Les autorités mettent à nouveau en garde contre des attaques de "rançongiciels". Des escrocs non identifiés verrouillent les systèmes de PME et de grandes entreprises suisses, puis exigent une rançon de dizaines de milliers de francs, voire de plusieurs millions.

Plus d'une douzaine de cas ont été signalés ces dernières semaines, a annoncé mercredi la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI). Les cyberpirates ont rendu inutilisables les systèmes informatiques de certaines entreprises.

L’analyse de ces incidents a révélé que le système de sécurité informatique des entreprises touchées était souvent lacunaire. En outre, ces entreprises ont ignoré certaines mises en garde provenant des autorités.

Antivirus indispensable

Les entreprises n’ont soit pas remarqué, soit pas pris au sérieux les messages des logiciels antivirus avertissant que des maliciels avait été repérés sur les serveurs. Dans certains cas, plusieurs serveurs n’étaient même pas dotés d’un antivirus, ce qui augmente considérablement les risques de voir se propager des maliciels au sein d’un réseau d’entreprise.

Dans de nombreux cas, seul un mot de passe faible protégeait les protocoles de contrôle à distance des systèmes (Remote Desktop Protocol, RDP). De plus, leur port d’écoute était souvent celui qui était paramétré par défaut (port 3389) et ce dernier ne présentait aucune restriction d’accès, par exemple au moyen d’un VPN ou d’un filtre d’adresses IP).

Tous ces éléments rendent les systèmes vulnérables: les attaquants ont pu facilement s’immiscer en toute discrétion dans les réseaux et y installer des maliciels.

Sauvegardes

De nombreuses entreprises ne disposaient que de sauvegardes en ligne, qui n’étaient donc pas séparées du système. Lors des attaques par rançongiciel, ces sauvegardes ont été cryptées ou irrémédiablement supprimées. Dans de nombreux cas, la reprise des activités de l’entreprise n’a pu avoir lieu qu’au prix d’efforts coûteux, voire n’a pas été possible.

Les entreprises ont souvent une mauvaise gestion des correctifs et des cycles de vie. Cette situation a conduit à l’utilisation de systèmes d’exploitation ou de logiciels obsolètes ne bénéficiant plus d’aucune maintenance.

Lorsqu’un réseau n’est pas segmenté, les attaquants peuvent, en infectant par exemple un ordinateur du service du personnel, se frayer un chemin jusqu’au service de production.

Il est fréquent que les utilisateurs se voient attribuer un rôle d’utilisateur assorti de trop de droits, par exemple le rôle de backup user, qui a des droits d’administrateur de domaine, ou celui d’administrateur système, qui a les mêmes droits lorsqu’il surfe sur Internet que lorsqu’il gère le système.

Ne pas céder

MELANI déconseille de céder au chantage. L'argent versé à l’attaquant servira à financer son infrastructure. En outre, le paiement d’une rançon ne garantit aucunement que l’escroc redonnera l'accès aux données.

Les entreprises victimes d’une extorsion par rançongiciel doivent prendre contact avec la police cantonale, porter plainte et déterminer la suite de la procédure à appliquer.

ats