Les attaques contre les réseaux sont aujourd’hui extraordinairement répandues. Leur niveau de gravité et leur fréquence ne cessent d’augmenter chaque année. D’après une étude de 2017 réalisée conjointement par Accenture et le Ponemon Institute, une entreprise subit en moyenne 130 violations de sécurité par an, un chiffre qui progresse de 24 % d’une année sur l’autre.
Par ailleurs, la National Cyber Security Alliance dressait le constat que 60 % des petites et moyennes entreprises mettaient la clé sous la porte dans les six mois suivant un piratage.
En orchestrant leurs attaques, les cybercriminels poursuivent plusieurs objectifs : vendre de précieuses informations sur le marché noir ou nuire à la réputation d’une entreprise, en causant de tels dommages que les réparations seront à la fois extrêmement longues et onéreuses.
Les pirates informatiques prospèrent en fonction d’une cote de popularité fondée sur la reconnaissance de leurs pairs ou le nombre de fois où leurs forfaits font la Une des médias.
Pour stopper net les attaques sur votre réseau, il faut savoir reconnaître les signes qui doivent vous mettre la puce à l’oreille. Voici les cinq symptômes les plus révélateurs d’une intrusion sur un réseau.
1. Messages de rançongiciels
Les messages de rançongiciels sont l’un des signes les plus visibles qu’une attaque a été commise sur un réseau. En effet, ils s’affichent souvent sur la première page des sites et restreignent l’accès au contenu tant que les victimes n’ont pas transféré le montant de la rançon aux pirates.
L’employé qui consulte un site infecté depuis son poste de travail n’est pas le seul déclencheur possible. Parfois, les problèmes surviennent à l’ouverture d’un e-mail ou d’un spam qui redirige le destinataire vers un site truffé de malwares, à moins que celui-ci ne lance le téléchargement de fichiers infectés. Comme ces messages semblent parfaitement légitimes, les destinataires ne cherchent pas plus loin et suivent les instructions. Il ne reste aux pirates qu’à installer un rançongiciel (ransomware) sur l’ordinateur de ces personnes et à s’introduire ainsi sur le réseau de l’entreprise.
Les statistiques de 2016 ont mis en évidence une augmentation de 6 000 % du nombre d’attaques par rançongiciel de ce type. On s’étonnera également que cette année-là, une majorité de victimes ait versé les sommes exigées.
Comment réagir : la meilleure stratégie consiste à faire appel à un expert et à ne rien payer. Les entreprises sont également invitées à mettre hors tension et à déconnecter toute partie infectée de leurs systèmes afin d’éviter d’autres dommages, et à informer les forces de l’ordre de l’attaque.
Les messages de demandes de rançons concernent régulièrement des entreprises de tous types et de toutes tailles. Il est essentiel de mettre en place un plan d’action pour pouvoir faire face, non pas si le problème devait se présenter, mais au moment où la demande de rançon s’affichera. Pour se remettre de telles attaques, les entreprises ont tout intérêt à sauvegarder leurs données et mettre en œuvre une solution de récupération.
2. L’ordinateur qui fonctionne tout seul, sans qu’on y touche…
Autres signes de piratage : le curseur de la souris qui commence à se déplacer tout seul ou la prise de contrôle par un élément extérieur, ce que l’on appelle le piratage de bureau à distance. Ce genre d’attaque est effrayant pour les personnes concernées : à l’évidence, quelque chose ne tourne pas rond et le matériel n’est pas sécurisé.
Comment réagir : les entreprises doivent immédiatement déconnecter du réseau tous les ordinateurs touchés, puis essayer de déterminer le point d’entrée et surveiller le trafic réseau pour détecter toute activité suspecte. Nous leur recommandons ensuite d’exécuter un antivirus, de se déconnecter de tous les programmes ou services sur une machine infectée et de configurer de nouveaux mots de passe pour tout.
3. Des messages étranges qui ne proviennent pas du véritable titulaire du compte
Certains problèmes réseau commencent lorsque des individus figurant sur la liste de contacts de la victime reçoivent d’étranges messages de sa part. Ces e-mails contiennent généralement des liens ou des pièces jointes qui constituent un vecteur d’infection idéal pour les pirates qui ciblent ainsi les personnes qui interagissent avec ces éléments.
Une personne dont le compte a été piraté peut, à son insu, envoyer à l’ensemble de sa liste de contacts des messages avec des fichiers à télécharger. Dans ces messages aux contenus tout à fait anodins, les destinataires pourraient par exemple être invités à « télécharger des fichiers extraits d’une présentation à laquelle j’ai assisté ».
Si les destinataires mordent à l’hameçon et téléchargent les fichiers, cela signifie que le pirate a réussi à ratisser plus large. En effet, les machines d’une autre entreprise sont à leur tour infectées. En croyant sincèrement recevoir des informations nécessaires et spécifiques à l’entreprise, ceux qui cliquent consentent à transférer les malwares sur leurs systèmes, puis sur l’ensemble du réseau.
On peut également retrouver ces types de messages diffusés par des pirates sur des plateformes de communication collaborative, comme Slack ou Skype.
Comment réagir : les personnes touchées sont invitées à contacter les services associés pour les informer des comptes compromis. Ils ont aussi tout intérêt à apprendre quelques stratégies de protection par mot de passe comme l’authentification multifactorielle (AMF) ou l’utilisation de mots de passe ponctuels basés sur l’heure (TOTP).
Parfois, ces messages ne proviennent pas de pirates informatiques infiltrés dans les comptes utilisateurs. Ils apparaissent lorsque des pirates informatiques utilisent des techniques d’usurpation d’identité et d’hameçonnage pour envoyer des e-mails qui semblent provenir d’un expéditeur légitime, car ils ont été spécifiquement conçus pour paraître authentiques.
Pour prévenir ce genre de problèmes, les entreprises peuvent sensibiliser leurs employés aux types de contenus en ligne potentiellement dangereux. D’après une étude, le contexte et la curiosité seraient les deux principaux déclencheurs de clics sur un lien créé par un pirate ; et si le contexte est pertinent, le destinataire se laissera d’autant plus facilement convaincre.
Si, parallèlement au lien, le contenu du message répond aux besoins ou à la situation d’un individu, ou s’il semble tout simplement intéressant, tous les ingrédients sont alors réunis pour potentiellement forcer une personne à cliquer et, qui sait, contribuer à infecter le réseau. Les entreprises peuvent en outre former leurs collaborateurs à reconnaître une tentative d’hameçonnage. Pour cela, elles pourront présenter des e-mails semblant provenir d’entreprises légitimes, mais dont l’unique objectif consiste à s’emparer des mots de passe ou d’autres renseignements sensibles.
4. Des fichiers subitement cryptés
Certains types d’attaques par rançongiciel n’utilisent pas forcément les messages évoqués plus haut. Au lieu de cela, les pirates chiffrent les fichiers pour en bloquer l’accès jusqu’à ce que les victimes paient les sommes demandées.
Monsieur tout le monde n’a quasiment aucune chance de pouvoir repérer des fichiers chiffrés tant qu’il n’a pas cliqué dessus pour essayer — vainement — de les ouvrir. Des mesures proactives doivent impérativement être prises pour se protéger des malwares.
Première étape : exécuter chaque jour une analyse antivirus sans oublier de mettre à jour le logiciel associé pour qu’il sache reconnaître la plupart des nouvelles formes de malwares. Et, comme mentionné précédemment, il faut en permanence ouvrir l’œil avant de cliquer sur des liens ou de télécharger des pièces jointes qui semblent inhabituelles. C’est souvent par ce biais que les pirates accèdent au réseau d’une entreprise.
Autre mesure avisée : conserver ses fichiers essentiels en plusieurs endroits. Au lieu de les stocker uniquement sur un ordinateur de travail, il est possible de les stocker sur une clé USB puis de les enregistrer dans une application cloud comme G-Suite. Ainsi, même si des pirates verrouillent des fichiers quelque part, l’utilisateur prévoyant pourra toujours y accéder ailleurs.
Comment réagir : dès que des fichiers sont compromis de cette façon, la meilleure stratégie consiste à restaurer les choses dans l’état préalable à leur chiffrement et à l’attaque, en s’aidant pour cela d’une sauvegarde complète de l’image disque du système infecté. En l’absence de sauvegardes de fichiers, il est nécessaire de faire appel à des professionnels afin de déterminer si les données peuvent être déchiffrées sans céder aux exigences des pirates.
5. Étranges redirections
Si un internaute est redirigé ailleurs que sur la page d’accueil habituelle configurée dans les préférences de son navigateur, ou s’il atterrit sur des sites étranges lorsqu’il essaie de surfer, il est possible qu’un hacker se soit infiltré.
Ces problèmes sont causés par un virus de redirection. Un ordinateur peut être infecté par un virus packagé avec un logiciel téléchargé, ou inséré dans des extensions de navigateur indésirables.
En cas d’infection, certaines des pages qui s’affichent ressemblent à celles des sites authentiques. Les couleurs, les liens de pied de page ou les polices de caractères paraissent quasiment identiques. Les pirates espèrent en effet duper d’autres personnes peu observatrices.
Autre type de virus de redirection : ceux qui remplacent les contenus demandés par des publicités lorsque l’on clique sur les liens proposés sur des sites légitimes.
Comment réagir : idéalement, mieux vaut ne pas essayer de résoudre le problème sans avoir sauvegardé l’intégralité de ses données. Un logiciel de détection de redirection peut ensuite être utilisé — certains sont gratuits — pour rechercher les problèmes et les résoudre.
Afin d’éviter de futures complications, les logiciels devraient être systématiquement installés par des experts techniques au nom des utilisateurs. Il est en effet facile pour un utilisateur lambda d’accepter d’ajouter un logiciel alors qu’il contient un virus de redirection. Il suffirait pourtant de ne pas accepter aveuglément les messages d’invites et de lire les informations sur les composants d’installation.
De l’importance de réagir vite
Maintenant qu’ils savent reconnaître les principaux signes révélateurs d’une attaque sur un réseau, les utilisateurs ont toutes les cartes en mains pour prendre les mesures qui s’imposent et s’inspirer des suggestions. S’ils réagissent rapidement, ils pourront en effet limiter les effets délétères de la cybercriminalité sur les organisations.
À propos de l’auteur
Kayla Matthews est journaliste technologique à Pittsburgh. Elle écrit pour Hacker Noon, Cloud Tweaks, Houzz, etc. Elle est également propriétaire et rédactrice en chef d’un blog sur la productivité technologique qui s’appelle Productivity Bytes.
Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.