Aujourd'hui, je vais vous raconter une histoire vraie tirée de la vie des chefs d'entreprise. Et bien que son intrigue ressemble à un film hollywoodien, elle peut arriver à tous ceux qui disent : "Nous avons une petite entreprise ! Qui a besoin de nous ?"
J'avais un client - j'ai effectue des travaux de maintenance de sites. Au début de notre collaboration, j'ais posé des questions générales sur l'infrastructure : quel type de matériel, quel anti-virus utilise-t-il, comment les droits d'accès sont-ils distribués et des sauvegardes sont-elles effectuées ?
N'ayant pas reçu de réponses très claires, j'ai proposé de réaliser un audit de la sécurité de l'information, ce à quoi le client a répondu qu'il y avait un administrateur de système dans l'entreprise et que tout allait bien. J'ai écarté les mains et oublié l'affaire.
Quelques mois plus tard, un message arrive d'un client : nous avons été cryptés et nous demandons une rançon. Que faire ?
Il s'est avéré qu'en arrivant au travail, les employés ont trouvé sur leur ordinateur, au lieu des habituels docx, xlsx, pdf, jpg, etc., des fichiers blancs avec une série de lettres au lieu d'une extension, ce qui signifie qu'aucun programme ne peut les ouvrir.
Mais ils ont ouvert un document contenant des instructions. Les pirates promettaient d'envoyer un déchiffreur contre la somme "modeste" de 2 000 dollars transférée sur un compte spécifié.
Les représentants de l'entreprise ont tenté de contacter les pirates, mais n'ont pas obtenu de réponse.
La première chose que j'ai faite c'est a essayer de résoudre le problème moi-mêmes. J'ai inspecté les serveurs, essayé de récupérer les données, ainsi que les copies fantômes. Pour l'avenir, disons qu'après cette histoire, j'ai mené un audit de sécurité et découvert que les attaquants ont accédé au serveur principal par un port RDP ouvert en utilisant la force brute du mot de passe et qu'ils ont tout crypté à partir de ce serveur. Le plus triste, c'est que les sauvegardes étaient stockées sur le même serveur et, bien sûr, étaient également cryptées.
J'ai informé le client qu'il devrait payer, bien qu'il y ait un risque qu'il envoie de l'argent et qu'aucune action ne s'ensuive.
Bien entendu, nous devions d'abord nous assurer que le décryptage était possible. Nous avons contacté les pirates, qui n'étaient apparemment pas en France, et nous avons au moins dû communiquer en anglais, et nous leur avons dit que nous ne paierions pas tant que nous n'aurions pas la certitude qu'ils disposaient d'un déchiffreur. Ils n'ont pas émis d'objection et ont instantanément décrypté le fichier que nous avions envoyé pour vérification.
Après avoir constaté qu'il y avait une chance de récupérer les données et que les gars étaient plutôt accommodants, nous leur avons demandé de baisser le prix car le montant était important pour l'entreprise. Quelle ne fut pas notre surprise lorsqu'ils ont accepté de baisser le prix de 300 $ !
Enfin, nous avons été informés que le déchiffreur coûterait 1700 $, mais nous l'avons prévenu qu'il y avait toujours un risque de ne pas obtenir les fichiers ou que les pirates exigeraient plus d'argent.
Étant donné que l'entreprise était inactive depuis plusieurs jours et que les pertes s'accumulaient, le client a pris ses responsabilités et a décidé de prendre le risque.
Nous pourrions terminer l'histoire sur une bonne note en vous disant que nous avons obtenu le déchiffreur et récupéré avec succès toutes les données. Mais il est tout aussi intéressant, et bien plus triste, de savoir comment nous avons découvert la raison de tout cela.
Quelle en est la cause et y a-t-il une vie après une cyberattaque ?
Après avoir résolu le problème avec les pirates, nous devions trouver la cause de ce qui s'était passé afin que cela ne se reproduise plus.
Nous avons donc lancé l'audit que nous avions proposé au début de notre coopération. Il s'est avéré que le client ne disposait d'aucun moyen de protection contre le piratage de son serveur. Comme nous l'avons déjà mentionné, il y avait un port RDP ouvert à partir d'Internet, ce qui n'est absolument pas sûr. Et bien que ce port ait été périodiquement modifié, il ne fonctionne pas et ne protège pas contre le piratage.
C'est comme si vous aviez 5 serrures sur votre porte d'entrée, mais que vous n'en fermiez qu'une seule et toujours avec la même clé.
En creusant un peu, nous avons découvert que le serveur avait un mot de passe qui pouvait être facilement trouvé à l'aide d'un outil de recherche de mots de passe. C'est ainsi que les attaquants sont entrés dans le serveur principal. Une autre erreur fatale a été d'ouvrir un port directement vers le serveur principal.
Par conséquent, à partir de ce serveur, les attaquants ont accédé à d'autres serveurs et ont crypté absolument tous les fichiers. Y compris les données de sauvegarde qui étaient stockées ici.
En quelques heures, nos équipes ont vérifié et testé l'ensemble du système et ont rendu un verdict décevant pour le client : il est nécessaire de reconstruire l'ensemble du système d'accès général et interne, ainsi que le système de sauvegarde, afin de mieux protéger l'entreprise non seulement contre le piratage, mais aussi contre la perte de données. Il convient de noter que nous avons immédiatement pris en charge leur mise en œuvre.
Les recommandations comprennent des éléments que nous recommandons à tous les clients. Par exemple, le système de sauvegarde doit être conçu de manière à ce que les données puissent être restaurées non seulement en cas de perte du serveur, mais aussi en cas d'incendie du serveur lui-même, de panne de l'ensemble de l'équipement ou d'inondation du bâtiment abritant les serveurs. En d'autres termes, il ne doit pas y avoir de dépendance à l'égard du bâtiment, de la salle ou de l'emplacement physique des serveurs.
Quant au système de déploiement des serveurs, il faut tenir compte du fait qu'en cas de défaillance d'une machine, il doit être possible de tout déployer rapidement sur d'autres capacités, c'est-à-dire que nous créons des serveurs virtuels.
Ces actions minimales augmentent déjà le niveau de sécurité de l'information et le système lui-même devient plus tolérant aux pannes. Et surtout, il sera possible de restaurer les données même en cas de perte physique des serveurs.
Comment le cryptage affecte-t-il votre entreprise et devez-vous vous préoccuper de vos données précieuses ?
En général, tous les fichiers opérationnels nécessaires au travail sont cryptés en une seule fois. C'est ce qui s'est passé avec notre client. Par exemple, une base de données 1C a été cryptée, dans laquelle tous les employés travaillaient. À ce moment-là, ils ne pouvaient pas travailler, ils ne pouvaient pas créer de factures. Ou alors, ils créaient des factures, mais manuellement. C'est gênant et cela prend du temps, et il faut ensuite tout saisir dans la base de données.
Les employés ne pouvaient pas ouvrir de contrats, ni même certains modèles. Ils ne pouvaient pas contacter les clients et les fournisseurs, dont les contacts n'étaient stockés que dans la base de données. En fait, ils ne pouvaient rien faire - les activités de l'entreprise étaient complètement suspendues.
Dans notre cas, le décryptage proprement dit a pris 24 heures, mais pendant que les clients s'en occupaient eux-mêmes, pendant qu'ils se tournaient vers nous, pendant que nous examinions la situation et que nous contactions les pirates, beaucoup de temps s'est écoulé. En conséquence, l'entreprise n'a pas travaillé pendant environ une semaine.
Le plus souvent, les pirates ne s'intéressent pas aux données elles-mêmes, c'est-à-dire aux informations personnelles, aux bases de données 1C ou à certains documents internes.
Ce type de processus de piratage se déroule automatiquement et ces pirates peuvent réussir plusieurs piratages en même temps. Ils ne s'assoient pas pour analyser ces documents, ils exécutent simplement un programme qui commence à crypter tous les fichiers. Ce faisant, ils disposent d'un déchiffreur qu'ils vendent. Il faut dire qu'il y a toujours des entreprises dont la sécurité est médiocre et qui n'ont d'autre choix que de payer.
Il n'est pas sûr qu'un attaquant prenne les données, car il s'agit d'un gros volume, et si vous commencez à télécharger, vous pouvez vous faire prendre très rapidement. Il est également dangereux de télécharger directement vers votre propre source - vous pouvez laisser des traces et augmenter le risque d'être pris.
Par conséquent, peu de personnes se lancent dans le téléchargement de données et le chantage qui en découle. Ce n'est le cas que s'il s'agit d'un piratage personnalisé de vos concurrents, par exemple.
Conseils d'un expert : sécurité minimale pour les entreprises.
Tout d'abord, il est nécessaire de mettre en place un système d'accès de l'extérieur à l'organisation. Il doit s'agir de réseaux sécurisés, de VPN, de tunnels. En effet, un port ouvert n'est pas sûr, il est très facile à pirater.
Deuxièmement, il doit y avoir un système de sauvegarde correctement configuré, car la sauvegarde est la chose la plus importante. Vous pouvez perdre des données par la faute de vos employés ou parce que votre ordinateur est tombé en panne, que votre serveur a brûlé ou qu'il a été volé. Les situations sont différentes.
Il est important qu'une liste limitée de personnes ait accès aux sauvegardes et que celles-ci soient physiquement situées dans un endroit séparé - dans une pièce séparée, dans un autre bâtiment ou dans le nuage.
Le plus souvent, nous recommandons que les données importantes soient stockées dans le nuage.
Si le client dans cette situation avait pris le système de copie au sérieux, vous auriez pu éviter de payer de l'argent et de passer du temps à restaurer les données à partir des copies.
Troisièmement, un antivirus banal peut arrêter le piratage. Dans la situation de notre client, les attaquants l'auraient bien sûr simplement désactivé, puisqu'ils avaient accès aux serveurs, mais il arrive que le logiciel de cryptage s'introduise dans l'entreprise non pas par les mains des attaquants, mais par la faute des employés.
Souvent, les employés téléchargent de tels fichiers à partir de courriels. Ils pensent ouvrir un document, mais ce qu'ils voient est un logiciel malveillant qui commence à crypter tout ce qu'ils voient, tout ce à quoi l'employé a accès. S'il y avait un antivirus sur l'ordinateur ou le serveur, il aurait peut-être empêché ces actions.
À cet égard, la quatrième recommandation est de former vos employés aux bases de la sécurité de l'information. Vous pouvez aller plus loin et installer des programmes de surveillance des employés. Vous saurez ainsi qui ouvre quels fichiers et où sont envoyés les documents.
Utilisez des systèmes d'exploitation de la famille Linux, car ils sont moins sujets à la propagation de virus et plus souples en termes de paramétrage.
Et surtout, mettez constamment à jour le logiciel et vérifiez le système. Nous avons souvent rencontré des responsables qui pensaient que seules les grandes entreprises et les agences gouvernementales étaient vulnérables aux attaques de pirates informatiques, et que les petites entreprises n'intéressaient personne et que personne ne les piraterait. En réalité, ce sont les petites et moyennes entreprises qui sont complètement démunies face aux attaques, car elles économisent de l'argent sur l'infrastructure informatique et sa sécurité.
Nous recommandons vivement de contacter des spécialistes "lazur-informatique" qui peuvent effectuer un audit de la sécurité du système. Il est plus rapide et moins coûteux de mettre en place une infrastructure informatique correcte et fiable que de faire face aux conséquences d'une fuite de données ou d'un cryptage.