Sécurité vs Praticité : l’histoire du ransomware propagé par spam

Comme beaucoup d’autres personnes, vous avez probablement été confrontés plusieurs fois à ce fameux dilemme : “Sécurité vs Praticité”.

“Dois-je désactiver le sécurité sur le web pour rendre Facebook plus fluide ?”

“Devons-nous vraiment désactiver les macros de Microsoft Office lorsque cela pose tellement de problèmes au niveau des feuilles de calcul du département financier ?”.

“Ce logiciel d’installation n’en fini pas de planter, pourquoi ne pas désactiver l’antivirus pour le laisser finir ?”

Laissez-moi vous montrer pourquoi la cybersécurité est si importante. Ainsi, la prochaine fois que quelqu’un vous demandera de désactiver un paramètre de sécurité, vous pourrez leur expliquer à quel point ce dernier le protège effectivement.

La Menace

Notre histoire commence avec un “méchant”, appelons le Bob. Bob est un cybercriminel qui a passé les dernières années à voler de l’argent ainsi que les données personnelles d’innocentes victimes.

Vous ferez peut être preuve d’indulgence en pensant que Bob est plutôt ce que l’on appelle un génie de l’informatique. Cependant, malgré ses connaissances en matière d’ordinateur, ses compétences en codage sont très limitées, et sa connaissance des systèmes de sécurité est plutôt médiocre. Malgré tout, cela ne l’empêchera pas de lancer des attaques en direction de vos utilisateurs ou bien de votre famille.

Bob a décidé que pour sa prochaine attaque, il utilisera un ransomware, et plus particulièrement celui nommé TorrentLocker. Cette attaque se propagera grâce à une campagne de spams, à savoir un envoi massif d’emails.

En utilisant le logiciel Tor, Bob plonge dans le Dark Web, et parvient à contacter une organisation de type . Pour une modique somme d’argent, payée mensuellement, Bob a maintenant accès au ransomware TorrentLocker. Mais il peut également utiliser un botnet, mis à disposition par la plateforme MaaS, pour envoyer des centaines de milliers de spams, via une méthode de déploiement passant par les pièces jointes, présentes au sein de Microsoft Word et Excel.

Les Macros, intégrées dans les documents piégés, se lanceront automatiquement afin de télécharger le ransomware en question, au moment précis où l’utilisateur ouvrira la pièce jointe. Tout ceci est bien évidemment accompagné d’un support technique 24/7 de la part du gang de cybercriminels proposant ce service. Les cibles potentielles de Bob sont les bureaux, les usines, les particuliers, en réalité à peu près n’importe qui avec une adresse email.

L’attaque commence dès l’aube, avant même que leurs victimes n’aient bu leur café du matin, dans l’espoir qu’ils soient moins vigilants vis-à-vis d’éventuelles activités suspectes.

La défense

Notre héros, ou encore notre Rock Star de l’informatique s’appelle Ray. Ray a compris que le cybersécurité se compose de plusieurs niveaux, et que plus vous avez de niveaux, plus il est compliqué pour d’éventuels cybercriminels de créer des malwares qui pourront tous les traverser.

Les exemples ci-dessous vous présentent quelques-uns des niveaux que Ray peut utiliser.

La protection des emails

Le premier niveau de défense que Ray a mis en place est une email gateway appliance. Cette dernière utilise une technologie anti-spam puissante qui filtre les emails non désirés ou bien non sollicités. Certaines fonctions avancées, que vous n’avez peut-être pas activées au sein de votre environnement, peuvent inclure DKIM et SPF.

DKIM permet à des organisations d’ajouter une signature numérique aux emails qui sont envoyés. Cette procédure vous permet non seulement de rassurer vos destinataires sur le fait qu’il s’agisse effectivement bien de vous avec qui ils sont en contact, mais permet aussi de bloquer les emails entrants qui échouent au niveau de cette vérification. L’idée est que si des cybercriminels envoient des emails frauduleux en prétendant qu’ils proviennent d’un autre nom de domaine, ils ne pourront pas générer une signature électronique valide, car ils ne disposeront pas des clés de chiffrement nécessaires.

Les enregistrements au sein du SPF contiennent une liste de tous les serveurs officiels qu’une organisation utilise. Lorsque vous recevez un email, vous pouvez vérifier s’il provient de l’un des serveurs listés au sein des enregistrements SPF concernant les noms de domaines des expéditeurs. Si l’email en question provient d’un serveur non répertorié, vous pouvez alors le bloquer.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Les enregistrements au sein du SPF incluent en général soit -all ou ~all. L’option -all signifie que “cette liste est définitive et aucun autre serveur ne pourra envoyer mon email”. En d’autres termes, les données au sein du SPF sont à jour, ainsi vous dites au monde entier de détruire simplement tout email, supposé provenir de vous et qui en réalité viendrait d’un autre serveur. Par contre ~all désigne ce que l’on appelle un Soft Fail, à savoir “une liste de serveurs qui peut ne pas être complète”. Soft Fail peut être utilisé lors de la construction, la modification et le test d’enregistrements SPF. Cependant vous devez toujours garder comme objectif d’atteindre une liste définitive avec des enregistrements de type -all.

[/vc_message][/vc_column][/vc_row]

Les règles de cybersécurité

Récemment, Ray a remarqué une augmentation dans les spams au niveau des pièces jointes des documents Microsoft Office. Ces derniers, lorsqu’ils sont ouverts par un utilisateur, exécutent automatiquement une macro qui va télécharger ensuite le malware. Une mesure de précaution que Ray peut prendre est de désactiver toutes les macros avec notifications. Cette opération arrêtera automatiquement l’exécution automatique des macros, et demandera à l’utilisateur d’accepter manuellement chaque macro avant de les exécuter. Une autre chose que Ray peut envisager est l’installation de visionneurs Microsoft Office. Ces applications permettent à l’utilisateur de visionner avant à quoi ressemble le document, sans ouvrir Word ou Excel. L’autre avantage est que le logiciel pour visionner ne prend en charge aucune macro, ainsi aucune activation par erreur n’est possible !

La sensibilisation de l’utilisateur

Ray est à présent confronté au niveau le plus compliqué à configurer… ses utilisateurs. La sensibilisation de l’utilisateur est souvent négligée du fait du caractère continu du processus d’éducation lui-même. Etant donné que l’utilisateur est considéré comme le maillon faible de la chaîne, la formation de ce dernier devrait être considéré comme le niveau de sécurité le plus important. Après tout, si Alice n’avait pas ouvert la pièce jointe contenu dans l’email d’arnaque nigériane, elle n’aurait certainement pas envoyé ses données bancaires à ce “prince nigérian”.

La cybersécurité doit être au cœur des préoccupations de tous vos utilisateurs, et ce à tout moment, en choisissant des mots de passe fiables, en évitant d’être la cible d’attaques par hameçonnage, ou tout simplement en comprenant le type de menaces auxquelles nous sommes de plus en plus confrontés. Ray est allé encore plus loin, en créant un programme de formation en cybersécurité incluant des conseils axés sur les emails et les mots de passe, des vidéos éducatives et des posters. Vous allez certainement vouloir en faire autant.

Endpoint scanning

Ray sait que peu importe l’agressivité de la protection de ses emails, car il existe beaucoup de méthodes pour acheminer des fichiers malveillants sur son réseau. En effet, il existe des services tels que Dropbox, FTP, ou encore des équipements mobiles. Ray s’inquiète même d’éventuelles attaques de drones, et n’oublions pas ces satanées clés USB (vous vous rappelez Conficker ?).

Une web gateway appliance vous aidera avec la plupart de ces menaces, cependant vous devez admettre que certaines choses arriveront à passer au travers ou à contourner les protections. C’est à ce moment que le endpoint scan entre en jeu.

Il s’agit aussi de niveau de sécurité que les utilisateurs critiqueront le plus car il ralentira leur machine. Ainsi, regardons les fonctionnalités de sécurité que Ray a mis en œuvre et pourquoi elles sont nécessaires :

On-access scanning

Cette fonction est au cœur de la plupart des produits de protection endpoint. Le scan on-access scrute chaque fichier que vous utilisez, et surtout avant que vous l’utilisiez, ainsi il ne se contente pas de détecter un malware, mais évite surtout son activation. Un bon scan on-access fourni également des informations aux autres fonctionnalités de la solution de protection endpoint. Ce dernier point est crucial : en effet si le logiciel de protection endpoint est le cœur, alors les données sont tout simplement le sang.

HIPS (Host Intrusion Prevention System)

Ce niveau est connu sous différents noms tels que Behavior Monitoring ou HIPS. Même après qu’un fichier soit passé par le scan on-access et ait commencé son exécution, HIPS le surveille de manière continue vis-à-vis d’éventuelles activités suspectes, afin de pouvoir le stopper en cas de comportements inappropriés. Cette fonctionnalité de sécurité vous protège contre de nouveaux malwares, jamais vus auparavant.

La protection en temps réel

Avec l’augmentation constante des activités malveillantes, s’assurer d’être protégé vis-à-vis des dernières menaces n’a jamais été aussi important. Même si votre logiciel antivirus est mis à jour plusieurs fois dans la journée, il reste des moments où vous êtes en danger face à de nouvelles sortes de malwares. Une protection en temps réel fonctionne en prenant les informations à propos d’un fichier au moment même où il est inspecté et en se connectant à un service Cloud pour obtenir les dernières informations au sujet du fichier.

La Protection web et la détection de trafic malveillant

Une méthode assez classique utilisée par les malwares est de diviser les attaques en plusieurs parties. Pour détailler cette technique, je vais rester simple et résumer en disant qu’il existe 3 parties principales :

Un downloader est une minuscule partie du malware qui ne fait rien d’autre que de se connecter à sa base, au niveau d’un serveur web, et de récupérer le malware que les cybercriminels auront disposés au préalable sur ce dernier. Cela signifie également que les hackers pourront déployer leurs attaques via des spams mais sans associer le malware final, leur permettant ainsi de modifier le payload du malware au beau milieu de leur campagne de spams.

La protection web et la détection de trafic malveillant surveillent les sites internet auxquels votre ordinateur se connecte. Si l’un d’entre eux est connu pour être en lien avec la distribution d’un malware, la connexion sera alors bloquée.

Scan de la mémoire

Si un malware est déjà présent sur votre ordinateur, vous devez procéder à un scan de la mémoire afin de trouver le code actif du malware et vous en débarrasser. Vous pouvez parfois repérer un malware en regardant la liste des programmes installés, mais les cybercriminels utilisent de nombreuses astuces pour ne pas apparaître dans cette liste, vous obligeant ainsi à lancer l’examen de la mémoire.

De plus, certains malwares ne sont plus présents sur le disque une fois actifs, rendant un scan du disque seul inutile pour trouver l’infection en question.

Les principaux conseils concernant l’endpoint scanning :

Web Gateway Protection

Ray utilise également un produit de Gestion Unifiée des Menaces () pour contrôler les règles d’utilisation du web, le pare-feu, le trafic sur réseau et la protection du serveur. La première chose qu’il a fait a été de retirer les règles du pare-feu installé par son prédécesseur qui autorisaient tout le trafic dans les 2 sens. Ray reste choqué par le nombre de personnes qui ont cette approche.

Ray a défini une nouvelle règle pour son pare-feu qui autorise la plupart du trafic, cependant sur plusieurs semaines il surveille ce que font les utilisateurs, et verrouille tout simplement tout ce qui n’est pas nécessaire. Il a activé l’Intrusion Protection avec des fonctionnalités avancées telles la détection port scanning, pour aider à détecter quand des cybercriminels testent son réseau pour réparer les points faibles. Il a aussi activé la protection traffic flooding, pour aider à la protection de ses serveurs dans le cas d’attaques de type DDoS.

Les produits UTM de Ray communiquent également avec les endpoints, lui permettant de créer des règles qui pourront bloquer automatiquement l’accès d’un ordinateur à internet, ou à des serveurs critiques, en cas d’infection. Cette mesure de sécurité le rassure, car en cas d’attaques de malwares, un ordinateur infecté sera rapidement mis en quarantaine afin d’éviter de causer plus de dégâts au sein du réseau.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Pour en savoir plus sur l’approche de Sophos concernant le partage en temps réel des données relatives aux menaces entre endpoints et passerelles web, n’hésitez pas à consulter nos documents au sujet de la sécurité synchronisée.

[/vc_message][/vc_column][/vc_row]

Les permissions au niveau sécurité

Il est facile d’en parler, mais avouons qu’il est plus difficile de le mettre en pratique. En d’autres termes, vous devez mettre en place le principe de “privilèges minimum” : si un utilisateur n’a pas besoin d’avoir accès à une ressource en particulier, ou à un serveur sur le réseau du lieu où il se trouve, alors ne lui permettez pas d’y avoir accès tout simplement !

Tout comme Ray, beaucoup d’entre vous ont certainement eu à gérer les conséquences d’un ransomware.

Pour les chanceux qui n’ont pas été confronté à un ransomware, en général, il fonctionne de la manière suivante :

Lorsque je dis que le ransomware en question chiffre tout ce qui est à sa portée, je parle de photos, documents, vidéos, des présentations sur lesquelles vous avez passé des heures, votre portefeuille Bitcoin, et même vos créations Minecraft. En effet, à présent, pas seulement vos travaux sont en danger, mais vos jeux aussi !

Ainsi, assurez-vous de garder en sécurité et off-line, au moins une de vos sauvegardes, et de préférence off-site. Si votre équipement contenant votre sauvegarde, est branché au moment où le ransomware lancera son attaque, alors il sera chiffré également, avec la même détermination et avidité !

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Lors du trouble-shooting d’une infection par ransomware, au cours de laquelle des fichiers au niveau du serveur ont été chiffrés, le processus d’identification de l’utilisateur à l’origine de cette infection peut s’avérer très difficile. Essayez d’utiliser Windows Explorer en activant la visualisation Details. Ensuite ajoutez la colonne Owner, qui vous permettra de récupérer le nom d’utilisateur qui a effectué ce chiffrement.

[/vc_message][/vc_column][/vc_row]

Pour résumer

Les utilisateurs sensibilisés contribuent à la sécurité de votre réseau. En expliquant clairement comment vous avez fait, et les conséquences si on ne le fait pas, vos utilisateurs devraient comprendre l’importance de la sécurité, même si cela implique quelques désagréments.

Après tout, si vous apprenez à vos utilisateurs à travailler en sécurité, ils feront certainement de même chez eux aussi. Personne ne désire réellement voir toutes ces photos de vacances chiffrées à cause de l’ouverture d’un fichier.

Si vous avez d’autres suggestions en matière de cybersécurité, ou des niveaux à rajouter, et que nous aurions oublié de mentionner, merci de nous le faire savoir.

Et pour finir, pour ajouter tout de même une note d’optimisme à cette problématique aux conséquences des plus pénibles…

…regardez notre vidéo pour découvrir ce que signifie qu’être la rock star incontestée de l’informatique.

Suivre @SophosFrance
Billet inspiré de “Security vs convenience: The story of ransomware spread by spam email” par Peter Mackenzie de Naked Security
Partagez “Sécurité vs Praticité : l’histoire du ransomware propagé par spam” avec http://wp.me/p2YJS1-2z8