Faut-il payer les rançons ?

Le paiement de la rançon exigée par les hackers devrait normalement nous permettre de récupérer la clé de déchiffrement de nos fichiers et repartir sur de bonnes bases, en attendant la prochaine attaque…

La question mérite en tout cas d’être posée.

On pensait jusque-là que la majorité des demandes de rançons se situaient autour des 50 000 $ et que dans 90 % des cas, la clé de déchiffrement était envoyée à la victime pour qu’elle puisse récupérer ses fichiers (pour le « grand public », les demandes de rançon varient entre 300 et 500 $). Or selon une enquête récente de SentinelOne, effectuée en début d’année 2018, ce n’est pas le cas, loin de là, 45 % des compagnies américaines attaquées de cette manière, ayant effectivement payé la somme demandée, mais seules 26 % d’entre elles ayant reçu la clé de déchiffrement.

De plus et c’est une autre idée reçue qui vole en éclat, alors que l’on pensait que les victimes n’étaient plus réattaquées de nouveau, une sorte d’accord de « bonne conduite » étant passé entre les hackers et leurs victimes, SentinelOne affirme au contraire que dans 73 % des cas, les hackers répètent leur action malveillante, sur les mêmes victimes. Exactement comme dans la vraie vie où les criminels reviennent quasiment toujours sur les « lieux de leurs crimes », pour exiger une « rallonge à leurs méfaits.

Alors faut-il payer ou non ?

L’ “US Department of Homeland Security” estime que non. Il ne faut rien payer et au contraire privilégier une attitude défensive, fondée sur des sauvegardes régulières, les supports une fois le backup effectué, n’étant pas connectés à la même machine.

Toutefois, il admet qu’il est plus facile de payer une rançon que de se lancer dans une « investigation réparatrice », qui le plus souvent n’a aucune chance d’aboutir. Car il n’y a rien de plus difficile quand vous ne connaissez pas l’algorithme de chiffrement utilisé, que de revenir à l’état initial des fichiers.

D’autant que les criminels sont devenus très compétents et exploitent des techniques peu connues, quasiment à la carte.

A quoi servent les antivirus

Comme nous le répétons régulièrement, quasiment à rien dans leurs versions actuelles. Si ce n’est pour détecter les vieux malwares, connus de tous. Par contre quand ils sont confrontés à une attaque de ransomware, via un cheval de Troie par exemple ou un botnet, ils ne voient rien. Ce que leur reprochent d’ailleurs 53 % des mêmes entreprises américaines, qui ont remplacé leur antivirus par une protection plus efficace. L’ennui c’est que l’on ne voit pas très bien de quelle protection il peut s’agir, sauf si les malwares exploités par les hackers ont déjà été détectés par le passé.

La seule solution dans cette affaire nous semble être l’obligation de n’autoriser sur la machine que certains logiciels, dument répertoriés par leur signature. Et si un nouveau logiciel tente de s’installer, il doit passer par les « fourches caudines » de cet outil de surveillance, qui s’assurera que le logiciel appartient bien à une famille validée par l’entreprise.

De plus, une véritable surveillance cognitive menée par un prestataire dans le Cloud, nous semble une bonne solution de complément, le prestataire ayant pour vocation d’être le plus à jour possible et au fait des techniques les plus sophistiquées utilisées par les criminels.

L’enjeu en vaut la chandelle, car toujours selon « US Department of Homeland Security », le coût réel moyen d’une attaque de ransomware, y compris le manque à gagner professionnel et le temps perdu, est en moyenne de 900 000 $, les entreprises étant bloquées pendant 44 heures.

La paranoïa, une qualité

Pour mieux se protéger, les entreprises doivent impérativement se doter de vrais spécialistes de la sécurité, les mêmes que « ceux d’en face », mais si possible honnêtes… Car vous ne pouvez pas répondre avec un arc et des flèches, si l’assaillant utilise une Kalachnikov. Il faut se servir des mêmes armes qu’eux et accepter que ces spécialistes, également « hackers » dans l’âme, puissent déroger aux règles contraignantes de l’entreprise.

De plus, il faut instituer la paranoïa comme une arme de défense. Car il vaut mieux être prudent, au-delà du raisonnable, qu’insuffisamment inquiet.

Cela dit, il n’y a pas de vérité absolue dans ce domaine et les criminels continueront longtemps à pourrir la vie de leurs concitoyens, dans la mesure où les protocoles Internet sont d’une faiblesse affligeante et qu’ils constituent une véritable incitation au crime.

Mais vous-mêmes dans votre entreprise, avez-vous déjà été victime de ces agissements et avez-vous une solution, opinion ou bonnes pratiques à nous suggérer ?