dimanche 4 décembre 2016
 

Ransomware : payer ou ne pas payer telle est la question

Dans cette seconde partie, nous nous intéressons aux principaux vecteurs de propagation, aux décisions des entreprises quant au paiement ou pas de la rançon après une attaque fructueuse, aux conséquences sur les données en cas de non-paiement et sur les politiques de protection et de sauvegarde que doivent mener les entreprises pour éviter un maximum de désagréments.

Les vecteurs d’infection se font principalement via des fichiers attachés dans des messages ou via des liens malicieux dans les mêmes messages. Une fois encore, il existe de grandes différences entre les différents pays concernés par l’enquête. Alors que seuls 9% des Américains ignorent la source de l’infection, ils sont plus de 35% en Allemagne. Ceci a de lourdes conséquences sur le portée des attaques. 58% des entreprises américaines ont été capables de limiter l’infection à moins de 1% de leurs postes de travail. Au contraire 10% des entreprises britanniques ont vu la totalité de leurs postes infectés.

Les types de populations visées sont les suivantes : 71% des salariés, 43% des cadres moyens et 25% des cadres supérieurs ou dirigeants ont été visés dans les entreprises. Les chiffres sont sensiblement similaires indépendamment des pays. Mais il convient de ne pas mal interpréter ces données brutes.

Une autre importante variable est le montant réclamé par les cybercriminels. Aux Etats-Unis, 1/3 des demandes sont inférieures à 500 dollars. Il s’agit en majorité d’attaques massives non ciblées. Ces « faibles » demandes concernent massivement les Etats-Unis alors que les montants sont plus importants dans les autres pays. Toutefois, près de 20% des attaques par ransomware aux USA (et 48% en Allemagne) demandent des sommes supérieures à 10000 dollars. Dans ce cas, il s’agit d’attaques particulièrement ciblées.

En moyenne, 37% des entreprises infectées ont décidé de payer la rançon demandée. Mais, une fois encore les différences sont très importantes d’un pays à l’autre : 22% pour l’Allemagne, 58% pour la Grande Bretagne, 75% pour le Canada et seulement 3% aux USA. Ces décisions ont des conséquences sur les éventuelles pertes de données. Un quart des entreprises américaines ont perdu des données. On constate également des différences dans le temps passé à récupérer les fichiers. Alors que 56% des entreprises américaines mettent moins de 8 heures à rebâtir un environnement sécurisé, ce chiffre est de 20 à 30% dans les autres pays. L’étude pense que ce chiffre est lié au fait que le ransomware se propage moins vite ou sur un nombre plus restreint de postes dans les sociétés américaines. Cela signifie également que les attaques sont découvertes plus tôt.

Finalement, les moyens de se prémunir contre ces attaques demeure traditionnel : formation des utilisateurs pour éviter de cliquer à tort et à travers sur des liens suspects et sauvegardes régulières avec plusieurs jeux de sauvegarde dans le cas où l’attaque et/ou l’infection n’est pas découverte immédiatement. Enfin l’installation d’un logiciel anti-ransomware ne prémunit pas à 100% mais permet d’éviter tous les outils déjà connus ainsi que leurs dérivés.


/// Actuellement à la Une...
Il en faut des super pouvoirs pour avancer dans les allées du Venetian hotel à Las Vegas où se tient cette semaine l'événement AWS Re:invent. La conférence mondiale des utilisateurs et des partenaires d’Amazon Web Services y réunit quelque 32 000 personnes ! Nouveaux produits et services, extensions de certains existants déjà, font d’AWS une boîte à outils de plus en plus complète pour les entreprises qui souhaitent s’engager sur le Cloud.
Il s’était rendu coupable d’avoir participé et promu une attaque DDoS contre le site d’EDF. Un internaute a été condamné à une peine de prison avec sursis et à 30000 euros de dommages et intérêts.
Le malware Disttrakt, déjà impliqué dans l’attaque de 2012 contre la compagnie Saudi Aramco, aurait de nouveau été utilisé contre plusieurs agences gouvernementales de l’Etat. L’Iran est soupçonnée d’être à l’origine de ces attaques.
Une opération conjointe entre plusieurs organisations de police et de justice vient de permettre de démanteler le réseau Avalanche et ses 800 000 noms de domaine, lequel serait à l’origine des 2/3 des attaques par phishing survenues ces dernières années.
Dans un rapport sur l’e-administration, on apprend que 70% des Français jugent avancé le développement des services publics numériques, et qu’ils sont aussi 65% à faire confiance en matière de sécurisation et de confidentialité de leurs données. 
Le maire PS du 13ème arrondissement de Paris, Jérôme Coumet, souhaite baptiser "Steve Jobs" une rue qui jouxte le futur incubateur de la Halle Freyssinet. Mais la proposition ne passe pas notamment auprès des élus communistes et écologistes. 
Le géant de Mountain View annonce le lancement d’App Maker, un service qui permet aux utilisateurs non-initiés au développement de créer des applications métiers en quelques clics. 
Expert en modernisation des grands systèmes, avec de belles références notamment dans la banque, l'assurance et les entreprises publiques, Metaware tombe dans le giron de GFI Informatique. 
Le délit d’entrave existe depuis 1993 concernant l’IVG. La ministre de la Famille et des Droits des femmes, Laurence Rossignol, soutient la proposition de loi qui veut l’étendre à internet dans la mesure où il s’est déplacé sur la toile. Celle-ci a été adoptée par les députés.
C’est une faille déjà exploitée que Firefox vient de patcher. Problème : la vulnérabilité affectait également le navigateur du projet Tor et pourrait avoir été utilisée par le FBI contre le site pédopornographique PlayPen.