Maintenant imaginons qu’un attaquant parvienne à désactiver toute cette informatique. Les feux de circulation éteints. Les numéros d’appel d’urgence sonnent dans le vide. Les pompes à eau potable à l’arrêt… Die Hard IV, anyone?
Deux villes américaines ont tenté malgré elles l’expérience tout récemment. Riviera Beach, Floride et Baltimore, Maryland font chacune face à un cryptolocker, et ont décidé d’y faire face différemment.
Les cryptolockers
RobbinHood, Cryptowall, TeslaCrypt, WannaCry, Petya et NotPetya… Qui sont ces énergumènes ?
Un cryptolocker, aussi appelé ransomware ou rançongiciel en bon français, est une catégorie de virus informatique dont le mode d’action est de prendre en otage les fichiers d’un ordinateur. Si tout se passe bien, ils seront libérés contre le paiement d’une rançon, généralement en Bitcoin.
En pratique, lorsqu’il infecte une nouvelle machine, le virus génère une clé de chiffrement et s’en sert pour chiffrer tout ou partie des fichiers qu’il va trouver. Son objectif n’est pas la destruction de la machine, il évitera donc de perturber le fonctionnement du système d’exploitation. En effet, il va avoir besoin d’afficher un message à l’utilisateur, avec les consignes à suivre pour récupérer ses fichiers. La clé de chiffrement est alors souvent centralisée puis effacée du système. Le seul moyen, en théorie, de la récupérer est donc de payer. En théorie seulement, on verra plus loin comment ça se passe en pratique.
Voyons maintenant ce qui est arrivé à nos charmantes bourgades américaines et comment elles ont réagi.
Riviera Beach, Floride
Plantons le décor (idyllique). Riviera Beach est une commune de Floride comptant près de 35 000 habitants, dans la banlieue de Miami.
Riviera Beach, donc, a eu le plaisir de se faire infecter le 29 mai 2019 lorsqu’un policier a ouvert une pièce jointe d’un email, contenant un cryptolocker. Une fois activé, le virus a commencé son œuvre sur l’ordinateur du policier tout en se propageant sur le réseau. Du commissariat d’abord, puis de la municipalité ensuite.
Très vite, c’est l’ensemble des services municipaux qui se retrouvent paralysés sans outil informatique. Par exemple, les paiements des administrés ne pouvaient plus être acceptés qu’en chèque ou espèce. Plus grave, les logiciels de contrôle des pompes d’eau potable étant hors ligne, lesdites pompes ont également cessé de fonctionner.
La crise durera 3 semaines avant que le conseil municipal décide à l’unanimité de procéder au payement de la rançon (65 Bitcoins, soit environ $592 000 – 522 000 €). Il espère ainsi récupérer l’accès aux fichiers et programmes, et ainsi rétablir les services de base de la ville. L’histoire ne dit pas (encore) si cela a fonctionné. On sait toutefois qu’une grande partie de la somme sera prise en charge par l’assurance de la ville.
Baltimore, Maryland
Baltimore joue de malchance. L’attaque de 2019 n’est en effet pas la première : la ville a déjà du faire face à une infection de grande ampleur, en 2018, qui avait notamment désactivé les ordinateurs des services d’urgence.
Cette fois-ci, plus exactement le 7 mai 2019, les serveurs de Baltimore sont la cible d’un cryptolocker particulièrement virulent appelé RobbinHood (analyse détaillée en anglais). Le vecteur d’infection n’est pas encore connu, mais une enquête fédérale est toujours en cours.
La rançon demandée initialement était plus faible (13 Bitcoins, soit environ $76 300 – 59 000 €) mais avait la particularité d’augmenter avec le temps. Et passé 10 jours, la clé serait irrémédiablement perdue.
La mairie a toutefois choisi de ne pas payer la somme du tout, et de restaurer la totalité des systèmes impactés. Le processus est long et laborieux, de part la quantité de systèmes à reconstruire et reconnecter progressivement.
Le coût estimé pour simplement restaurer les serveurs et postes de travail de la ville est estimé à un peu plus de 18 millions de dollars, auxquels viendront s’ajouter des frais supplémentaires pour élever le niveau de sécurité du SI municipal.
To pay? or not to pay?
Alors que faire face à un cryptolocker ? Si tout le monde s’accorde sur les mesures d’urgence (déconnecter les systèmes infectés, rechercher la source de contamination pour l’isoler), les positions divergent à propos de la demande de rançon. Faut-il oui ou non l’honorer ?
Certaines agences spécialisées recommandent de payer, car les pirates sont avant tout des commerçants comme les autres : ils ont besoin d’une bonne réputation auprès de leurs clients. S’ils ne déchiffrent pas les fichiers après paiement de la rançon, les victimes finiront rapidement par arrêter de les payer puisque cela ne sert à rien.
Our @Tophs explains why paying a ransom can become a viable option when weighed against unacceptable losses resulting from system and service unavailability: https://flashpoint.io/blog/whether-to-pay-ransomware-demands-is-foremost-a-business-decision/
D’autres estiment au contraire qu’il ne faut pas entretenir le système, et qu’en plus la probabilité de récupérer la clé n’est pas si élevée que ça : le pirate est malhonnête par définition, le virus peut être mal conçu et avoir perdu définitivement la clé (véridique)… Devant le manque de rentabilité, les pirates arrêteront d’eux-mêmes de lancer ce type d’attaque. Des spécialistes rappellent également que même si les fichiers sont déchiffrés après paiement, les systèmes informatiques doivent être considérés comme corrompus car personne ne sait quelles autres actions le cryptolocker a pu faire.
Assez scandalisé par le rapport @Forrester “Se préparer à payer une rançon” 🤦♂️👎🚫 https://flashpoint.io/blog/whether-to-pay-ransomware-demands-is-foremost-a-business-decision/
Les conseils sont évidents :
🔘 Faire appel à négociateur
🔘 Disposer d’un compte crypto
La réalité : il faudra reconstruire pour assainir 💵💶 Ce n’est pas une solution !
Il faut aussi rappeler que la recherche avance ! Les codes des cryptolockers sont analysés par de nombreuses équipes à travers le monde, et il arrive que des bugs rendent possible la création d’outils de déchiffrement qui sont alors gratuitement mis à disposition des victimes de ces attaques.
De l’importance des sauvegardes
Les deux philosophies ne peuvent évidemment pas cohabiter, et chacun doit se positionner en fonction de ses idées d’une part et de l’existence de sauvegardes exploitables d’autre part. Car comme souvent, une fois que les mesures de prévention ont été débordées, il ne reste plus qu’à reconstruire et restaurer ce qui peut l’être.
Les lecteurs astucieux auront d’ailleurs remarqué qu’avoir une sauvegarde de ses données n’est pas suffisant. Il faut en effet s’assurer que lesdites sauvegardes n’aient pas été chiffrées par le ransomware, et qu’elles n’aient pas été écrasées par une copie des données chiffrées.
Exit, donc, les lecteurs réseau, les copies temps réel sans archivage…
Enfin, je ne saurais conclure cet article sans mentionner le site spécialisé dans les cybermalveillances mis en place par le gouvernement français. Après quelques questions pour mieux cerner le souci, une procédure détaillée est proposée pour chaque cas.