DE | FR

Analyse

Les hackers menacent la Suisse, voici comment se défendre

Bild

Image: Keystone

Les pirates informatiques assurent vouloir s'en prendre à la Suisse et les attaques se multiplient. Mauvaise nouvelle: il n'y a pas de solution magique contre les ransomwares. Mais (bonne nouvelle), on peut tout de même se protéger.

Diese Story ist auch auf Deutsch verfügbar. Zur Story


Le dernier piratage massif connu est celui de la commune de Rolle (VD). Comme le révélait watson, des gigaoctets de données des habitants de la commune ont été balancées sur le darknet par des pirates. 👇🏼

Les cas de piratages informatiques se multiplient. Et la situation ne va visiblement pas se calmer. «Si nous avons accès à d’autres villes suisses, nous les attaquerons aussi», menaçaient lundi les hackers dans le Temps. Les demandes de rançons vont même probablement considérablement augmenter ces prochains temps. Ce qui est inquiétant:

Voici ce à quoi il vaudrait mieux être attentif, car une supposée petite fuite peut se transformer en énorme catastrophe.

A lire aussi

Les attaques vont se multiplier, parole de pirates

Connais ton ennemi

Le Darknet reste encore un «territoire inexploré»: c'est la conclusion à laquelle nous sommes parvenus après avoir discuté avec différents acteurs, notamment des responsables informatiques de grandes organisations.

Comment se peut-il qu'une entreprise soit infiltrée par un groupe de ransomware connu et que, quelques semaines plus tard, elle soit «surprise» par une fuite de données?

Il faut ici revenir un peu en arrière et expliquer les méthodes des extorqueurs sur Internet. Beaucoup n'ont ni l'expertise informatique nécessaire, ni le temps, ni l'argent pour mener à bien des piratages complexes par leurs propres moyens. Ce sont des criminels ordinaires qui s'appuient sur les services d'autres criminels et louent leurs logiciels malveillants. Ce modèle commercial est appelé «Ransomware as a Service». Son succès est étonnant, et s'explique par le fait que trop peu de failles de sécurité sont rapidement comblées et que les employés sont imprudents.

«Avec les ransomwares, les cybercriminels ont réussi à développer un modèle commercial universel. Car presque tous ceux qui dépendent d'une infrastructure informatique fonctionnelle et de données numériques peuvent être victimes d’extorsion»

nzz.ch

Peu importe le type d'outil d'attaque utilisé pour pénétrer un serveur étranger: dans la quasi-totalité des cas, les attaquants ne cherchent pas seulement à crypter des fichiers importants sur place afin d'encaisser une rançon. Ils repèrent le réseau de la victime et volent aussi des fichiers précieux en les «exfiltrant» secrètement via Internet.

En règle générale, la procédure après une «fuite de donnée» - c'est-à-dire un vol de données via Internet - se déroule comme suit, selon Marc Ruef:

  1. Les auteurs tentent de vendre les précieuses données capturées «exclusivement dans un cercle réduit».
  2. Si aucun acheteur ne peut être trouvé, ils essaient de vendre les données exclusivement «publiquement ». Par exemple, en faisant une offre sur un forum ou un blog du darknet.
  3. Les auteurs, qui restent anonymes, ne sont pas pressés par le temps: si cela ne fonctionne pas immédiatement, ils essaient plusieurs fois de vendre les données capturées «publiquement».
  4. Si tous les efforts de vente décrits ci-dessus n'aboutissent pas, les données sont échangées. Il existe un commerce de troc très actif sur le darknet.
  5. Enfin, les données capturées sont publiées sur Internet, par exemple sur la plateforme anonyme Pastebin ou sous forme de fichiers torrent.

N'oublions pas que si un système informatique a été touché par une attaque de ransomware, les responsables doivent - selon le pire scénario possible - s'attendre à une fuite, que les exigences des rançonneurs aient été satisfaites ou non. Tout cela nous amène à la communication de crise...

Le silence peut être mortel

Personne n'aime admettre qu'il a été volé. Et aucune entreprise ne veut annoncer de mauvaises nouvelles.

Et pourtant, en matière de communication de crise après une attaque de pirates informatiques et une «fuite de données», la règle devrait être de jouer cartes sur table. C'est également ce que recommandent les experts du Centre national de cybersécurité (NCSC), qui sont confrontés à des cas chaque jour.

«En termes de communication, le NCSC recommande d'être ouvert, transparent et honnête et de communiquer les faits. Cela peut mettre en garde davantage d'entreprises contre ces attaques. Mais surtout, le NCSC conseille d'informer de manière proactive les clients, partenaires et employés concernés afin qu'ils aient la possibilité de prendre des mesures appropriées. La décision de rendre public ou non une cyberattaque relève de la compétence de la victime. Toutefois, le plan d'action prévu doit être consigné à l'avance dans le concept de communication de crise afin d'être disponible en cas de crise et afin de pouvoir agir en conséquence»

Gisela Kipfer, attachée de presse du NCSC

Une communication transparente avec les médias, et donc avec le public, est une question de bon sens. Tôt ou tard, la vérité menace d'éclater au grand jour. Par une fuite par exemple.

Et pourtant, la communication de crise reste un problème. Dans plusieurs cas enquêtés par watson, les responsables ont essayé de cacher les informations sous le tapis.

Ce n'est que quelque temps plus tard et après des demandes persistantes de la part des journalistes que les incidents ont été confirmés. Cela n'arrive généralement qu'après que les données ont déjà fait surface sur le darknet. Ceux qui ont gardé le silence affirment l’avoir fait sur les conseils de la police.

Le problème: comme nous l'avons vu plus haut, un temps relativement long peut s'écouler avant que les données ne soient publiées sur Internet. Pendant ce temps, des tiers peu méfiants sont menacés par des courriels d'hameçonnage sur mesure et d'autres attaques personnalisées, bien plus dangereuses que les attaques classiques.

Dans le pire des cas, une attaque de ransomware dissimulée conduit à l’attaque suivante. Et au prochain vol de données.

Une chose est certaine: un peu de transparence ne suffit pas. Si une organisation touchée n'informe de l'ampleur d'une attaque de ransomware que par bribes, cela alimente l'incertitude au sein de la population concernée et ne contribue pas à rétablir la confiance.

Se préparer est la meilleure des protections

«C'est à la victime de décider si elle veut informer le public immédiatement», soulignent les experts du NCSC. «Toutefois, le plan d'action prévu doit être consigné à l'avance dans le concept de communication de crise afin d'être disponible en cas de crise et afin de pouvoir agir en conséquence.»

Qu'il s'agisse d'une entreprise privée, d'une ONG ou d'une commune, toute personne qui exploite un système informatique connecté à Internet et qui stocke des données sensibles a besoin d'un concept d'urgence. Cela ne devrait pas seulement inclure la procédure concernant la communication de crise, mais aussi les mesures techniques après une attaque et la façon dont les systèmes affectés peuvent être restaurés aussi rapidement que possible

Marc Ruef et ses collègues de la société de sécurité informatique Scip AG sont d'avis que les personnes touchées par une attaque de ransomware ne doivent PAS faire ce qui suit:

Ce que l’on PEUT faire, c'est:

Ce que l'on DOIT faire d'urgence en tant que personne touchée:

Toute personne qui traite des informations sensibles - qu'elles soient privées ou gouvernementales - devrait également prendre des mesures de sécurité techniques contre les attaques de ransomware. Cela inclut également une surveillance automatique (monitoring) afin de pouvoir évaluer une éventuelle «fuite de données».

Par ailleurs, Marc Ruef souligne que la mise en œuvre des mesures de précaution connues apporte déjà beaucoup. Aucun logiciel spécial sophistiqué n'est utilisé dans les attaques de ransomware. C'est pourquoi les attaques sont relativement faciles à reconnaître et des normes de sécurité communes peuvent empêcher une propagation dangereuse. «Les entreprises concernées n'étaient pas conscientes de la question de la cybersécurité ou ne l'étaient qu'insuffisamment», dit-il d'un ton critique.

Berne doit agir

La sécurité des données a des coûts. Mais les fuites sont plus coûteuses. Non seulement pour les personnes concernées, mais aussi pour la société.

Contrairement à d'autres pays, la Suisse n'a pas l'obligation de signaler les cyberattaques - le nombre de cas non signalés est donc élevé. Les parlementaires fédéraux à Berne peuvent changer cela.

Les organisations concernées - qu'elles soient privées ou publiques - doivent être tenues responsables au niveau juridique. Surtout si elles se sont manifestement abstenues d'informer les clients ou les citoyens (potentiellement) concernés.

Reste à savoir si la menace de sanctions draconiennes, prévues par le règlement européen sur la protection des données (RGPD), est nécessaire. En tout état de cause, comme dans d'autres domaines de la vie, le principe de la responsabilité personnelle ne semble pas garantir que les personnes concernées agiront pour le bien de tous et contribueront à endiguer le fléau des ransomwares.

Article traduit de l'allemand par Anne Castella

Après ce long sujet, détendez-vous avec les images des Jeux olympiques de Tokyo

1 / 28
Les Jeux olympiques de Tokyo, en images
source: keystone / keystone
Share on FacebookShare on TwitterShare via WhatsApp

Plus d'articles sur le thème «High-Tech»

Facebook veut tout faire pour ressembler à Clubhouse

Link zum Artikel

Fuite de données Facebook: 3 raisons pour ne pas les prendre à la légère

Link zum Artikel

Gucci vend douze francs des baskets qui n'existent pas

Link zum Artikel

Un collectionneur de crypto-art nous explique son délire

Link zum Artikel

Prêts Covid: 11 milliards sont dans la nature, mais combien seront remboursés?

Le shérif des finances de la Confédération tape du poing sur la table en matière d’aide d’urgence aux entreprises. Il faut serrer la vis pour éviter l’évaporation de milliards de francs.

Qui dit aides facilitées, dit abus potentiels. Ces derniers, le Contrôle fédéral des finances (CDF) les traque depuis le début de la crise du coronavirus en mars 2020 et les premières mesures de soutien à l’économie.

Le dernier des nombreux rapports du «shérif des finances» de la Confédération met notamment le doigt sur les plus de 200 entreprises ayant indûment versé des dividendes alors qu’elles avaient demandé un crédit Covid garanti par la Confédération. Le directeur du CDF, …

Lire l’article
Link zum Artikel