DE | FR
Analyse

Les hackers menacent la Suisse, voici comment se défendre

Image: Keystone
Les pirates informatiques assurent vouloir s'en prendre à la Suisse et les attaques se multiplient. Mauvaise nouvelle: il n'y a pas de solution magique contre les ransomwares. Mais (bonne nouvelle), on peut tout de même se protéger.
Diese Story ist auch auf Deutsch verfügbar. Zur Story
07.09.2021, 11:5207.09.2021, 14:36
Daniel Schurter
Daniel Schurter
Daniel Schurter
Suivez-moi

Le dernier piratage massif connu est celui de la commune de Rolle (VD). Comme le révélait watson, des gigaoctets de données des habitants de la commune ont été balancées sur le darknet par des pirates. 👇🏼

Les cas de piratages informatiques se multiplient. Et la situation ne va visiblement pas se calmer. «Si nous avons accès à d’autres villes suisses, nous les attaquerons aussi», menaçaient lundi les hackers dans le Temps. Les demandes de rançons vont même probablement considérablement augmenter ces prochains temps. Ce qui est inquiétant:

  • Les cybercriminels ont pu pénétrer sans grands efforts dans des systèmes informatiques censés être bien protégés. Pas besoin d’être un pirate professionnel rusé pour voler de précieuses données. En règle générale, les outils d'attaque sont quasi «à portée de main».
  • Des vols de données aux proportions potentiellement catastrophiques ont également été suivis d'une stratégie de communication douteuse de la part des personnes concernées.
  • Le darknet reste encore un «territoire inexploré», même pour les responsables informatiques.

Voici ce à quoi il vaudrait mieux être attentif, car une supposée petite fuite peut se transformer en énorme catastrophe.

A lire aussi

Les attaques vont se multiplier, parole de pirates

Connais ton ennemi

Le Darknet reste encore un «territoire inexploré»: c'est la conclusion à laquelle nous sommes parvenus après avoir discuté avec différents acteurs, notamment des responsables informatiques de grandes organisations.

Comment se peut-il qu'une entreprise soit infiltrée par un groupe de ransomware connu et que, quelques semaines plus tard, elle soit «surprise» par une fuite de données?

Il faut ici revenir un peu en arrière et expliquer les méthodes des extorqueurs sur Internet. Beaucoup n'ont ni l'expertise informatique nécessaire, ni le temps, ni l'argent pour mener à bien des piratages complexes par leurs propres moyens. Ce sont des criminels ordinaires qui s'appuient sur les services d'autres criminels et louent leurs logiciels malveillants. Ce modèle commercial est appelé «Ransomware as a Service». Son succès est étonnant, et s'explique par le fait que trop peu de failles de sécurité sont rapidement comblées et que les employés sont imprudents.

«Avec les ransomwares, les cybercriminels ont réussi à développer un modèle commercial universel. Car presque tous ceux qui dépendent d'une infrastructure informatique fonctionnelle et de données numériques peuvent être victimes d’extorsion»
nzz.ch

Peu importe le type d'outil d'attaque utilisé pour pénétrer un serveur étranger: dans la quasi-totalité des cas, les attaquants ne cherchent pas seulement à crypter des fichiers importants sur place afin d'encaisser une rançon. Ils repèrent le réseau de la victime et volent aussi des fichiers précieux en les «exfiltrant» secrètement via Internet.

  • Dans le cadre de la «double extorsion», les attaquants cryptent les données de leurs victimes et menacent également de publier des informations explosives si aucune rançon n'est versée.
  • Le problème de la «triple extorsion» est quant à lui relativement nouveau. Ici, les attaquants tentent non seulement d'extorquer les victimes, mais aussi leurs clients et leurs partenaires. Les attaquants contactent donc également les contacts de leurs victimes (probablement) non soupçonneux pour exercer une pression supplémentaire.

En règle générale, la procédure après une «fuite de donnée» - c'est-à-dire un vol de données via Internet - se déroule comme suit, selon Marc Ruef:

  1. Les auteurs tentent de vendre les précieuses données capturées «exclusivement dans un cercle réduit».
  2. Si aucun acheteur ne peut être trouvé, ils essaient de vendre les données exclusivement «publiquement ». Par exemple, en faisant une offre sur un forum ou un blog du darknet.
  3. Les auteurs, qui restent anonymes, ne sont pas pressés par le temps: si cela ne fonctionne pas immédiatement, ils essaient plusieurs fois de vendre les données capturées «publiquement».
  4. Si tous les efforts de vente décrits ci-dessus n'aboutissent pas, les données sont échangées. Il existe un commerce de troc très actif sur le darknet.
  5. Enfin, les données capturées sont publiées sur Internet, par exemple sur la plateforme anonyme Pastebin ou sous forme de fichiers torrent.

N'oublions pas que si un système informatique a été touché par une attaque de ransomware, les responsables doivent - selon le pire scénario possible - s'attendre à une fuite, que les exigences des rançonneurs aient été satisfaites ou non. Tout cela nous amène à la communication de crise...

Le silence peut être mortel

Personne n'aime admettre qu'il a été volé. Et aucune entreprise ne veut annoncer de mauvaises nouvelles.

Et pourtant, en matière de communication de crise après une attaque de pirates informatiques et une «fuite de données», la règle devrait être de jouer cartes sur table. C'est également ce que recommandent les experts du Centre national de cybersécurité (NCSC), qui sont confrontés à des cas chaque jour.

«En termes de communication, le NCSC recommande d'être ouvert, transparent et honnête et de communiquer les faits. Cela peut mettre en garde davantage d'entreprises contre ces attaques. Mais surtout, le NCSC conseille d'informer de manière proactive les clients, partenaires et employés concernés afin qu'ils aient la possibilité de prendre des mesures appropriées. La décision de rendre public ou non une cyberattaque relève de la compétence de la victime. Toutefois, le plan d'action prévu doit être consigné à l'avance dans le concept de communication de crise afin d'être disponible en cas de crise et afin de pouvoir agir en conséquence»
Gisela Kipfer, attachée de presse du NCSC

Une communication transparente avec les médias, et donc avec le public, est une question de bon sens. Tôt ou tard, la vérité menace d'éclater au grand jour. Par une fuite par exemple.

Et pourtant, la communication de crise reste un problème. Dans plusieurs cas enquêtés par watson, les responsables ont essayé de cacher les informations sous le tapis.

Ce n'est que quelque temps plus tard et après des demandes persistantes de la part des journalistes que les incidents ont été confirmés. Cela n'arrive généralement qu'après que les données ont déjà fait surface sur le darknet. Ceux qui ont gardé le silence affirment l’avoir fait sur les conseils de la police.

Le problème: comme nous l'avons vu plus haut, un temps relativement long peut s'écouler avant que les données ne soient publiées sur Internet. Pendant ce temps, des tiers peu méfiants sont menacés par des courriels d'hameçonnage sur mesure et d'autres attaques personnalisées, bien plus dangereuses que les attaques classiques.

Dans le pire des cas, une attaque de ransomware dissimulée conduit à l’attaque suivante. Et au prochain vol de données.

Une chose est certaine: un peu de transparence ne suffit pas. Si une organisation touchée n'informe de l'ampleur d'une attaque de ransomware que par bribes, cela alimente l'incertitude au sein de la population concernée et ne contribue pas à rétablir la confiance.

Se préparer est la meilleure des protections

«C'est à la victime de décider si elle veut informer le public immédiatement», soulignent les experts du NCSC. «Toutefois, le plan d'action prévu doit être consigné à l'avance dans le concept de communication de crise afin d'être disponible en cas de crise et afin de pouvoir agir en conséquence.»

Qu'il s'agisse d'une entreprise privée, d'une ONG ou d'une commune, toute personne qui exploite un système informatique connecté à Internet et qui stocke des données sensibles a besoin d'un concept d'urgence. Cela ne devrait pas seulement inclure la procédure concernant la communication de crise, mais aussi les mesures techniques après une attaque et la façon dont les systèmes affectés peuvent être restaurés aussi rapidement que possible

Marc Ruef et ses collègues de la société de sécurité informatique Scip AG sont d'avis que les personnes touchées par une attaque de ransomware ne doivent PAS faire ce qui suit:

  • Répondre aux demandes des attaquants de quelque manière que ce soit.
  • Négocier avec les rançonneurs.
  • Admettre que l'on a payé.

Ce que l’on PEUT faire, c'est:

  • Négocier avec les rançonneurs et/ou payer pour gagner du temps - mais seulement dans des cas exceptionnels si aucune autre solution n'est possible. En outre, cette procédure doit s'inscrire dans un plan global.

Ce que l'on DOIT faire d'urgence en tant que personne touchée:

  • Contacter les autorités.
  • Déposer une plainte pénale.
  • Informer les clients concernés.
  • En cas de fuites, faire une déclaration publique, communiquer de manière professionnelle, ne pas dorer son image.

Toute personne qui traite des informations sensibles - qu'elles soient privées ou gouvernementales - devrait également prendre des mesures de sécurité techniques contre les attaques de ransomware. Cela inclut également une surveillance automatique (monitoring) afin de pouvoir évaluer une éventuelle «fuite de données».

Par ailleurs, Marc Ruef souligne que la mise en œuvre des mesures de précaution connues apporte déjà beaucoup. Aucun logiciel spécial sophistiqué n'est utilisé dans les attaques de ransomware. C'est pourquoi les attaques sont relativement faciles à reconnaître et des normes de sécurité communes peuvent empêcher une propagation dangereuse. «Les entreprises concernées n'étaient pas conscientes de la question de la cybersécurité ou ne l'étaient qu'insuffisamment», dit-il d'un ton critique.

Berne doit agir

La sécurité des données a des coûts. Mais les fuites sont plus coûteuses. Non seulement pour les personnes concernées, mais aussi pour la société.

Contrairement à d'autres pays, la Suisse n'a pas l'obligation de signaler les cyberattaques - le nombre de cas non signalés est donc élevé. Les parlementaires fédéraux à Berne peuvent changer cela.

Les organisations concernées - qu'elles soient privées ou publiques - doivent être tenues responsables au niveau juridique. Surtout si elles se sont manifestement abstenues d'informer les clients ou les citoyens (potentiellement) concernés.

Reste à savoir si la menace de sanctions draconiennes, prévues par le règlement européen sur la protection des données (RGPD), est nécessaire. En tout état de cause, comme dans d'autres domaines de la vie, le principe de la responsabilité personnelle ne semble pas garantir que les personnes concernées agiront pour le bien de tous et contribueront à endiguer le fléau des ransomwares.

Article traduit de l'allemand par Anne Castella

Après ce long sujet, détendez-vous avec les images des Jeux olympiques de Tokyo

1 / 28
Les Jeux olympiques de Tokyo, en images
source: keystone / keystone
Share on FacebookShare on TwitterShare via WhatsApp

Plus d'articles sur le thème «High-Tech»

Après la fintech, la biotech et la foodtech, voici la sextech

Link zum Artikel

Vous aviez peur des chiens robots? Ils sont maintenant dotés d'une arme

Link zum Artikel

Ce petit robot tout mignon est un véritable chien de garde

Link zum Artikel

A Séoul, des milliers de chalets suisses conçus par une machine

Link zum Artikel
Cette Suisse qui se trumpise autour du «non» à la loi Covid
Fait inédit, les résultats de la votation sur la loi Covid sont attaqués par une partie des citoyens. Comme dans l'Amérique de Trump, des Suisses s'opposent aux institutions. L'éclairage du politologue Ioannis Papadopoulos.

C’était dans l’air. Une réaction hostile au «oui» attendu et confirmé dimanche à la révision de la loi Covid était prévisible. Non pas comme une marque de déception, mais comme un refus du résultat. La riposte la plus désinhibée est venue sans surprise des rangs complotistes, le jour même de la votation, notamment à Lausanne, comme l’ont constaté nos confrères de Blick.

L’article