« Les prochains ransomwares s’attaqueront aux objets connectés »
Sécurité : La médiatisation de l’opération WannaCry a mis les ransomwares sur le devant de la scène. Le phénomène n’est toutefois pas nouveau et ne cesse de se réinventer laissant augurer une explosion de la menace. Décryptage par Renaud Bidou, directeur technique Europe du Sud de Trend Micro.
La couverture médiatique autour de WannaCry a eu, au moins, le mérite de faire connaître le concept de ransomware au plus grand nombre. Le phénomène n’est toutefois pas nouveau comme le montre Trend Micro dans une étude récente. Directeur technique pour l’Europe du Sud, Renaud Bidou, rappelle les origines du ransomware et se projette sur les formes qu’il pourrait prendre à l’avenir.
A quand remontent les premiers ransomwares ?
Renaud Bidou : Les premiers cas remontent aux années 90. A l’époque, l’effet était limité, le spam n’était pas aussi efficace qu’aujourd’hui. La première attaque d’envergure prend corps en 2005-2006 en Russie pour gagner ensuite d’autres pays européens. Fin 2013, les « crypto-ransomwares » font leur apparition avec CryptoLocker en tête de file. Pour récupérer leurs fichiers cryptés, les victimes sont invitées à régler une rançon en Bitcoins. 2015 constitue un autre tournant. Les pirates commencent à cibler les entreprises. Le phénomène change alors d’échelle. Des hôpitaux paient des sommes s’élevant à des dizaines de milliers euros contre quelque 300 dollars pour un particulier. Cette manne financière entretient l’intérêt des attaquants qui rivalisent d’ingéniosité. Avec l’arrivée des Exploit Kit, l’infection ne se fait plus en cliquant sur un lien dans un mail mais en visitant simplement un site piraté ou contenant une publicité malicieuse. Il peut s’agir de sites pour adultes ou de sites d’information détournés, n’éveillant pas la vigilance de l’internaute. Sur la page infectée, un bout de javascript va analyser la configuration du navigateur web utilisé et exploiter une vulnérabilité comme un plugin flash non mis à jour. WannaCry n’a rien révolutionné. Son « succès », il le doit par l’utilisation de failles sous Windows qui lui a permis de se propager très rapidement. Beaucoup moins médiatisé, le ransomware Jaff, de format plus classique, a fait sur la même période beaucoup plus de mal.
Quelles formes prendront les prochains ransomwares ?
RB : Le nombre de familles de ransomwares ne cesse de croître. Elles sont passées de 29 en 2015 à 247 un an plus tard. Soit une augmentation de 752 % ! Certains ransomwares sont des variantes de malwares existants, d’autres sortent « en version bêta ». A l’avenir, on peut redouter que des systèmes s’autopropageant de façon autonome, en mode déconnecté. Le pire adviendrait si une menace venait à exploiter une faille « zero day ». Après les entreprises, les hôpitaux, des villes pourraient être visées comme ce fut le cas pour les transports en commun de San Francisco fin novembre 2016. Par ailleurs, les vecteurs de transmission vont se diversifier. Très faciles à hacker, les objets connectés seront inévitablement pris pour cibles. Cela peut aller de la montre à la voiture connectée. Plus grave, des installations critiques comme les automates dans les hôpitaux ou des systèmes de contrôles dans l’industrie sont aussi sous la menace. Comme il est impossible de mettre un anti-ransomware à jour dans chaque objet connecté, les fabricants doivent prendre en compte la protection des données sensibles dès la conception de leurs produits (security by design). Ce que prévoit le futur règlement européen (GRPD).
Quelles sont les mesures de prévention à rappeler ?
RB : Un particulier doit posséder un antivirus à jour et éviter les comportements à risque. En entreprise, les recommandations sont classiques : sauvegardes régulières, installation des correctifs, sensibilisation des salariés… Si une machine est infectée, il faut l’isoler, ne pas la redémarrer, ne pas payer la rançon et, bien sûr, appeler son fournisseur ou son prestataire sécurité. Les moyens de protection reposent sur le filtrage de mails et d’URLs. Si le ransomware passe ce filtre, l’analyse comportementale permet de bloquer un fichier qui se chiffre rapidement puis de la placer dans un environnement sécurisé afin de l’étudier (sandboxing). Cette technique permet de détecter un ransomware dont la signature est inconnue mais présentant une similitude dans son comportement avec un malware existant. Les parades évoluent en même temps que les menaces. C’est le combat habituel du bouclier et de l’épée.
Trend Micro