L’ANSSI et la DACG publient un guide sur les attaques par rançongiciels

« Depuis le début de l’année, l’ANSSI a traité 104 attaques par rançongiciels » annonce l'Agence pour la sécurité des systèmes d’information. Elle publie du coup ce jour, avec la Direction des Affaires criminelles et des grâces, un guide de sensibilisation. Explications.

Dans ce guide de 21 pages, Guillaume Poupard, directeur général de l’ANSSI et Catherine Pignon, directrice de la DACG entendent signaler les risques pesant sur les opérateurs face à ces actes de cybercriminalités. Les rançongiciels « représentent aujourd’hui la menace la plus sérieuse. Ils augmentent en nombre, en fréquence, en sophistication et peuvent être lourds de conséquences sur la continuité d’activité voire la survie de l’entité victime ».

Si le champ de compétence de l’ANSSI s’est d’abord concentré sur les opérateurs d’importance vitale puis sur les fournisseurs de services essentiels, ce guide qui s’adresse à tous entend ajouter une « première pierre » à un édifice en gestation.

Il est publié alors que « le gouvernement mène une réflexion sur les mesures à même de réduire le risque que représentent les rançongiciels en vue de casser le modèle économique des attaquants et diminuer de manière drastique leur sentiment d’impunité ».

Conséquence de ces programmes malveillants ? « arrêt de la production, chute du chiffre d’affaires, risques juridiques (…), altération de la réputation, perte de confiance des clients, etc. ». Parmi les risques juridiques, ceux nés du règlement général sur la protection des données personnelles, qui oblige déjà à documenter l’attaque précisément, puis à notifier cette base à la CNIL en cas de risque pour la vie privée, en principe dans les 72 heures, voire aux personnes physiques concernées, si ce risque est élevé (voir également cette page sur les marqueurs de compromission).

Des recommandations issues du « Guide d'hygiène informatique »

Témoignage de ces conséquences, le dossier ANSSI/DACG cite les commentaires de représentant du CHU de Rouen, du Groupe M6 et de Fleury Michon, autant de structures victimes de ces faits. «  Dans la nuit du 10 au 11 avril 2019, une attaque par rançongiciel a obligé l’entreprise à couper toute liaison Internet et avec les ensembles applicatifs. Conséquence directe de l’attaque : arrêt total de l’activité pendant trois jours et fonctionnement en mode dégradé pendant deux semaines », rapporte Laurent Babin, le RSSI de Fleury Michon.

Des noms qu'on retrouve sans surprise dans son état de la menace, publié l'an passé par l'Agence, où celle-ci indiqué avoir traité « 69 incidents en 2019  », relevant de son périmètre spécifique. 

L’Agence remet sur la table des éléments de bon sens issus de son « Guide d’hygiène informatique » : correctifs de sécurité, mise à jour des signatures antivirus, politique de filtrage sur les postes de travail, « désactivation des droits d’administrateur pour les utilisateurs de ces postes », avec limitation des privilèges. « Les actions de propagation du rançongiciel au sein du système d’information sont généralement réalisées à l’aide de comptes d’administration » comment le guide, qui préconise aussi dans sa besace, une sensibilisation des utilisateurs. S’y ajoutent des sauvegardes régulières des données, une politique de veille aiguisée (notamment via le site du Cert-FR) accompagnée au besoin d’une assurance dédiée.

« Aujourd’hui, les contrats d’assurance cyber permettent d’accompagner les entités victimes de cyberattaques en leur fournissant, en cas de sinistre, une assistance juridique ainsi qu’une couverture financière du préjudice (matériel, immatériel, etc.) », applaudit le document, avant de relever néanmoins un marché « encore naissant [qui] doit poursuivre son développement, en particulier en matière de jurisprudence concernant l’activation ou non des clauses d’exclusion ».

Prévenir ces attaques consiste aussi à établir un plan de réponse. « Les fonctions support comme la téléphonie, la messagerie, mais aussi les applications métier peuvent être mises hors d’usage. Il s’agit alors de passer en fonctionnement dégradé et dans certains cas, cela signifie revenir au papier et au crayon ». Le guide préconise des moyens de communication de secours « propres au plan de continuité informatique ». Une gestion de crise qui doit également passer par une stratégie de communication cette fois externe, afin de limiter la casse en termes de réputation.

Après le préventif, le curatif

Au-delà du volet préventif, que faire en cas d’attaque ? « Le premier réflexe est d’ouvrir une main courante permettant de tracer les actions et les évènements liés à l’incident ». Doit y être consignée une chronologie exacte des évènements, accompagnée de leur description. « Ce document doit permettre à tout moment de renseigner les décideurs sur l’état d’avancement des actions entreprises ».

L’ANSSI et la DACG rappellent aussi l’importance d’isoler le système d’information. « En bloquant toutes les communications vers et depuis Internet (…) l’attaquant ne sera plus en mesure de piloter son rançongiciel ni de déclencher une nouvelle vague de chiffrement ». « Une fois les programmes malveillants à l’origine de l’infection identifiés, il sera possible de rechercher dans les journaux du système d’information les éventuelles caractéristiques de ceux-ci », ajoute le guide.

« Ces éléments pourront être utilisés sur les passerelles applicatives ou sur les équipements de filtrage réseau pour éviter de nouvelles infections. En particulier, si une adresse IP est identifiée comme étant malveillante, il sera possible de mettre en place une règle au niveau des pare-feux ». Autre mesure de bon sens : laisser éteintes les machines non démarrées au moment de l’attaque.

« Malgré le chiffrement des données par le rançongiciel, il est possible qu’une solution de déchiffrement soit découverte et rendue publique ultérieurement. Aussi, il est important de conserver les données chiffrées ». Le guide rappelle l’initiative No more ransom, qui propose une série d’outils de déchiffrement pour une série de rançongiciels (Checkmail7, Spartcrypt, Crycryptor, Redrum, Zorab, Mapo, Vcryptor, Javalocker, Dragoncyber, Gogoogle, Magniber et Simplelocker). Une initiative commune rassemblant le National High Tech Crime Unit de la police néerlandaise, European Cybercrime Centre, Kaspersky et McAfee, outre de nombreux partenaires et soutiens.

Pour les structures disposant de moyens, est préconisée la mise en place d’une cellule de crise, qui pourra notamment gérer les échanges avec la CNIL, avec son DPO en appui. Pour les plus petites entités, les choix se réduisent, mais l’ANSSI rappelle sa plateforme cybermalveillance.gouv.fr qui permet, notamment, une mise en relation des victimes avec des professionnels à proximité. Elle dispose d’ailleurs d’une fiche dédiée à ce type de cybercriminalité.  

Dans tous les cas, les deux entités recommandent d’une part de porter plainte, qui permettra notamment d’enclencher des moyens d’investigation plus poussée.

Ne surtout pas payer

Ces mesures relèvent d’ailleurs de l’extorsion de fonds, infraction prévue dans le Code pénal qui sanctionne de 7 ans d’emprisonnement et 100 000 euros d’amende, le fait d’obtenir par contrainte une remise de fonds. Elles concernent également le droit pénal de la fraude informatique, puisqu’il s’agit d’une atteinte à un système de traitement de données, accompagnée d’une modification ou d’une altération (3 ans de prison, 100 000 euros d’amende, voire 5 ans et 150 000 d’amende pour les traitements mis en œuvre par l’État).

D’autre part, elles invitent surtout à ne pas payer la rançon, contrairement à ce que suggère les dernières actualités. « Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. De plus, le paiement de la rançon n’empêchera pas votre entité d’être à nouveau la cible de cybercriminels ».

• Télécharger le guide de l'ANSSI et de la DGAC sur les rançongiciels