Ne pensez-vous pas que les solutions de protection contre les malveillances IT en général, et les ransomware en particulier, sont déjà bien connues ?
Compte tenu de la rapidité fulgurante à laquelle WannaCry et Petya se sont propagés, une piqûre de rappel est toujours la bienvenue. C’est justement ce qu’a fait le FBI dans un récent document officiel fournissant une liste des meilleures pratiques pour se protéger des ransomwares. Pour se prémunir des ransomwares, une stratégie de type « détecter et répondre » est peu utile car une fois que le ransomware est en cours d’exécution, il est déjà trop tard. C’est pourquoi la prévention est essentielle pour lutter contre les ransomware.
Quelles sont les priorités en matière de prévention des risques ?
La plupart des logiciels de ransomware se propagent via du phishing ou des courriers indésirables. L’éducation et la sensibilisation des utilisateurs finaux est utile mais il est important de comprendre que les attaquants sont des professionnels disposant d’outils d’ingénierie sociale efficaces. Il faut donc supposer que même l’utilisateur le plus éduqué peut être trompé. D’ailleurs, le dernier rapport de Verizon sur la violation des données a révélé que 23 % des destinataires ouvrent des messages d’hameçonnage et 11 % cliquent sur des pièces jointes frauduleuses. Malheureusement, ces statistiques penchent en faveur des criminels…
Qu’en est-il des outils correctifs ?
Beaucoup d’organisations craignent que des correctifs complets, opportuns et cohérents soient trop complexes à exécuter et mettre en œuvre ou qu’ils risquent de bloquer des applications commerciales critiques. Cependant, utiliser les derniers outils de gestion des correctifs pour analyser les éléments manquants et les déployer sur les postes de travail ou les serveurs est une tâche simple, même dans les environnements les plus complexes. Il s’agit également de mettre à jour l’antivirus et régulièrement scanner le matériel informatique. La plupart des attaques par ransomware ne peuvent pas être arrêtées par des antivirus traditionnels basés sur la signature. Cependant, il serait dommage de ne pas mettre à jour l’antivirus et de devenir la victime d’un logiciel malveillant déjà identifié par les fournisseurs d’antivirus !
Un problème demeure, celui des comptes à privilèges…
La minimisation des privilèges est une tactique efficace pour se prémunir de nombreux types de logiciels malveillants, y compris les ransomwares. Par exemple, l’attaque Petya requiert des droits d’administrateur et ne fera rien si l’utilisateur n’a pas ces privilèges. Attention, toutefois, à ne pas croire au miracle : de nombreuses attaques de ransomware ne sont que des exécutables que les utilisateurs lancent sans savoir ce qu’ils font réellement. Une fois ouverts, ces ransomware s’exécutent dans l’espace utilisateur actuel et ne nécessitent aucun privilège administrateur pour causer des dégâts.
D’où la nécessité d’une bonne gestion des droits d’accès. Que recommandez-vous à cet égard ?
Pour se propager, un ransomware utilise les droits d’accès légitimes d’un utilisateur pour crypter tous les fichiers sur tous les lecteurs et dossiers connectés et partagés auxquels il a accès. Une solution de contrôle d’accès aidera les organisations à se protéger contre les ransomwares. Cependant, si elle se concentre principalement ou exclusivement sur les droits d’accès des utilisateurs, elle ne sera probablement que partiellement efficace. Car il restera toujours nécessairement les lecteurs et les fichiers auxquels les utilisateurs ont légitimement accès. Pour aller plus loin et encore limiter les risques, il est essentiel de faire appel à des solutions de gestion des droits d’accès plus avancées, capables, par exemple, de limiter l’accès à des fichiers aux seules applications associées (PDF/Acrobat Reader, docx/MS Office…)
Quid des droits des logiciels ?
Il faut également définir, mettre en œuvre et appliquer des règles qui régissent la manière dont les autres logiciels se comportent. Ces règles peuvent restreindre la capacité du logiciel désigné à exécuter, créer, modifier ou lire des fichiers situés dans des dossiers spécifiques, y compris les dossiers temporaires utilisés par les navigateurs et d’autres programmes. Ces règles peuvent être appliquées soit à l’échelle mondiale, soit à des utilisateurs ou de groupes spécifiques.
Le FBI donne-t-il d’autres conseils ?
Il est également important de bloquer les macros des fichiers. Ce conseil très simple et très pratique va bloquer de nombreux types de malwares, y compris des ransomwares. Du type Locky par exemple, qui se répand par courrier avec des pièces jointes Word qui contiennent des macros qui téléchargent les logiciels malveillants sur les machines. Encore plus prosaïquement, le FBI établit un certain nombre de recommandations basiques mais qui peuvent être salvatrices. Comme la mise en œuvre de listes blanches des applications légitimes, l’isolation des environnements virtuels ou en conteneurs et, bien sûr, la sauvegarde régulière des données de l’entreprise !
Propos recueillis par Ségolène Kahn
Commentez