Rançongiciels : comment les identifier et s’en protéger ?

Presque inconnus il y a seulement deux ans, les rançongiciels ou ransomware font maintenant partie de notre quotidien. Comment les distinguer et éviter de se faire prendre au piège ? C’est ce qu’un expert en cybersécurité a expliqué lors de l’événement MTL Connecte.

En l’espace de deux ans, entre 2019 et aujourd’hui, l’explosion du télétravail a engendré une amélioration notoire des technologies utilisées par les professionnels et les employés… mais aussi des techniques utilisées par les cybercriminels pour les prendre au piège et causer beaucoup plus de dommages à leurs principales victimes, les entreprises.

Ce fléau s’est abattu sur le Québec comme ailleurs, avec plusieurs piratages majeurs qui ont fait la manchette, comme celui de la Société de transport de Montréal qui s’est vue demander en octobre 2020 2,8 millions de dollars, la paralysie de tous les systèmes de Promotuel Assurances en décembre 2020, ainsi que les attaques répétées de plusieurs hôpitaux et municipalités.

Martin Bélanger, directeur national des solutions de sécurité chez TELUS Affaires

Des statistiques qui font peur

Une étude menée par TELUS avec IDC auprès de centaines d’entreprises canadiennes privées et publiques de plus de 50 employés, qui devrait être publiée bientôt, est indicatrice du danger majeur que représentent aujourd’hui les cybercriminels.

Effectivement, il en ressort qu’au cours de l’année 2020, 83% des organisations ont dû faire face à des tentatives de rançongiciels, alors que seulement 20% d’entre elles avaient rencontré ce problème en 2019.

De plus, 67% de ces mêmes organisations ont avoué avoir été infectées à plus d’une reprise. Et ce qui est encore plus alarmant, c’est que 16% d’entre elles ont déclaré s’être défendues avec succès contre ce piratage… ce qui signifie que 84% n’ont pas réussi à le faire ! « Elles ont donc perdu de l’argent, des données, de la crédibilité et probablement des clients », conclut Martin Bélanger, directeur national des solutions de sécurité chez TELUS Affaires.

Le rançongiciel en 2021

Alors que l’on sait déjà que la majorité des entreprises ne retourneront pas à un modèle de travail en présentiel à temps plein, il est fondamental de savoir comment des cybercriminels peuvent aujourd’hui s’en prendre à elles par l’intermédiaire de leur équipe. Parce qu’aujourd’hui, nous sommes tous concernés, les organisations, comme nos voisins de palier ou nous-mêmes.

« À la base, un rançongiciel, c’est tout simplement un logiciel (maliciel) qui demande une rançon. Et la plupart du temps (90% des cas), cette attaque se réalise au moyen d’un courriel d’hameçonnage », explique Martin Bélanger.

Rares sont en effet ceux qui n’ont pas reçu jusqu’à maintenant un courriel portant la mention « urgent », semblant légitime et nous invitant à cliquer sur un fichier attaché ou un lien. Comme l’indique l’expert, « La plupart des erreurs commises par les victimes sont involontaires, par manque de discernement ou de temps. Tout le monde peut se faire avoir, même ceux qui croient qu’ils ne peuvent pas être bernés. Ça a été le cas d’un PDG dont nous avons testé les réflexes en montant, après avoir appris sur ses réseaux sociaux qu’il avait un bateau à une marina, un courriel d’hameçonnage lui annonçant que ce bateau avait subi des dommages et en l’invitant à ouvrir la pièce jointe pour les constater. Et je peux vous dire que j’ai plus de doigts qu’il ne s’est passé de secondes avant qu’il n’ait cliqué sur le lien de piratage! »

Parce que voilà, les techniques utilisées par les cybercriminels pour obtenir des rançons sont nettement plus léchées qu’auparavant. L’expert en cybersécurité en dénote trois principales :

• Le cryptage du système jusqu’à l’obtention d’une rançon réglée sous forme de bitcoins.
• Le vol (avec ou non la menace de publication sur le dark web) de données sensibles que l’on rend une fois la rançon versée.
• L’espionnage ciblé menant au vol et à la manipulation de données sensibles. Dans ce cas de figure, il peut être difficile et long de s’apercevoir de l’escroquerie.

Aperçu de la présentation de Martin Bélanger à MTL Connecte

Se protéger des rançongiciels

De plus en plus d’entreprises et professionnels spécialisés en cybersécurité se côtoient sur le marché et ont des approches différentes pour contrer les rançongiciels. Chez TELUS, le système anti-ransomware comprend par exemple quatre niveaux de sécurité :

• Un premier filet de sécurité, le Endpoint, consiste à sécuriser les équipements. Les endpoints sont les points d’entrée des réseaux informatiques, à savoir tous les appareils électroniques connectés comme les ordinateurs, les portables, les tablettes et les cellulaires.
• Un deuxième niveau est lié à la détection des utilisateurs. On vérifie ainsi si les utilisateurs se connectent à un endroit et à des heures crédibles. Si par exemple, un utilisateur qui vit et travaille d’ordinaire à Montréal se connecte soudain à trois heures du matin en Afrique subsaharienne, il est possible que son ordinateur ait été infecté.
• Un troisième filet repose sur le tri automatisé des courriels, afin d’éviter que des messages porteurs de rançongiciels s’y glissent.
• Enfin, et c’est semble-t-il la formule la plus efficace, on peut sensibiliser ses collègues ou son équipe en testant leurs réflexes avec de faux rançongiciels, puis en les formant à leur détection.

Que faire si on est attaqué par un rançongiciel ?

Aucun système de protection contre les rançongiciels, aussi sophistiqué soit-il, n’est parfait. Alors nous sommes tous à risques de voir nos équipements informatiques et connectés infectés un jour ou l’autre. Que faire à ce moment-là ?

Martin Bélanger a établi une liste d’étapes à réaliser dans ce cas de figure :

• Déconnecter immédiatement l’appareil touché pour éviter ou, du moins, freiner la propagation du rançongiciel sur les autres appareils connectés.
• Évaluer si l’appareil peut être réparé et si les données qu’il contenait peuvent être récupérées.
• Changer tous ses mots de passe !!! « Il ne faut d’ailleurs pas attendre qu’un pirate vous attaque avant de le faire. Utiliser des mots de passe trop simples ou similaires sur plusieurs moteurs, c’est une voie d’accès royale pour les cybercriminels. »
• Consulter un professionnel en cybercriminalité et un conseiller juridique avant de verser la rançon. « Ce n’est pas parce qu’on aura récupéré une partie ou l’ensemble des données volées que l’on sera pour autant en sécurité, indique l’expert. En moyenne, 50% des pirates dupliquent les données et s’en resservent quelques mois plus tard. Certains d’entre eux, qui connaissent même le montant maximal de remboursement des cyberassurances de leurs victimes, sont même capables de planifier des rançongiciels en fonction du montant et des délais relatifs à cette assurance. »
• Enfin, afin de prévenir d’autres victimes potentielles, signaler l’attaque au Centre antifraude du Canada et au Centre canadien pour la cybersécurité.

Espérons maintenant qu’avec tous ces éléments en tête, nous pourrons nous défendre plus adéquatement contre une menace qui coûte, ne serait-ce qu’au Québec, des centaines de millions de dollars chaque année.