Face à l’(in)efficacité des solutions antivirus présentes sur le marché et à l’émergence des monnaies virtuelles anonymes, un nouveau type de malware a commencé à se répandre très largement à partir de 2015: les ransomwares/cryptolockers. Ces malwares permettent de toucher le grand public, aux yeux de tous, d’extorquer rapidement de l’argent, tout en protégeant l’identité des créateurs. Leur principe de fonctionnement est relativement simple, car il s’agit d’encrypter les fichiers auxquels l’utilisateur a accès et de vendre ensuite la clé de déchiffrage via une monnaie virtuelle.

Voir toutes ses données encryptées peut déjà avoir de graves conséquences pour l’utilisateur particulier, mais elles sont bien plus lourdes dans les sociétés, où les utilisateurs ont bien souvent accès à des serveurs de fichiers contenant toute la vie de l’entreprise. Avec les performances des réseaux informatiques d’aujourd’hui, chaque ordinateur connecté au réseau est capable de chiffrer plusieurs gigaoctets de fichiers par minute, ce qui peut mettre en péril très rapidement les activités.

De nouveaux vecteurs d’attaque

Les cryptolockers utilisent également de nouveaux vecteurs d’attaque. Contrairement aux malwares «classiques», où il était recommandé aux personnes de ne pas ouvrir de fichiers de source non vérifiée − l’infection d’un ordinateur dépendant d’une action de l’utilisateur −, les cryptolockers, eux, sont capables d’infecter un ordinateur sans aucune action de l’utilisateur, simplement en visitant un site internet et sans même avoir besoin de cliquer sur un lien. Dans la plupart des cas analysés par Dartalis, l’utilisateur dont l’ordinateur a été atteint n’avait effectué aucune action particulière, mis à part surfer sur des sites tout à fait légitimes. Force est de constater que les solutions antivirus mises en place par l’entreprise, même sur plusieurs niveaux, avaient été incapables de bloquer l’attaque.

L’arrivée de WannaCry en mai 2017, et sa médiatisation, ont permis qu’une plus grande majorité s’éveille au réel danger des cryptolockers.

Isaak Dayan, Managing partner (Dartalis)

L’arrivée de WannaCry en mai 2017, et sa médiatisation, infectant des milliers d’ordinateurs à travers le monde en touchant de nombreuses instances gouvernementales et grandes entreprises, ont permis qu’une plus grande majorité s’éveille au réel danger des cryptolockers.

Des solutions matures permettant de bloquer ces nouvelles menaces existent aujourd’hui, mais nécessitent pour les entreprises d’investir dans des solutions proactives dont le fonctionnement est basé sur les actions qu’effectue un programme. Un changement de paradigme, comparé aux méthodes traditionnellement réactives basées sur des signatures connues a priori. C’est l’arrivée des concepts de «sandboxing», «behaviour analysis» ou de «machine learning».

Face au flux exponentiel de malwares, il est désormais impossible de disposer d’une base de signatures efficace. La stratégie est donc d’interdire l’exécution des programmes malveillants, en maîtrisant leurs contextes (accès fichiers, mémoire, clés de registre,...) et de les supprimer si leur comportement présente un danger pour l’intégrité des données de l’entreprise.

En conclusion, sans investir dans une solution proactive dite «Next Generation», il n’y a aucune façon fiable de lutter contre ces nouvelles menaces. Sans oublier les bonnes pratiques liées à la sauvegarde des données et la mise en place d’un plan d’incident spécifique destiné à gérer l’effet de panique intrinsèque lorsque l’on voit ses fichiers se faire encrypter sans en connaître la cause.

Article rédigé avec la participation de Sébastien Bourgasser, CTO, dartalis.