Le dernier piratage massif connu est celui de la commune de Rolle (VD). Comme le révélait watson, des gigaoctets de données des habitants de la commune ont été balancées sur le darknet par des pirates. 👇🏼
Les cas de piratages informatiques se multiplient. Et la situation ne va visiblement pas se calmer. «Si nous avons accès à d’autres villes suisses, nous les attaquerons aussi», menaçaient lundi les hackers dans le Temps. Les demandes de rançons vont même probablement considérablement augmenter ces prochains temps. Ce qui est inquiétant:
Voici ce à quoi il vaudrait mieux être attentif, car une supposée petite fuite peut se transformer en énorme catastrophe.
Les attaques vont se multiplier, parole de pirates
Le Darknet reste encore un «territoire inexploré»: c'est la conclusion à laquelle nous sommes parvenus après avoir discuté avec différents acteurs, notamment des responsables informatiques de grandes organisations.
Comment se peut-il qu'une entreprise soit infiltrée par un groupe de ransomware connu et que, quelques semaines plus tard, elle soit «surprise» par une fuite de données?
Il faut ici revenir un peu en arrière et expliquer les méthodes des extorqueurs sur Internet. Beaucoup n'ont ni l'expertise informatique nécessaire, ni le temps, ni l'argent pour mener à bien des piratages complexes par leurs propres moyens. Ce sont des criminels ordinaires qui s'appuient sur les services d'autres criminels et louent leurs logiciels malveillants. Ce modèle commercial est appelé «Ransomware as a Service». Son succès est étonnant, et s'explique par le fait que trop peu de failles de sécurité sont rapidement comblées et que les employés sont imprudents.
Peu importe le type d'outil d'attaque utilisé pour pénétrer un serveur étranger: dans la quasi-totalité des cas, les attaquants ne cherchent pas seulement à crypter des fichiers importants sur place afin d'encaisser une rançon. Ils repèrent le réseau de la victime et volent aussi des fichiers précieux en les «exfiltrant» secrètement via Internet.
En règle générale, la procédure après une «fuite de donnée» - c'est-à-dire un vol de données via Internet - se déroule comme suit, selon Marc Ruef:
N'oublions pas que si un système informatique a été touché par une attaque de ransomware, les responsables doivent - selon le pire scénario possible - s'attendre à une fuite, que les exigences des rançonneurs aient été satisfaites ou non. Tout cela nous amène à la communication de crise...
Personne n'aime admettre qu'il a été volé. Et aucune entreprise ne veut annoncer de mauvaises nouvelles.
Et pourtant, en matière de communication de crise après une attaque de pirates informatiques et une «fuite de données», la règle devrait être de jouer cartes sur table. C'est également ce que recommandent les experts du Centre national de cybersécurité (NCSC), qui sont confrontés à des cas chaque jour.
Une communication transparente avec les médias, et donc avec le public, est une question de bon sens. Tôt ou tard, la vérité menace d'éclater au grand jour. Par une fuite par exemple.
Et pourtant, la communication de crise reste un problème. Dans plusieurs cas enquêtés par watson, les responsables ont essayé de cacher les informations sous le tapis.
Ce n'est que quelque temps plus tard et après des demandes persistantes de la part des journalistes que les incidents ont été confirmés. Cela n'arrive généralement qu'après que les données ont déjà fait surface sur le darknet. Ceux qui ont gardé le silence affirment l’avoir fait sur les conseils de la police.
Le problème: comme nous l'avons vu plus haut, un temps relativement long peut s'écouler avant que les données ne soient publiées sur Internet. Pendant ce temps, des tiers peu méfiants sont menacés par des courriels d'hameçonnage sur mesure et d'autres attaques personnalisées, bien plus dangereuses que les attaques classiques.
Dans le pire des cas, une attaque de ransomware dissimulée conduit à l’attaque suivante. Et au prochain vol de données.
Une chose est certaine: un peu de transparence ne suffit pas. Si une organisation touchée n'informe de l'ampleur d'une attaque de ransomware que par bribes, cela alimente l'incertitude au sein de la population concernée et ne contribue pas à rétablir la confiance.
«C'est à la victime de décider si elle veut informer le public immédiatement», soulignent les experts du NCSC. «Toutefois, le plan d'action prévu doit être consigné à l'avance dans le concept de communication de crise afin d'être disponible en cas de crise et afin de pouvoir agir en conséquence.»
Qu'il s'agisse d'une entreprise privée, d'une ONG ou d'une commune, toute personne qui exploite un système informatique connecté à Internet et qui stocke des données sensibles a besoin d'un concept d'urgence. Cela ne devrait pas seulement inclure la procédure concernant la communication de crise, mais aussi les mesures techniques après une attaque et la façon dont les systèmes affectés peuvent être restaurés aussi rapidement que possible
Marc Ruef et ses collègues de la société de sécurité informatique Scip AG sont d'avis que les personnes touchées par une attaque de ransomware ne doivent PAS faire ce qui suit:
Ce que l’on PEUT faire, c'est:
Ce que l'on DOIT faire d'urgence en tant que personne touchée:
Toute personne qui traite des informations sensibles - qu'elles soient privées ou gouvernementales - devrait également prendre des mesures de sécurité techniques contre les attaques de ransomware. Cela inclut également une surveillance automatique (monitoring) afin de pouvoir évaluer une éventuelle «fuite de données».
Par ailleurs, Marc Ruef souligne que la mise en œuvre des mesures de précaution connues apporte déjà beaucoup. Aucun logiciel spécial sophistiqué n'est utilisé dans les attaques de ransomware. C'est pourquoi les attaques sont relativement faciles à reconnaître et des normes de sécurité communes peuvent empêcher une propagation dangereuse. «Les entreprises concernées n'étaient pas conscientes de la question de la cybersécurité ou ne l'étaient qu'insuffisamment», dit-il d'un ton critique.
La sécurité des données a des coûts. Mais les fuites sont plus coûteuses. Non seulement pour les personnes concernées, mais aussi pour la société.
Contrairement à d'autres pays, la Suisse n'a pas l'obligation de signaler les cyberattaques - le nombre de cas non signalés est donc élevé. Les parlementaires fédéraux à Berne peuvent changer cela.
Les organisations concernées - qu'elles soient privées ou publiques - doivent être tenues responsables au niveau juridique. Surtout si elles se sont manifestement abstenues d'informer les clients ou les citoyens (potentiellement) concernés.
Reste à savoir si la menace de sanctions draconiennes, prévues par le règlement européen sur la protection des données (RGPD), est nécessaire. En tout état de cause, comme dans d'autres domaines de la vie, le principe de la responsabilité personnelle ne semble pas garantir que les personnes concernées agiront pour le bien de tous et contribueront à endiguer le fléau des ransomwares.
Article traduit de l'allemand par Anne Castella