Les solutions de protection contre les malveillances IT en général, et les ransomware en particulier, sont connues. Mais compte tenu de la rapidité fulgurante à laquelle WannaCry et Petya se sont propagés, une piqûre de rappel est toujours la bienvenue. C’est justement ce qu’a fait le FBI dans un récent document officiel fournissant une liste des meilleures pratiques pour se protéger des ransomware.
Ransomware : la prévention, seul remède efficace
Pour se prémunir des ransomware, une stratégie de type « détecter et répondre » est peu utile, car une fois que le ransomware est en cours d’exécution, il est déjà trop tard. C’est pourquoi la prévention est essentielle pour lutter contre les ransomware.
Former les collaborateurs
La plupart des logiciels de ransomware se propagent via du phishing ou des courriers indésirables. L’éducation et la sensibilisation des utilisateurs finaux est utile, mais il est important de comprendre que les attaquants sont des professionnels disposant d’outils d’ingénierie sociale efficaces.
Il faut donc supposer que même l’utilisateur le plus éduqué peut être trompé. D’ailleurs, le dernier rapport sur la violation des données de Verizon a révélé que 23 % des destinataires ouvrent des messages d’hameçonnage et 11 % cliquent sur des pièces jointes frauduleuses. Malheureusement, ces statistiques penchent en faveur des criminels…
Patcher les OS et applications critiques
Beaucoup d’organisations craignent que des correctifs complets, opportuns et cohérents soient trop complexes à exécuter et mettre en œuvre, ou qu’ils risquent de bloquer des applications commerciales critiques. Cependant, utiliser les derniers outils de gestion des correctifs pour analyser les éléments manquants et les déployer sur les postes de travail ou les serveurs est une tâche simple, même dans les environnements les plus complexes.
Mettre à jour l’antivirus et régulièrement scanner le matériel informatique
La plupart des attaques par ransomware ne peuvent pas être arrêtées par des antivirus traditionnels basés sur la signature. Cependant, il serait dommage de ne pas mettre à jour l’antivirus et de devenir la victime d’un logiciel malveillant déjà identifié par les fournisseurs d’antivirus !
Gérer l’utilisation des comptes privilégiés
La minimisation des privilèges est une tactique efficace pour se prémunir de nombreux types de logiciels malveillants, y compris les ransomware. Par exemple, l’attaque Petya requiert des droits d’administrateur et ne fera rien si l’utilisateur n’a pas ces privilèges.
Attention toutefois à ne pas croire au miracle : de nombreuses attaques de ransomware ne sont que des exécutables que les utilisateurs lancent sans savoir ce qu’ils font réellement. Une fois ouverts, ces ransomware s’exécutent dans l’espace utilisateur actuel et ne nécessitent aucun privilège administrateur pour causer des dégâts.
Gérer les droits d’accès
Pour se propager, un ransomware utilise les droits d’accès légitimes d’un utilisateur pour crypter tous les fichiers sur tous les lecteurs et dossiers connectés et partagés, auquel il a accès.
Une solution de contrôle d’accès aidera les organisations à se protéger contre les ransomware. Cependant, si elle se concentre principalement ou exclusivement sur les droits d’accès des utilisateurs, elle ne sera probablement que partiellement efficace. Car il restera toujours nécessairement les lecteurs et les fichiers auxquels les utilisateurs ont légitimement accès.
Pour aller plus loin et encore limiter les risques, il est essentiel de faire appel à des solutions de gestion des droits d’accès plus avancées, capable par exemple de limiter l’accès à des fichiers aux seules applications associées (PDF/Acrobat Reader, docx/MS Office…)
Restreindre les droits des logiciels
Il faut également définir, mettre en œuvre et appliquer des règles qui régissent la manière dont les autres logiciels se comportent. Ces règles peuvent restreindre la capacité du logiciel désigné à exécuter, créer, modifier ou lire des fichiers situés dans des dossiers spécifiques, y compris les dossiers temporaires utilisés par les navigateurs et d’autres programmes. Ces règles peuvent être appliquées soit à l’échelle mondiale, soit à des utilisateurs ou de groupes spécifiques.
Bloquer les macros des fichiers
Ce conseil très simple et très pratique va bloquer de nombreux types de malwares, y compris des ransomware. Du type Locky par exemple, qui se répand par courrier avec des pièces jointes Word qui contiennent des macros qui téléchargent les logiciels malveillants sur les machines.
Encore plus prosaïquement, le FBI établit un certain nombre de recommandations basiques, mais qui peuvent être salvatrices, comme la mise en œuvre de listes blanches des applications légitimes, l’isolation des environnements virtuels ou en conteneurs et, bien sûr, la sauvegarde régulière des données de l’entreprise !