ransomware

Les articles taggés ransomware

Hacker

Comme tout article traitant de la sécurité informatique et du piratage, je me devais de respecter la tradition de commencer par cette image du “gentleman hacker” même si, pour moi, on dirait plus un employé qui a choppé un bon gros rhume et une conjonctivite (la raison pour laquelle il est si prêt de l’écran).

“Un ransomware paralyse un hopital”, “Plusieurs millions de comptes LinkedIn se sont fait pirater”, “Un réseau de botnet viens d’être découvert”,…. Que l’on soit dans le domaine de l’informatique ou non, s’il y a bien un sujet qui réunit experts comme néophytes (et allergiques à l’informatique), c’est bien la sécurité. Dans une époque devenant de plus en plus numérique, de nouvelles portes se sont ouvertes aux arnaqueurs et fouineurs qui ne cessent de redoubler d’imagination pour vous prendre au piège.

Comment faire pour s’en protéger ? Que faire en cas d’infection ? Comment gérer les conséquences ? Je vous propose un petit dossier reprenant les bonnes pratiques mais aussi les bonnes réactions à avoir lorsque l’on utilise un ordinateur et internet. Ce guide est donc à destinations de tous et toutes.

Bref aperçu de la situation actuelle

344-7

En quelques années seulement, le monde est devenu une véritable toile d’araignée reliant continents, pays, villes, entreprises et particuliers entre eux via Internet. Une évolution rapide, trop rapide, qui n’a pas forcément laissé le temps nécessaire pour les technologies de sécurité de s’adapter. Les nouvelles technologies de pointes en matière de sécurité informatique d’aujourd’hui sont déjà dépassées depuis plusieurs jours, voire semaines lors de leur première mise en production. Cela ne doit cependant pas être un argument pour ne pas utiliser ces sécurités car, même si dépassée, elles arrêteront malgré tout plus de 95% des menaces numériques.

Ceux qui sont responsables de la majorité de ces menaces sont appelés “Hacker” (ou “pirates” en français). Ils se séparent en deux grandes catégories; la catégorie des “White Hat” (Chapeaux blancs) et des “Black Hat” (Chapeaux noirs).

blackhat-vs-whitehat

Les white Hat

Aussi appelés “Ethical Hacker”, sont des professionnels de la sécurité informatique qui sont engagés par des entreprises/gouvernements afin de détecter les failles d’un systèmes et de les combler. Toutes les actions prises seront encadrées selon un contrat avec leur client afin de se protéger de toutes poursuites. Ils seront cependant limités aux domaines précisés dans ce contrat. On retrouve dans cette catégorie une majorité de consultants et freelance. On peux les associer aux mises à jour et autres patchs correctifs.

Les Black Hat

Ce sont des experts qui n’ont pour but que causer un maximum de dégâts, dans des intérêts plus personnels. Ils peuvent agir à leur propre compte ou être engagé comme mercenaire numérique. Les “black hat” se spécialisent dans la revente de failles non divulguées, de réseaux de PC infectés et de données volées. Ils peuvent aussi lutter pour leurs propres causes avec pour but de ralentir/détruire une organisation/un organisme sans pour autant en tirer des bénéfices financiers. On retrouve dans cette catégorie des groupes comme “Lizard Squad”, responsable des problèmes Xbox Live et PSN. On peux les associer aux virus, vol de comptes et autres piratages.

Une troisième catégorie, plus floue existe, ce sont les “Grey Hat” (Chapeaux gris). Ils se situent entre les deux. Ce sont des spécialistes de la sécurité informatique mais qui ne rentrent dans aucune des deux premières catégories. Ils piratent des systèmes pour le fun ou pour prévenir le propriétaire et ce, hors cadre d’un contrat. Ce sont souvent des lanceurs d’alertes mais qui peuvent être amené devant la justice même si aucune données n’a été altérée et que son but premier était d’avertir.

Cependant, les entreprises n’ayant pas les moyens d’accéder aux services d’un “White Hat” ou voulant faire des tests à une échelle bien plus grande peuvent recourir à une autre options; le “Bug Bounty”.

bug_on_binary_2

Le Bug Bouty

Une pratique de plus en plus rependue est le “Bug Bounty” (La chasse aux bug avec récompenses). Elle ouvre les portes de la chasse aux failles informatiques à tout les monde, aussi bien entreprises que particuliers. Les sociétés mettent des demandes en ligne et des personnes motivées y répondent. Chaque faille trouvée rapporte une somme dépendant de la criticité de celle-ci à celui qui la trouve (et prouve son existence !). C’est une sorte de version moderne des avis de recherche de fugitif.

Tout ceci est évidement réglementé et légiféré. N’importe qui ne peux pas attaquer n’importe quoi pour ensuite prétendre aux récompenses. Il y a un cadre stricte à respecter qui limite les domaines de recherches et les types d’attaques qui peuvent y être faites. Toute sortie de ce cadre risquera d’être considéré comme des tentatives d’intrusions illégales et pourront être donc sanctionnées. Cependant, cela dépendra aussi de la mentalité de l’entreprise avant tout, le recours à la justice n’est pas toujours la réaction choisie.

De grands groupes comme Google, Facebook, Microsoft, Apple sont très friants de cette pratique. Pour exemple, Microsoft a offert à un chercheur en sécurité informatique une somme de près de 100.000$ pour la découverte d’une faille critique. C’est un bon moyen de vivre de sa passion en contribuant à l’augmentation du niveau de la sécurité informatique mondiale.

Pour les intéressés, une nouvelle plateforme de “Bug Bounty” européenne a ouvert il y a peu de temps et semble avoir le vent en poupe. Elle s’appelle “B0unty Factory” et est joignable web-link via ce lien

Ceci clôt notre remise en contexte du cadre actuel de la sécurité informatique en général et son fonctionnement. Passons maintenant aux moyens de se protéger de toutes ces menaces qui n’en veulent qu’à votre argent et vos données.

phishing

Identifier et reconnaître les menaces

Le dicton avait raison, “Un Homme averti en vaut deux !”. Vous pouvez disposer de la meilleure sécurité informatique du monde, cela ne vous empêchera pas de vous faire infecter. Certains virus vont même tenter de vous piéger pour vous faire croire qu’ils sont fiables alors que non. Vos logiciels n’empêcheront pas ce type d’attaques. Vous, si ! Il est donc important de pouvoir reconnaître les menaces et distinguer le vrai du faux afin de ne pas tomber dans le panneau. Le Phishing tire son nom de “Fishing” (La pêche) car le principe est le même; on tend des appâts un peu partout et on attend que ça morde à l’hameçon.

Le Phishing web

Appelée Hameçonnage en français, il s’agit du type d’attaque la plus rependue aujourd’hui. Attention à ne pas confondre ! Le Phishing est un moyen de propagation d’un virus et non un virus à proprement parler. Le but est d’attirer l’utilisateur à faire une action dans le but de le prendre au piège. Il peux aussi bien s’agir de vol de données (carte de banque, compte mail, Facebook,…) mais aussi de transmettre un virus (les ransomware par exemple). Pour parvenir à leurs fins, les hackers vont redoubler d’imagination et de ruse pour tendre les pièges les plus crédibles possibles. Voici un exemple…

facebook-fake

La page est similaire en tout point à la page de connexion de Facebook et pourtant, quelque chose ne tourne pas rond; l’adresse web n’est pas celle de Facebook ! (rappel: www.facebook.com). Si vous entrez vos données sur cette page sans faire attention, votre nom d’utilisateur et votre mot de passe seront enregistrés et le hacker pourra les réutiliser pour se connecter à votre place et piéger d’autres de vos ami(e)s.

Encore, ici, il ne s’agit “que” d’un compte Facebook. Il a existé un site internet qui portait le nom de “IsMyCreditCardStolen”, signifiant “Est-ce que ma carte de crédit a été volée ?”. Ce site proposait un service tout simple, vérifier pour vous si votre carte de crédit à été volée par quelqu’un sur internet. Il n’avais besoin que des données de votre carte de crédit, numéro, Titulaire, Expiration et code de sécurité pour faire cela. Evidement, c’était une simple ruse pour enregistrer ces données, rien de réelle à part un piège. Il n’aurait manqué qu’un simple “Maintenant, Oui!” à la fin de l’opération. Même si le piège semble gros, le site a réussi à voler plusieurs millions de cartes différentes en quelques mois ! Simplement parce que des personnes n’ont pas senti le piège à temps….

Le Phishing email

Tous ces courriers du genre “Vous avez gagné le lotto, ouvrez la pièce jointe pour voir votre prix” ou “Rejoignez ce lien pour récupérer votre prix” ne sont que des traquenards. Mais pourtant, il ne semble rien y avoir dans la pièce jointe ou derrière ce lien curieux…et pourtant, le lendemain, vous relancez l’ordinateur et un message apparaît vous informant que vos données sont cryptées et vous demandant de payer une rançon pour les retrouver. Ce sont les Ransomware. Il sont très difficile à détecter et encore plus difficile de récupérer des données cryptées. Ils ont déjà causé plusieurs milliards en coûts à travers le monde et même bloqué des hôpitaux entier ! Voici un exemple un peu plus compliqué…

facebook-phishing-example-en

Encore une fois, la provenance démasque la ruse. Mais ce n’est pas toujours le cas. Il est possible de masquer une adresse derrière un lien simplement en changeant le texte affiché. Si vous avez un peu de mal à comprendre, je vous propose d’aller sur ce document Wikipédia qui explique en long et en large web-link https://fr.wikipedia.org/wiki/Hame%C3%A7onnage. C’est un concept qui peut paraître étrange et cette page wikipédia apporte une autre approche intéressante également.

La ruse ou tromperie

Cette technique peut être une sorte de Phishing mais beaucoup plus passive que les deux premières car ici, c’est l’utilisateur qui va aux virus et non les virus qui viennent à l’utilisateur. Il s’agit de cacher des virus dans des dossiers intéressants.

Une méthode “à l’ancienne” mais qui fonctionne toujours particulièrement bien. Il suffit de faire croire à l’utilisateur que un virus n’est autre que le dernier épisode de “Game Of Thrones” et, une fois que l’utilisateur tentera de l’ouvrir pour regarder la “vidéo”, le virus aura infecté l’ordinateur. Ceci s’adresse aussi à nos amis qui son fan de jeux vidéos et jeux smartphones. Il est très peu probable d’obtenir facilement sur le premier site qui passe un “cheat” pour voir à travers les murs sur Call Of Duty ou encore une application Android qui donne des cristaux illimités sur Clash of Clans; ne rêvez pas ! Car cela risquerai de vous coûter cher….

Il existe encore bien d’autres méthodes mais les trois citées sont manifestement les plus répandues à travers le net. Passons maintenant au dernier point de ce guide;

3959263-1280-neo-matrixjpg-df0f0f_1280w

Se protéger contre les menaces

Si vous avez eu le courage de suivre ce dossier depuis le début, vous devriez déjà avoir une idée de plusieurs bonnes pratiques à adopter. “Mieux vaut prévenir que guérir”, cela n’a jamais été aussi vrai que pour l’informatique. Alors quel comportement adopter ? Des logiciels peuvent-ils m’aider ? Que faire si je suis infecté ?

Les bons comportements

Ce sont quelques simples règles à suivre qui vous rendront presque imperméable aux vols de compte, de données, des virus et autres menaces informatiques. Adoptons trois couleurs; Ceci est CrucialCeci est importantCeci est secondaire.

L’importance étant subjective pour certains points, cela n’implique que mon avis personnel. Je tiens compte de la difficulté d’application au quotidien de ce comportement également. Les plus importants seront aussi les plus simples à adopter. La liste n’est pas exhaustive !

Ne pas utiliser le même mot de passe partout.
> En cas de vol de ce mot de passe, le pirate aura accès à tout; le mot de passe étant le même.

Utiliser des mots de passe forts
> Un mot de passe fort est un mot de passe contenant au moins 8 caractères et 3 des 4 attributs suivants: Majuscule, Miniscule, Chiffre, Caractères spéciaux. ex: “Tigrou007” est un mot de passe complexe, “T!grou” ne l’est pas car moins de 8 caractères.
> Astuce: utiliser les chiffres pour remplacer des lettres. Le “e” devient un “3” et le “s” un “5”…

N’ouvrez pas de pièce jointe/de lien venant d’un expéditeur inconnu.
> On envoie rarement un fichier au premier contact sans en avoir fait la demande au préalable (un service clientèle par exemple). Pareil pour les liens sur les réseaux sociaux vous invitant à rejoindre telle ou telle application. N’oubliez pas que votre connaissance peut aussi s’être fait pirater avant vous.

Ne donnez jamais vos données sensibles par téléphone/messages/email
> Des arnaqueurs se font passer pour la police, votre banque, votre opérateur téléphonique et vous demandent des codes d’accès, des noms d’utilisateurs, des numéros de cartes de crédit…raccrochez et n’insistez pas ! Ce genre de données ne vous sera jamais demandé réellement de cette manière.
> Pour les messages, pensez que si les paroles s’envolent, les écrits restent !

Déconnectez-vous de vos sites si l’ordinateur est partagé
> Cela évitera que le prochain utilisateur profite de vos sessions Facebook, email ou bancaires.

Utilisez dès que possible la double authentification
> Les sites tels que GMail, Facebook, Outlook,…proposent un mécanisme appelé “Two-Factor”. Ce mécanisme permet de demander, en plus de votre nom d’utilisateur et du mot de passe, un code supplémentaire généré aléatoirement. Il peut être envoyé sur votre numéro de téléphone par SMS ou être récupéré par des applications smartphone (Google Authenticator, FreeOTP,…). Cela ajoute une couche de sécurité costaude.
> En effet, même si un pirate vol votre compte et mot de passe, il ne pourra pas s’y connecter sans ce code aléatoire.

En cas de doute, supprimez le fichier/message/email
> Si c’est vrai et important, la personne vous recontactera.

Faites des sauvegardes de vos données sensibles
> Sauvegarder toutes vos données précieuses sur des disques durs externes qui restent déconnectés. Partez du principe que, en cas d’infection, vous pourriez perdre toutes les données accessibles depuis le PC. D’où l’importance de déconnecté vos disques contenant vos sauvegarde.

Restez vigilant, sur vos gardes.
> De manière générale, repensez a tout ce qui à été dit dans ce guide. On ne le répétera jamais assez.
> Astuce: La majorité des grands sites connus possèdent un “https” dans leur adresse. Vérifiez toujours si c’est bien le cas avant de vous y connecter.

Lorsque vous quittez votre ordinateur, pensez à le verrouiller
> Cela empêchera des personnes d’y accéder durant votre absence. Astuce: les touches “WINDOWS” + “L” verrouille instantanément votre session.

Ajoutez des filtres de SPAMS plus agressifs dans vos boites mails
> Cela réduira le nombre de tentatives mais pourrait créer plus de faux-positifs.

Les logiciels

Un bon comportement est la clé de voûte d’une bonne sécurité, les logiciels, eux, consolident le reste. Comme précédemment, même principe, même couleurs. Ceci est CrucialCeci est importantCeci est secondaire.

Posséder un bon antivirus
> On aura beau dire ce que l’on veux, un bon antivirus reste incontournable. De préférence, avec un parefeu intégré. Les antivirus gratuits fonctionnent correctement pour certains (Avira, 360 Total security) mais les antivirus payants fourniront souvent un niveau supérieur. BitDefender, par exemple, propose un système anti-ransomware (mais disponible gratuitement), un support direct pour les questions et problèmes, des mises à jour fréquentes, parfois mieux optimisé, un contrôle parental, un coffre-fort,…

Utiliser des logiciels plus spécifique (connaisseurs)
> En cherchant un peu, on trouve des logiciels qui stockent les mots de passe de manière sécurisée (web-link Dashlane), qui cryptent les entrées de votre clavier (web-link KeyScrambler), qui analysent la fiabilité des pages internet et vous en informe avant même de les visiter (Bitdefender, 360 Total security), qui analysent tout ce qui entre et sort de l’ordinateur (Wireshark),…

Les bonnes réactions en cas d’infection

Il se peux malgré tout que votre ordinateur soit infecté, cela arrive et cela arrivera de nouveau. Dans ce cas, il est important d’identifier rapidement la menace pour mieux l’encercler. Dans tout les cas, une infection devra être traitée par un formatage de l’ordinateur. Voici quelques exemples de situation et de réactions.

Vous n’arrivez plus à vous connecter à un compte en ligne
> Utilisez au plus vite les systèmes de récupération de mots de passe de ce site avec un autre ordinateur ! Si vous faites la démarche avec votre ordinateur et que celui-ci est infecté, cela ne servira à rien car le pirate aura votre nouveau mot de passe.
> Contactez le support du site concerné via formulaire ou mail direct.

Vous suspectez une utilisation frauduleuse de vos cartes de banques
> Contactez directement votre banque ou l’organisme émettrice de votre carte sur leur numéro d’urgence (disponible sur leur site internet) afin de faire annuler vos cartes au plus vite.
> Par la suite, l’organisme vous guidera dans les étapes suivantes; nouvelles cartes, dépôt de plainte, vérification des comptes,…

Vous recevez des emails concernant des échecs nombreux de connexion à un compte
> Quelqu’un essaie peut-être de pirater le compte lié mais n’y est pas encore parvenu. Restez calme et vérifier que vous avez bien activé l’authentification forte dite Two-Factor si disponible. Si cela est déjà le cas, vous pouvez vous détendre.

Votre PC est crypté et on vous demande une rançon
> Ne surtout pas payer ! Il n’y a aucune garanties du résultat ! Déconnectez directement l’ordinateur de internet pour éviter une propagation.
> Malheureusement, le meilleur comportement final est de s’avouer vaincu. Reformatez l’ordinateur complètement ou apportez le à quelqu’un qui pourra le faire pour vous. Vous pouvez sauver vos données cryptées dans l’espoir d’obtenir une clé pour les récupérer; un jour…

Votre PC réagit curieusement, quelque chose semble louche….
> N’hésitez pas à poser la question à vos connaissances qui s’y connaissent un peu ou faite une visite chez un indépendant local pour savoir si tout est en ordre. Une sorte de visite chez le médecin pour éviter peut-être le pire.

Secure-Computer

En Conclusion

La sécurité informatique, bien que pouvant paraître abstraite, n’est pas inaccessible et est à la portée de tous. Cela commence par des bons comportements et de bonnes réactions qui se feront aider par l’aide d’un antivirus. Sur internet, on ne sait jamais sur qui on peut tomber, ni sur quoi. Il est donc important de rester vigilant et alerte en tout temps. Il suffit d’un simple clic au mauvais endroit pour être infecté et tomber dans un spirale de galères et de stress. Si vous avez appliquez tout ce qui à été dit dans ce guide, ou du moins les points importants, vous limiterez le risque ainsi que la casse en cas d’infection.

“La force d’une chaîne se définit par la faiblesse de son maillon le moins résistant.”
Ne soyez pas ce maillon !

locker

Bonne nouvelle pour ceux et celles (avec un grand “X” et un grand “S”) qui ont été victimes d’un ransomware, de nouvelles clés pour décrypter vos fichiers sont disponibles !

Mieux encore, les auteurs de TeslaCrypt, un ransomware ayant particulièrement sévi courant 2015 et début 2016, viennent de publier une clé maître de décryptage avec un petit mot d’excuse. Voici le message trouvé sur leur channel :

Project closed! Master key for decrypt: 440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE. Wait for other people make universal decrypt software. We are sorry!

Kaspersky a déjà sorti une mise à jour de son outil automatisé pour décrypter les versions de TeslaCrypt web-link http://download.eset.com/special/ESETTeslaCryptDecryptor.exe

Pour rappel, Teslacrypt a fait particulièrement parler de lui grâce à sa méthode de propagation fulgurante, celui-ci pouvant être attrapé par une simple visite d’une page web et ce, même sans aucune action. Il utilisait des vulnérabilités de Java et Flash afin d’exécuter un code en local qui rapatriait le reste du virus et cryptait vos données en arrière plan afin d’effacer toutes ses traces ainsi que les points de sauvegarde.

TeslaCrypt

Il a existé en plusieurs versions. Les versions 1 et 2 disposaient d’une faille qui à été percée par les chercheurs du laboratoire Kaspersky, lesquels ont sorti un outil permettant de décrypter vos fichiers infectés. La version 3, la dernière en date, corrigeait cette faille ne rendant jusqu’à présent plus possible le décryptage via ce genre d’outils. Il a également existé une version visant directement les joueurs PC en cryptant en priorité, les dossiers de jeux et leurs sauvegardes. Un peu inutile à mon goût vu que de plus en plus de jeux deviennent dématérialisés, il suffisait de les recharger sur son PC après un bon nettoyage.

Enfin, même si l’on pourrait se réjouir entièrement de cette nouvelle, il ne faut pas perdre de vue que d’autres versions supportées par d’autres personnes pourraient revoir le jour. Sans parler du nombre devenu incalculable et la diversité de ce genre de ransomware circulant sur le net. Comme toujours, la meilleure de sécurité reste la vigilance. N’ouvrez pas les pièces jointes de contacts inconnus, ne visitez pas des liens suspects ou étranges et méfiez-vous des applications demandant accès à toutes vos données sur les réseaux sociaux.

J’en profite aussi pour informer que l’équipe de Kaspersky Lab vient de mettre à jour une bonne partie de leurs logiciels de décryptage. D’après eux, ils seraient maintenant capables de décrypter toute la série des Cryptxxxx.

Les logiciels sont disponibles sur leur support web-link https://support.kaspersky.com/viruses/utility#

Kaspersky_logo-7

Il peut arriver à tout le monde de se retrouver infecté par un virus, pire encore, un cryptovirus (ransomware) qui va verrouiller toutes nos données et exiger une rançon en contre partie. Même si cela est tentant, il ne faut jamais payer car rien n’est garantit (sauf la perte de votre argent) !

Les laboratoires de recherche en sécurité informatique, Kaspersky Lab, on publié il y a peu un logiciel permettant de décrypter les fichiers verrouillés par les virus Coinvault et Bitcryptor. Celui-ci, à la suite de arrestation en Octobre dernier des pirates “à la tête” de ces virus, toutes les clés se retrouvent maintenant dans leur logiciel.

4264_1_en13-188320

Attention que ce logiciel ne permet de décrypter que les agissements des virus Coinvault et Bitcryptor…

Ceci pour en venir au fait, il ne faut, jamais au grand jamais, payer la rançon exigée !! Vous n’avez aucune garantie d’obtenir la clé pour déverrouiller vos fichiers même après un paiement valide. La seule option valable reste les sauvegardes sur des disques externes et qui restent éteints en dehors des backups. Sinon, vous êtes bon pour tout réinstaller.

Si vos fichiers sont si importants, faites en une copie de sauvegarde (même cryptés) dans l’espoir qu’un jour, un outil comme celui-ci soit disponible afin de retrouver vos fichiers.

Normalement, ces deux cryptovirus devraient disparaître petit à petit. Mais dans le cas où vous seriez infecté, vous trouverez le logiciel web-link ici