En effet, même si vos collègues utilisent à présent leurs ordinateurs personnels et se connectent via leurs propres connexions Internet, il s’agit en réalité toujours de “votre” réseau, et ce dernier reste toujours une cible de choix pour les cybercriminels, en tant que réseau à part entière, et pas seulement en tant que groupe d’ordinateurs individuels.
L’une des attaques les plus handicapantes que votre réseau puisse subir reste, bien sûr, celle utilisant des ransomwares.
Les attaques de ransomwares s’appuient sur des erreurs basiques qui sont toujours difficiles à admettre pour les victimes les ayant commises. En effet, il est assez naturel de partir du principe que vous n’en avez commis aucune (ou, du moins, pas beaucoup), et il est sans aucun doute à la fois fatigant et frustrant de devoir parcourir de nouveau les fondamentaux.
Nous avons donc décidé de vous proposer un moyen amusant pour vous aider à repérer les erreurs courantes qui conduisent souvent aux ransomwares.
Imaginez donc que votre ordinateur soit une maison et que les ransomwares soient, quant à eux, une bande de cambrioleurs … et répétez en cœur avec nous …
Ne fermez pas la porte tout en laissant les fenêtres grandes ouvertes.
—-> PROTÉGEZ TOUS LES ACCÈS A VOTRE SYSTÈME
Ne pensez pas que des clés cachées sous le tapis empêcheront les voleurs de rentrer.
—-> CHOISISSEZ DES MOTS DE PASSE SÉCURISÉS
Ne mettez pas un vigile devant chez vous pour vous protéger durant la nuit en consignant par écrit toute activité anormale, … pour au final, ne jamais consulter les notes qu’il vous aura laissées,
—-> EXPLOREZ VOS LOGS SYSTÈME
N’achetez pas un système d’alarme si c’est pour le désactiver … parce qu’il est trop bruyant.
—-> PRENEZ EN COMPTE LES ALERTES
Et quand vous devez faire des réparations, … ne haussez pas les épaules en vous disant “pas maintenant”.
—-> PATCHEZ TÔT, PATCHEZ SOUVENT
Nous avons résumé ci-dessous les 5 actions que vous pouvez mettre en œuvre.
1. Protégez les accès à votre système
Les cybercriminels rôdent souvent à la recherche de systèmes d’accès à distance tels que le RDP (Remote Desktop Protocol) et le SSH (shell sécurisé) qui ne sont pas correctement sécurisés, peut-être parce qu’ils ont été configurés de manière temporaire et délaissés par la suite.
Apprenez à analyser votre propre réseau depuis l’extérieur et assurez-vous que tous les services qui sont actifs et scrutent vos connexions ont une bonne raison de le faire et figurent sur votre liste habituelle de contrôles de sécurité.
Si vous ne vérifiez pas régulièrement votre réseau à la recherche de potentielles failles, laissées ouvertes par erreur et qui permettraient d’y accéder, alors les cybercriminels le feront pour vous !
2. Choisissez des mots de passe sécurisés
Lorsque vous êtes pressé, surtout si vous devez compter presque exclusivement sur l’accès à distance ces jours-ci en raison du confinement décrété dans le cadre du coronavirus, il est facile de prendre des raccourcis pour que “tout fonctionne” et de vous faire la promesse de vérifier toutes les sécurités et autres protections plus tard.
Pourtant, chaque fois qu’il y a une récupération massive de mots de passe suite à une violation de données, vous trouverez invariablement le mot de passe changeme
à un endroit en haut de la liste.
De toute évidence, beaucoup de gens commencent avec des mots de passe basiques avec la ferme intention de les sécuriser au plus vite, mais ne le font finalement jamais.
Ayez dès le départ le bon réflexe, en choisissant des mots de passe sécurisés, ainsi qu’une authentification à deux facteurs, dès qu’elle est disponible, afin d’augmenter votre niveau de sécurité.
3. Parcourez vos logs système
Beaucoup, sinon la plupart des attaques de ransomwares ne se produisent pas de manière instantanée ou du moins sans signes précurseurs : en effet, les cybercriminels prennent généralement un certain temps, souvent des jours et parfois plus, pour obtenir au préalable une vision globale sur l’ensemble de votre réseau.
C’est ainsi qu’ils s’assurent, lorsqu’ils appuieront finalement sur le bouton qui déclenchera leurs attaques, qu’ils auront l’impact le plus destructeur possible pour pouvoir exiger la rançon qu’ils souhaitent.
Il y aura donc souvent de nombreux signes précurseurs dans vos logs, tels que l’apparition d’outils de piratage de type “grey hat” dont vos utilisateurs n’ont pas besoin ou qu’ils ne sont pas censés utiliser; les opérations de type sysadmin telles que la création de nouveaux comptes qui ont eu lieu à des moments inhabituels; et enfin des connexions réseau depuis l’extérieur qui ne suivent pas votre schéma habituel.
NB : L’équipe Sophos Managed Threat Response peut vous aider ici car elle sait non seulement ce qu’il faut rechercher mais aussi où le trouver.
4. Faites attention aux alertes
Si vous avez configuré votre système d’alerte pour vous avertir en permanence, vous vous retrouverez presque certainement face à une fatigue liée à ces dernières, et vous cliquerez alors machinalement parce que vous manquerez de temps tout simplement.
Attention également à ne pas partir du principe que des alertes à priori plus pertinentes peuvent être ignorées tout simplement parce qu’elles font référence à une menace potentielle qui a déjà été bloquée.
Souvent, les menaces qui apparaissent au niveau de votre réseau ne sont pas uniquement des événements fortuits, elles prouvent que des cybercriminels sont déjà en train de se promener discrètement au sein de votre système pour voir quelles actions déclenchent quelles alarmes, dans l’espoir de lancer une attaque beaucoup plus importante ultérieurement.
5. Patchez tôt, patchez souvent
Ne vous exposez pas à des failles potentielles plus longtemps que nécessaire. Alors que les cybercriminels analysent votre réseau pour trouver des moyens de pénétrer au sein de votre système (voir #1), ils peuvent également rechercher des services accessibles depuis l’extérieur et qui n’ont pas encore été corrigés. Une telle approche aide les cybercriminels à établir automatiquement des listes de victimes potentielles à cibler ultérieurement : donc votre meilleure défense est tout simplement de ne pas figurer sur leur liste !
Dernier podcast Sophos-Naked Security
Billet inspiré de 5 common mistakes that lead to ransomware, sur Sophos nakedsecurity.