Ce document est obsolète et ne sera pas mis à jour. Veuillez vous référer aux documentations techniques disponibles sur le site de l’ANSSI : https://www.ssi.gouv.fr/
1 – Les rançongiciels
Les rançongiciels (ransomware en anglais) constituent une catégorie de programmes malveillants visant à obtenir le paiement d’une rançon. Pour ce faire, le programme malveillant essaie le plus souvent d’empêcher l’utilisateur d’accéder à ses fichiers, par exemple en les chiffrant, et lui affiche des instructions afin que celui-ci paie une rançon.
Lorsqu’un ordinateur est infecté, les fichiers de cet ordinateur peuvent être bloqués, mais les conséquences peuvent aussi s’étendre au reste du système d’information. Ainsi, un partage de fichiers monté sur une seule machine infectée se retrouvera probablement concerné et risque ainsi d’impacter un plus grand nombre d’utilisateurs. De même, si l’infection initiale arrive souvent (mais pas nécessairement) par un courrier électronique piégé, le programme peut aussi chercher à se propager de manière autonome sur le reste du système d’information et au travers de ses interconnexions en exploitant des vulnérabilités à distance. Si certains de ces programmes comportent des défauts de fabrication permettant de retrouver partiellement ou totalement les données concernées, d’autres utilisent des méthodes proches de l’état de l’art et peuvent condamner l’accès aux fichiers si la clé de déchiffrement n’est pas obtenue. Il s’agit donc effectivement d’une menace à prendre très au sérieux et dont il vaut mieux chercher à se prémunir avant qu’il ne soit trop tard.2 – Prévention
Assurer un bon niveau de sécurité global du système d’information
Pour infecter de manière automatisée une machine, un rançongiciel doit utiliser une vulnérabilité (ex : macro malveillante dans un document piégé, vulnérabilité logicielle d’un service réseau, mot de passe par défaut, etc.). Ainsi, afin de réduire les possibilités offertes à un rançongiciel de s’introduire, il convient d’assurer un bon niveau de sécurité global du système d’information.
Si l’objectif de ce document n’est pas de constituer un guide de sécurisation d’un système d’information, quelques bonnes pratiques sont par exemple référencées dans le guide d’hygiène de l’ANSSI. Parmi les mesures s’appliquant particulièrement dans le cadre de ce document, on peut citer :- appliquer les correctifs de sécurité fournis par les éditeurs ;
- restreindre les programmes autorisés à être exécutés : application de stratégies de restriction logicielle ou de Applocker pour les systèmes Windows, options de montage en lecture seule des répertoires temporaires et de l’utilisateur pour les systèmes UNIX ;
- durcir la configuration des logiciels bureautiques ou manipulant des données provenant d’Internet : restreindre l’autorisation des macros dans les suites bureautiques, désactiver le moteur Javascript des lecteurs PDF, activer les bacs à sable (sandbox) des logiciels le permettant, installer des extensions dédiées aux navigateurs Internet pour restreindre par défaut l’interprétation de code Javascript, etc. ;
- configurer le pare-feu des postes de travail pour empêcher les flux de poste à poste ;
- lorsque des anti-virus sont employés sur les postes ou sur les passerelles de messagerie, veiller à la mise à jour fréquente des signatures et du moteur du logiciel ;
- minimiser les droits sur les partages réseau : s’assurer que le droit en écriture n’est accordé qu’aux utilisateurs en ayant réellement le besoin et contrôler régulièrement les droits d’accès ;
- effectuer des sauvegardes et des tests de restauration. Procéder à la mise hors ligne des sauvegardes des éléments les plus sensibles. Ces points sont développés par la suite ;
- effectuer des audits et des tests d’intrusion réguliers et mettre en place un plan d’action pour corriger les défauts mis en évidence.
Sensibiliser les utilisateurs
Si le rançongiciel n’affecte pas de manière automatisée une machine, le vecteur d’infection sera l’utilisateur, que ce soit à son insu en ouvrant une pièce jointe piégée ou par inadvertance en désactivant une protection (technique d’ingénierie sociale incitant l’utilisateur à effectuer une action).
La sensibilisation des utilisateurs est ainsi primordiale :- ne pas ouvrir les pièces jointes des messages électroniques suspects (fautes d’orthographes, pièces jointes au nom trop succinct ou trop générique, etc.). Il faut toutefois noter que la caractéristique d’un courriel de type « hameçonnage ciblé » (spear phishing) est de personnaliser le contenu par rapport à l’environnement de l’utilisateur afin de duper sa vigilance ;
- ne pas suivre les liens des messages électroniques suspects et vérifier la cohérence entre l’adresse affichée dans le contenu et le lien effectif. Il faut toutefois noter que les attaques de type XSS (cross-site scripting) ou par point d’eau (watering hole) rendent inefficace cette pratique ;
- ne pas réactiver des fonctionnalités désactivées dans la configuration des logiciels, même si le fichier ouvert y incite par un message particulier.