View in

English

Sécurité informatique : rançonnage des universités, retour au papier et au stylo ?

L'article du Bulletin intitulé « Rançonnage des entreprises : vous êtes le premier concerné » a soulevé une série de questions, notamment, « Quel problème cela représente-t-il pour le CERN ? », ou « Nous faisons de la recherche. Pourquoi devrions-nous nous inquiéter ? » Voici quelques réponses :

Le rançonnage informatique consiste généralement à inciter la victime à installer un logiciel qui permettra à terme d’encrypter son ordinateur (et tout partage ou sauvegarde à distance auquel cette personne a accès) et à lui demander de l'argent, c'est-à-dire une rançon, pour déverrouiller (décrypter) ses fichiers. De telles attaques se produisent depuis des années. Cependant, ces derniers mois ont vu une tendance inquiétante se dessiner : des attaques de rançonnage visant une organisation dans son ensemble. Ces actions sont menées par des groupes criminels solidement organisés et financés.

Une attaque de rançonnage commence généralement par un vecteur d'infection traditionnel comme les courriels de « hameçonnage » (voir « Rançonnage des entreprises : vous êtes le premier concerné »). Lors d'une attaque visant une organisation tout entière, l'agresseur concentre souvent ses efforts sur les services exposés, comme les applications web sans correctifs, exposées à l'Internet public. Une fois qu'il a accédé à un appareil au sein du réseau, le pirate s'introduit subrepticement partout afin de parvenir à des comptes privilégiés ou à des services centraux. Il explore ensuite le réseau, lit les courriels, recueille une mine de données, et une fois qu'il connaît l'organisation dans ses moindres détails, il élabore un plan afin de provoquer un maximum de panique et d'angoisse, ainsi que l'interruption des activités. Deux à trois semaines suffisent en moyenne pour que le pirate soit en mesure de lancer la phase finale de l'attaque. Une fois qu'il a obtenu le niveau d'accès et de contrôle nécessaire, il lui suffit de déployer le rançongiciel en une seule vague dévastatrice sur le plus grand nombre d'appareils possible, touchant ainsi les utilisateurs finaux, les services centraux (courrier électronique, serveurs web, etc.), les systèmes de fichiers partagés et, bien sûr, les sauvegardes. Tout cela peut sembler compliqué et coûteux, mais la majeure partie du travail s'effectue par le biais d'outils automatisés. De plus, comme les rançongiciels sont devenus très rentables, les groupes criminels trouvent facilement les experts et le personnel nécessaires.

Une demande de rançon est envoyée dès que l'organisation visée se rend compte qu'elle a été attaquée. L'objectif est très simple : nuire autant que possible aux opérations quotidiennes de l'organisation victime, pour qu'elle ne voit d'autre option que de payer la rançon. Très souvent, le préjudice est total : le réseau informatique est mort, totalement anéanti. Retour donc au bon vieux papier et stylo, et cela fonctionne extrêmement bien. Lorsque l'Université Carleton a été touchée, elle aurait déclaré, « Notre recherche est à l'arrêt en ce moment parce que tous nos ordinateurs sont, soit éteints, soit infectés ». Malheureusement, lorsqu'elles sont confrontées à une telle situation, certaines victimes estiment que payer la rançon est leur seule option. C'est ce qui est arrivé à l'Université de Calgary : « Nous avons pris la décision de payer la rançon parce que nous faisons de la recherche de niveau mondial ici [...] et nous ne voulions pas nous retrouver dans une position où nous n'aurions pas été en mesure de récupérer le travail potentiellement d'une vie de quelqu’un qui viendrait aujourd'hui nous dire : ''Je suis encrypté, je n'ai plus accès à mes fichiers'' », a déclaré Linda Dalgetty, vice-présidente aux finances et aux services de l’Université de Calgary.

Cela s'est passé en 2016. Depuis, clairement, les pirates perçoivent les secteurs universitaire et de la recherche comme un marché viable, et leurs tactiques et structures malveillantes ont considérablement évolué. Aujourd'hui, plus de la moitié des victimes de rançonnage finissent par payer la rançon. Les organisations criminelles prennent le temps d'étudier leurs victimes afin de maximiser les dommages potentiels et leurs gains. Le montant de la rançon demandée est calculé de façon à correspondre au montant maximum que l'organisation a les moyens de payer. L'université de Maastricht a été l'une des rares victimes à dénoncer publiquement l'attaque subie et a même communiqué un rapport technique détaillé. En 2016, l'Université de Calgary a déboursé quelque 20 kCHF. Mais en 2019, les enjeux étaient plus importants et l'Université de Maastricht a accepté de payer près de 230 kCHF dans l'espoir de pouvoir déverrouiller ses systèmes. Le 23 décembre, l'agresseur a complètement détruit l'infrastructure informatique et de réseau de l'université, et la date choisie a rendu l'attaque encore plus difficile à gérer.

home.cern,Computers and Control Rooms
Le courriel de « hameçonnage » qui a permis d'anéantir toute l'infrastructure informatique de l'Université de Maastricht.

Cela dit, nombre d'organisations choisissent de ne pas payer la rançon. Elles admettent que cela nous rend tous plus vulnérables, mais surtout que rien ne garantit que les criminels déverrouilleront les fichiers. Toutes les victimes n'acceptent pas de révéler les chiffres, mais ces attaques ont de telles répercussions au cœur même de l'infrastructure technique de la victime qu'elles finissent toujours par être extrêmement coûteuses, quelle que soit la stratégie utilisée. La ville de Baltimore a refusé de payer et « a dépensé plus de 18 millions de dollars suite à cette attaque. Les pirates demandaient à l'origine 76 000 dollars ». 

Il y a également d'énormes coûts cachés : le pirate informatique a accès à toutes les données et informations de l'organisation, y compris les données personnelles sur les employés, les clients, les partenaires commerciaux et les technologies. Et il n'est guère possible de se cacher ou de continuer à fonctionner en cas de rançonnage réussi, la réputation de l’organisation étant grandement entachée. Une infection par rançongiciel doit être considérée, jusqu'à preuve du contraire, comme une violation de la sécurité. Aujourd'hui, de plus en plus d'utilisateurs de rançongiciels divulguent les données appartenant aux victimes qui ne versent pas la rançon. Ainsi, les organisations sont de plus en plus susceptibles de la payer. Le secteur de la cyberassurance s'est également adapté à cette nouvelle réalité. Il devient ainsi de plus en plus coûteux de transférer le risque de rançongiciel, car les assureurs augmentent leurs primes de couverture.

Au cours des derniers mois, et même des dernières semaines, le nombre de victimes parmi les établissements d'enseignement n'a cessé d'augmenter. Et, fait inquiétant, ces établissements ont tendance à verser la rançon exigée, comme l'a fait l'Université Regis de Denvers. Il serait trop facile de blâmer l'environnement « académique » plus ouvert dans lequel nous assurons nos services. Notre secteur n'est pas le seul touché : des acteurs importants de l’industrie le sont également. Par exemple Travelex, qui a subi une paralysie mondiale de son système bancaire suite à une cyberattaque à la veille du Nouvel An. « Les caissiers de Travelex en sont réduits à utiliser un stylo et du papier pour faire circuler l'argent aux guichets des aéroports et de ses bureaux de change ».

Outre les coûts au niveau opérationnel, la cyberattaque a causé d'énormes dommages aux activités et à la réputation de Travelex, ce qui a obligé son PDG à lire une déclaration publique à ce propos. Lors d'une autre attaque en décembre 2019, une base des garde-côtes américains a été mise hors ligne pendant 30 heures par un « rançongiciel qui a mis hors service les caméras, les systèmes de commande d'accès aux portes et les systèmes de surveillance essentiels du site ».

Les rançongiciels acquièrent progressivement de nouvelles fonctions afin de cibler l'exploitation des systèmes de contrôle industriel. Le déploiement d'un tel logiciel dans le réseau technique du CERN poserait des risques importants pour l'exploitation du complexe d'accélérateurs et pour les expériences. Même si le logiciel malveillant ne se propage pas aux automates programmables (PLC), il peut toujours stopper l'exploitation d'équipements industriels complexes : « [L']installation de gaz naturel a interrompu ses activités pendant deux jours après avoir été infectée par un logiciel malveillant », lorsqu'un « groupe criminel a réussi à accéder, par le biais d'un hameçonnage ciblé, au réseau informatique de l'organisation avant de pivoter vers son réseau OT. Il a ensuite déployé un rançongiciel générique pour encrypter les données et endommager les deux réseaux ». La situation n'est certes pas inédite, mais le nombre de victimes augmente rapidement. Plus important, le fait que les pirates prennent le temps nécessaire et réussissent à déployer des logiciels de rançonnage aussi profondément dans l'infrastructure informatique et réseau de leurs victimes, est nouveau.

La Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI) a multiplié, au nom du gouvernement suisse, les conseils et les avertissements, notamment en ce qui concerne cette question, « plusieurs entreprises suisses réputées ayant été touchées par ce type d'attaque ». De même, l'Agence nationale française de la sécurité des systèmes de l'information (ANSSI) a publié un rapport détaillé qui indique clairement que le rançonnage à l'échelle d'une organisation représente actuellement la menace informatique la plus sérieuse pour les institutions et les entreprises. Selon l'ANSSI, ces attaques peuvent être, parfois, aussi sophistiquées que les opérations d'espionnage financées par un État.

Par conséquent, la question n'est pas de savoir si des groupes solidement organisés et financés lanceront une attaque de rançonnage sur le CERN à l'échelle de l'organisation, mais à quel moment. Que faisons-nous pour y faire face ? Voilà à présent la question la plus importante.

  • Détecter les tentatives de « phishing » : nos appareils de filtrage contre les logiciels malveillants détectent la plupart des courriels d’hameçonnage, en particulier ceux contenant des pièces jointes. Cependant, ils n'offrent pas actuellement une protection complète car ils ne suivent pas les liens contenus dans les courriels jusqu'à leur source, pour vérifier si la page web ou le fichier correspondant aux liens est légitime ou malveillant. En raison de cette configuration, il est facile d'ajouter un lien de téléchargement malveillant dans un courriel, et relativement simple d'envoyer avec succès une pièce jointe malveillante.
  • Mettre en place des correctifs de sécurité pour les services exposés : il est absolument indispensable de déployer des correctifs de sécurité sur tous les services exposés. De plus en plus de logiciels malveillants continuent d'analyser le réseau local même après l'infection initiale afin de se propager au sein de l'organisation. Par exemple, le logiciel malveillant Emotet qui déploie souvent le rançongiciel Trickbot dans un second temps. Une grande université a été touchée par une attaque de ce type, l'agresseur ayant compromis « manuellement » une application Web sans correctifs après avoir exploré et analysé les services exposés de l'institution. On tarde souvent à déployer des correctifs de sécurité sur les services non essentiels, qui deviennent alors des cibles faciles pour les pirates.
  • Protéger les points d’extrémité (endpoint) : malheureusement, la protection actuelle basée sur les signatures a un faible taux de détection des logiciels malveillants. Le groupe IT-CDA s'efforce d'améliorer les solutions EDR (Endpoint Detection and Response), même si aucun calendrier ou budget n'a été défini.
  • S'informer sur les menaces existantes / SOC : le Centre d'opérations de sécurité (SOC) du CERN s'efforce d'obtenir des renseignements sur tous les serveurs de commande et contrôle de rançongiciels connus auprès de centaines de partenaires, notamment MELANI et d'autres organismes gouvernementaux. Très souvent, cela permet de prendre les mesures nécessaires après coup, mais ne garantit pas que les attaques de rançongiciels seront toutes détectées.

L'Université de Maastricht a formulé un certain nombre de recommandations fondées sur les leçons tirées de l'attaque subie ; la plupart valent également pour le CERN. En fait, la résilience est la clé. Il est absolument indispensable de déployer des correctifs de sécurité sur tous les services exposés. Vous pouvez aider l'Organisation en maintenant à jour votre ordinateur, votre portable, votre smartphone et, si vous en gérez un, votre service informatique. Veillez à disposer de sauvegardes adéquates, qui ne soient pas susceptibles d'être modifiées ou supprimées involontairement. Sécurisez votre compte informatique de façon appropriée, ne divulguez pas votre mot de passe à des tiers, et cloisonnez les comptes des différents services pour qu'ils ne soient pas tous compromis si l'un d'entre eux venait à être exposé. Enfin, S'ARRÊTER – RÉFLÉCHIR – NE PAS CLIQUER sur les pièces jointes ou les liens web d'origine inconnue, pour ne pas devenir le « patient zéro » qui permettra d'infecter tout le CERN (voir notre article du Bulletin intitulé « Rançonnage des entreprises : vous êtes le premier concerné »).

______

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez nos rapports mensuels (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.