11 septembre 2017

Article

Technologies de l'information

Les virus rançongiciels : un problème de sécurité, de gestion ou d’éducation?

« Wanna Cry » et « NotPetya », pour ne citer que deux des récents « ransomwares » (ou rançongiciels) du printemps 2017, ont fait beaucoup de bruit dans l’actualité ces derniers mois.  

Mais comment est-ce possible que d’importantes institutions nationales et internationales puissent avoir été victimes de ces attaques en considérant les moyens financiers dont elles disposent afin d’assurer la protection de leur environnement informatique?

Voici une analogie toute simple, susceptible d’éclaircir la question. On sait que les autorités médicales mettent en place des plans de vaccinations régulièrement, dont un plan de vaccination chaque automne contre la grippe. Mais qui cherchent-elles à protéger en priorité avec ces plans? Est-ce que ce sont :

  • Les personnes âgées?
  • Les enfants en bas âge?
  • Les personnes les plus exposées au virus, tel le personnel médical?
  • Les adultes en bonne santé et non exposés?

Ce n’est pas un secret : les campagnes de vaccinations s’intéressent très peu au dernier groupe et cherchent avant tout à protéger les personnes les plus exposées aux risques de complication de la grippe. Et généralement, ce sont les personnes dont le système immunitaire est affaibli.

Revenons aux environnements informatiques : on pourrait donc comparer le traitement préventif par vaccin au logiciel antivirus, que celui-ci soit local sur le poste ou serveur, ou encore une protection antivirale de périphérie via un pare-feu ou console UTM (« Unified Threat Management »).

Mais est-ce que l’on a renforcé notre « système immunitaire informatique » par l’adjonction d’un logiciel antivirus?

Absolument pas.

Et c’est là que repose l’essentiel du problème en ce qui concerne les risques vis-à-vis des rançongiciels et autres virus informatiques : les faiblesses intrinsèques du système ne sont pas corrigées.

Recommandation #1  : faire des mises à jour régulières 

Pour les environnements Microsoft Windows qui composent l’essentiel des parcs de postes informatiques, cela repose sur le bien connu « Windows Update » dans sa version individuelle, ou encore dans une version d’entreprise, les WSUS, MS-SCCM ou autres technologies de remédiation de postes.

Mais c’est également requis pour les microcodes (« firmwares »), les applications métiers, ainsi que pour tous les outils « accessoires » que sont les navigateurs Internet, les « plug-ins » divers, entre autres ceux de l’éditeur Adobe.

Pour le poste d’un particulier à domicile, les mises à jour automatisées vont généralement répondre aux besoins, les systèmes d’exploitation les plus récents ne nous laissant que très peu de possibilités de désactiver les dites mises à jour.

Pour les environnements d’entreprise cependant, il n’en est pas tout à fait de même. Une application métier va généralement avoir des spécifications minimales, mais peut souvent aussi être incompatible avec des versions trop récentes. Je citerai par exemple des intranets fonctionnant exclusivement sous une version de Firefox datant de 2012, ou encore une autre application Web seulement compatible avec Internet Explorer version 8. Celle-ci n’étant pas nativement compatible avec Windows 7, certains parcs devraient être maintenus sous Windows XP.

Et je terminerai par les risques inhérents de conserver des versions à peu près obsolètes : oui, il existe encore des serveurs Windows NT (1996) et des postes Windows 2000 Pro (1999) en production, ceux-ci étant maintenus pour des raisons de compatibilité applicative avec une version de logiciel de nature industrielle.

Dans ces contextes, les risques d’infection sont souvent les plus élevés : des environnements maintenus (souvent volontairement) dans des versions antérieures de système d’exploitation ou d’application.

L’approche dictée par l’expression de langue anglaise "If it’s not broken don’t fix it" n’est plus applicable, et d’autant moins avec l’IoT (« Internet des Objets »).

Recommandation #2 : Prévenir les failles de sécurité en réduisant les surfaces d'attaque

Si la segmentation de réseaux n’est vraiment pas une nouveauté, elle reste cependant peu fréquente dans les environnements TI des PME. Pour revenir à notre analogie médicale, pensez simplement à prendre l’avion avec des passagers enrhumés, et vous risquez fortement d’être infectés avant l’arrivée. La proximité est une cause de contamination, même en informatique.

Dans cet environnement, la notion de segment (qui peut se définir techniquement de diverses manières pour résulter en sous-réseau ou en VLAN) consiste à isoler des nœuds qui ne doivent pas communiquer, ou les laisser communiquer (car c’est tout de même l’objectif premier d’un réseau informatique) mais en réduisant au minimum les surfaces d’attaque. En effet, un nœud de réseau infecté est moins susceptible de contaminer le parc dans sa globalité.

C’est là où une intervention ponctuelle et localisée pourra plus facilement contenir la propagation.

Mais songeons qu’avec la croissance de l’IoT, la segmentation et l’isolement vont devenir de plus en plus ardus …

Recommandation #3 : Mettre en place une politique de sécurité informatique

Parmi les préceptes d’hygiène enseignés à la maternelle, les enfants apprennent très tôt à se laver les mains régulièrement. En Technologie de l’information, il faut prescrire aux utilisateurs d’éviter avant tout de se les salir !

Cela consiste, entre autres, à conscientiser les utilisateurs face aux risques :

  • de navigation Internet sur des sites inappropriés (celles-ci pouvant être éventuellement restreintes par des mécanismes de filtrage au niveau du pare-feu);
  • d’ouverture de courriels suspects, promotionnels ou autres;
  • de cliquer sur des liens ou des pièces jointes contenus dans ces courriels.

L’erreur reste humaine, mais un utilisateur éduqué sur les diverses méthodes d’infection nous évitera de nombreux problèmes.

Recommandation #4  : Installer un logiciel antivirus

Bien certainement, il reste un incontournable. C’est la « vaccination » obligatoire, type coqueluche, diphtérie et tétanos!

Le logiciel antivirus doit être installé sur la majeure partie (idéalement la totalité) des nœuds de réseaux, mais il est également souhaitable d’assurer une protection antivirus de périphérie (au sein du pare-feu/UTM). Enfin, un filtrage adéquat des courriels entrants demeure essentiel.

Recommandation #5 : et toujours avoir un plan B !

« B comme Backup », car une stratégie de sauvegarde adéquate et, bien entendu, validée régulièrement, reste primordiale.

Quelles que soient les technologies et méthodologies mises en œuvre dans les points précédents, il reste statistiquement possible que vous deviez revenir à une copie de sauvegarde après avoir subi une perte de données, minimale, on vous le souhaite.

En bref :

  • Parc informatique maintenu à jour, et non pas seulement quelques serveurs, mais les postes de travail, les périphériques réseaux, les microcodes des solutions de stockage, etc.
  • Segmentation
  • Éducation des utilisateurs
  • Des antivirus avec souscriptions à jour
  • Et enfin, disposer aussi d’un bon plan de sauvegarde validé

Vous souhaitez en savoir plus? Découvrez notre cursus de formations Microsoft Windows offert par Technologia.

Philippe Brevet est président d'Edologic et il possède près de vingt d'années d'expérience en informatique dont la plupart consacrées à l'intégration de réseaux Novell et Microsoft ainsi que l’architecture et la mise en place de solutions de stockage centralisées et d’infrastructures virtuelles tant sur les produits VMware que Microsoft.