Partie citée de l’article d’Emmanuel (Rezonance)

PK: Partie commentée par Pascal Kotté


Wannacry au mois de mai, Petya cette semaine. Les cybercriminels s’en donnent à cœur joie. Si votre ordinateur se bloque, redémarre et affiche un message criard vous demandant de vous acquitter de quelques centaines de dollars, vous êtes piégé. Vos données sont cryptées, et ne seront décodées qu’après le paiement d’une rançon en bitcoin, la monnaie virtuelle. Sans aucune garantie d’ailleurs, puisque seulement 1 entreprise sur 10 retrouvera finalement ses fichiers après paiement.

Petya, pas si Net

PK: Nos amis de Zendata mentionnent que Petya, n’est pas un Ransomware, mais une arme de cyberguerre, construite contre l’Ukraine… Mais où sont donc les gentils et les méchants ?

Voici un autre article, mais en anglais:

Pourquoi cette distinction entre Wiper et Ransomware est importante

PK: Si l’objectif est effectivement de faire de l’argent, payer, même si je recommande de l’éviter, peut permettre de récupérer ses données avec un ‘vrai’ Ransomware, mais pas avec un Wiper (une arme de destruction numérique).

Il est difficile de trouver des sources “fiables” pour déterminer, la probabilité de récupérer ses données, en payant, ou pas ! A priori, nous tablons actuellement avec 1 chance sur trois (constats actuels); mais pas avec un ‘Wiper’.

Si nous pouvons éviter de payer, c’est mieux. Mais quand le serveur infecté, met en évidence une déficience de sauvegarde, et que les données représentent une perte financière considérable, pour 500$, le jeu peut en valoir la chandelle ! Mais si possible, ne payez pas ! Kaspersky a raison.

Nous faire venir pour un petit audit de vos systèmes et de vos données pour anticiper ce genre de problème.

Vigilance

Ces virus se propagent généralement par email. Si les systèmes de messagerie des grands fournisseurs sont mis à jour très rapidement, ça n’est pas toujours le cas ailleurs. Le filtrage ne s’effectue donc pas toujours à la source. Et l’email infecté arrive dans votre boîte. Si vous avez le moindre doute sur l’expéditeur de l’email, ne l’ouvrez pas et ne cliquez sur aucun lien qu’il contiendrait.
L’expéditeur peut cependant vous paraître familier, puisque le virus peut exploiter le carnet d’adresse de votre correspondant et envoyer des emails en usurpant son nom. N’hésitez pas à l’appeler au moindre doute. Et vérifiez aussi l’adresse réelle d’expédition, car si le nom peut vous paraître valide, les pirates sont généralement forcés d’utiliser une adresse d’expédition différente. Petite astuce : un clic droit sur le nom de l’expéditeur, et l’adresse d’envoi sera dévoilée. Si elle ne correspond pas à celle habituellement utilisée par votre expéditeur, direction poubelle (que vous viderez évidemment).

PK: Il y a une petite ambiguïté dans les informations ci-dessus, et je vous confirme que vous pouvez recevoir un email d’infection, d’un de vos contacts habituels, sans aucune altération de l’email émetteur ! Par contre, pour les francophones, si votre interlocuteur met inhabituellement un petit mot en anglais, c’est suspect. Pour éviter cela, le cybercriminel fait plus simple, il envoi un lien, et c’est tout… Parfois, il reprend le dernier email émis, avec le même sujet, en particuliers pour ceux qui utilisent Gmail sans activer la double identification (2FA), sans changer le mot de passe régulièrement, surtout si celui-ci était plutôt simple (soit tu fais l’un, soit tu fais l’autre, si tu fais rien, si tu gardes un mot de passe ‘simple’, tu te feras hacker ton compte un jour, par un Bot automatique…)

Parfois, c’est un message sur Skype, avec un lien tout seul ! Il vaut mieux éviter de l’ouvrir… Il est aussi inutile de répondre par message à l’émetteur: “C’est bien toi?”, il dira probablement “oui” ! De nos jours, les cybercriminels appellent chez vous en se faisant passer pour Microsoft! Jamais Microsoft, ne vous appellera !!!

Se mettre à jour

Autre précaution primordiale : la mise à jour de vos systèmes. De tous vos systèmes : ordinateurs individuels, mais aussi serveurs, et équipements réseau. Si vous bénéficiez par exemple sur votre routeur d’accès Internet de fonctions de filtrage avancées, elles pourront aussi supprimer les emails indésirables en amont de votre boîte.

PK: Pour les mises à jour, au moins de sécurité, il n’y a pas photo, il faut les activer, de suite. Et surveiller qu’elles arrivent bien à s’installer. Cette recommandation sera reprise par la suite par Emmanuel:

Les programmes malveillants qui se sont répandus récemment exploitent des failles de sécurité des systèmes. Qui, pour certaines, sont très anciennes. Accepter les mises à jour que Windows vous propose est donc un geste simple qui vous protégera aussi. Petit conseil : n’hésitez pas à laisser Windows les installer pour vous, automatiquement et de manière transparente. En quelques clics, vous vous débarrasserez de cette tâche. Et vous aurez la garantie d’un maintien à niveau dans les meilleurs délais.

Windows vieux !

PK: Conserver des systèmes Windows XP, ou 2003, est suicidaire ! Mais si c’est nécessaire (pour cause de mauvais conseils initiaux), alors, il faut prendre des mesures d’isolations attentionnées et avec un conseil d’experts.

Si vous n’avez pas les moyens de renouveler des ordinateurs pour supporter les nouveaux OS, alors nous proposons de remplacer les Windows obsolètes par des Linux, maintenus à jour, et moins gourmands en ressource. Ils sont surtout bien moins exposés au virus. Ce n’est pas un hasard si 90% des serveurs du Cloud, sur toute la planète, utilisent des machines Linux pour faire tourner vos services Cloud (Dropbox, Gmail, Mailchimp, etc...). Le poste de travail des ‘Hackers’, est une machine sous Linux, pas sous Windows, Mac à la rigueur (C’est aussi une base d’Unix).

Gestionnaire de parc informatique, et solution de protection

Pour peu que votre équipement soit à jour. Disposer d’un système de protection des PCs digne de ce nom est également indispensable. En plus de l’antivirus, à jour lui aussi, vous pouvez opter pour un système complet de gestion des postes, qui assure notamment la conformité des ordinateurs qui accèdent au réseau.

PK: Un système complet de gestion des postes, ne va pas sécuriser tout seul le parc informatique. Il faut aussi le ou les ingénieurs pour s’en occuper. Mais c’est clair que si la responsabilité touche non pas 1 à 5 postes, mais 50 à 500 ou plus, un outil pour les contrôler et gérer automatiquement, sera très utile. C’est ma grande spécialité, avec le Cloud. Mais appelez-moi, que nous en parlions avant de vous lancer dans la mise en place des usines à gaz habituelles ! Il est urgent de prendre le temps d’y réfléchir. (PS: Je suis conseiller indépendant des vendeurs)

Légende urbaine: Antivirus

J’ai un antivirus, je suis protégé !

PK: Et bien non ! Si l’outil en question ne fait que “antivirus”, cela ne suffira pas à vous protéger avec efficacité, même si c’est mieux que rien. Mais que veut donc dire Emmanuel par “une protection de PCs digne de ce nom” ? Il parle certainement de ce que vous appelez un “antivirus”, mais qui est déjà bien plus que seulement, un antivirus: Norton, Kaspersky, Panda, Avira, Avast, etc. sont déjà des solutions de protection “digne de ce nom”, même si vous faîtes comme tout le monde, une erreur en les appelant des ‘antivirus’, car c’est réducteur. Mais aucun de ces éléments n’est absolu, et aucun ne vous protégera totalement de vous-même. Si vous installez une application, ou une extension de navigateur web, qui comprend une saleté, parfois, l’outil de protection tentera de vous en empêcher, et parfois, il y arrivera…

PK: Principaux vecteurs ces derniers temps: Des fichiers Office, des fichiers PDF, des pages web, des scripts Java. Ainsi, si votre lecteur PDF (Foxpro Reader, ou Acrobat si on peut pas faire autrement), votre client “Java”, votre navigateur web essentiellement, ne sont pas “à jour”, avoir un Windows mis à jour n’y suffira largement pas pour vous protéger !

PK: Quelle protection j’utilise moi-même ? Premièrement, j’ai mis à jour en Windows 10. Ceux qui sont restés en Windows 7, ou y sont retournés, avaient le droit de le faire, mais ils augmentent le risque sécuritaire. Deuzio: J’utilise Windows Defender de Microsoft, celui intégré dans Windows 10. Non car cela est gratuit, enfin oui, mais pas pour cette raison: Le seul éditeur qui a un réel intérêt à éradiquer les saletés qui fragilisent Windows, c’est Microsoft. Tous les autres ont intérêt à ce que les cybercriminels prolifèrent ! C’est un conflit d’intérêt majeur ! Notre humanité a su s’en construire des tonnes… Terzio: Je complète avec Spybot (Open source) et ClamWin plus Clam Sentinel, et aussi avec www.VirusTotal.com directement en ligne, sans installation, pour une validation complémentaire avant d‘installer un nouveau logiciel ! Mieux qu’un antivirus, c’est la somme de plusieurs dizaines d’antivirus.

Mais c’est surtout une hygiène de vie numérique qui me protège le mieux: Mise à jour de tous mes logiciels, navigateurs et de Windows ! Pas de téléchargements illégaux; installation de WOT (Web Of trust, même si controversés récemment) sur mes navigateurs web; utilisation d’une machine virtuelle réinitialisée au reboot, pour aller sur des sites “louches” (Streaming et autres…), activation du mode anonyme pour mes recherches Web “au hasard”, etc… Suivre une formation www.QuickLearn.ch pour apprendre cela avec nous.

Je suis touché, je fais quoi ?

Pay or not Pay ?

Inutile de payer : dans 9 cas sur 10, les entreprises qui s’acquittent de la rançon ne récupèrent pas leurs données

PK: Bof, au moins 1 fois sur 3, cela a fonctionné dans notre entourage ! Mais uniquement avec certains Ransomware, et avant de payer, nous appeler ! Certaines clefs ont été publiées, et sont réutilisables…

Pour Petya

Surveillez l‘absence de “C:/Windows/dllhost.dat”

S’il est présent, et que vous n’avez pas encore eu le message de demande de rançon, éteignez immédiatement cet ordinateur porteur; Tester tous les autres sur le même réseau, faîtes de même.

En général, les ordinateurs du bureau étaient protégés car en mode ‘normal user’, mais le portable d’un des cadres/patrons/commercial itinérant, utilisé aussi en mode privatif, et étant “local admin”, s’est fait infecté. Comme les ordinateurs du bureau ne sont pas à jour, ils se font alors allègrement infecter par le portable revenu sur le réseau… Scénario non systématique, mais souvent observé !

Si on doit absolument récupérer des fichiers sur cet ordinateur !

Premièrement, faire venir un “bon” conseiller numérique pour éviter que cela reste une nécessité à l’avenir ! Pour que la prochaine fois, on puisse reformater cet ordinateur sans se poser de questions !

Ensuite: Il faut démonter les disques durs, ou bien lancer une réinstallation d’un OS comme Ubuntu/Linux afin en mode parallèle pour redémarrer sur un système “sain”, pouvant accéder à vos fichiers critiques, qui auraient la chance de n’avoir pas encore été cryptés. Parfois, des outils “undelete” nous permettent de récupérer tout ou partie de données, dans des versions précédentes (car ils cryptent rarement les fichiers et blocs effacés).

J’ai un fichier crypté, vital, aucune sauvegarde exploitable

Le fichier est crypté et je dois “absolument” le récupérer. N’avoir qu’une seule copie d’un fichier vital, sans aucune sauvegarde, est bien entendu une grande bêtise.

Attention: Si la sauvegarde existe, se trouvait dans le Cloud, mais sa restauration ne fonctionne pas, car il est lui aussi crypté ! C’est normal; On doit restaurer une version avant cryptage, depuis l’historique des versions. Dropbox, OneDrive ou Google drive ou la plupart des ‘répliques’ dans le Cloud, supportent le ‘versioning’ et conservent au moins quelques versions précédentes (sinon, ce n’était pas une bonne solution “Cloud”, nous consulter avant de faire le choix de vos solutions numérique !).

Si la sauvegarde de ce fichier “vital” est inexistante: Et sa perte va signifier votre “ruine”: Alors il faut tenter de payer la rançon. Si cela ne fonctionne pas: Nous pouvons le mettre en ‘challenge’ pour des White Hackers, en proposant une prime à qui réussira à décrypter. Si aucun White hacker n’y arrive, et disposez de relations dans la cyberdéfense de votre pays, leur proposer votre “extra”, mais même la NSA, peut ne pas y arriver… Sinon, publier cette offre dans le Dark web, en dernier recours…

Un fichier crypté peut devenir irrécupérable, encore plus efficacement qu’avec une suppression.

Attention, certains fichiers PDF, scripts, htm, ou DOCX peuvent avoir aimablement été conservés ‘non cryptés’ contrairement à tous les autres, mais parfois, ou souvent, ces fichiers intègrent un code d’infection, et nécessitent un nettoyage, sinon une destruction !


Originally published at www.rezonance.ch on June 28, 2017.