et des techniques sur la façon de contourner les logiciels antivirus. Certains offrent même des prix dans des concours de recherche !
- Les attaques se produisent sur les appareils, pas dans le cloud
Si l’AV traditionnel n’a pas vraiment changé, les infrastructures réseau ont beaucoup évolué grâce au cloud. Face à ce constat, les anciens et nouveaux éditeurs ont pensé à exploiter le cloud à des fins de sécurité. Qu’il s’agisse de sécuriser des postes de travail Windows ou Linux des collaborateurs, leurs portables macOS ou appareils personnels, l’IoT du bureau ou les serveurs de l’entreprise (sur site ou dans le cloud), il est incontournable de disposer d’une solution de sécurité des endpoints (un agent autonome qui réagit à la vitesse de la machine face à une menace), basée sur une IA robuste et comportementale.
La vitesse de chiffrement des ransomwares est une source de grande fierté pour les hackers, chacun prétendant chiffrer et exfiltrer plus rapidement que ses concurrents. Tant que le terminal lui-même ne pourra pas répondre automatiquement et sans délai minimum, le problème des ransomwares ne disparaitra pas. Il n’y a pas de remédiation possible lorsque l’on se repose uniquement sur le facteur humain pour vaincre des attaques à la vitesse de la machine.