Attaque de ransomware : le jour où la Terre a cessé de tourner

Avast SMB Customer 18 mai 2018

Les ransomwares font la une des journaux, mais que se passe-t-il dans le bureau d'une petite entreprise lors d'une attaque ? Un homme nous raconte son histoire.

« On se sent envahi et vulnérable. C'était son entreprise, son bébé et tout aurait pu s'arrêter du jour au lendemain parce que des pirates voulaient de l'argent. »

Des noms comme Bad Rabbit, WannaCry et CryptoWall font régulièrement la une en raison de l'impact sans précédent des attaques de ransomware. Les pirates ont coûté aux particuliers et aux entreprises 5 milliards de dollars en 2017 et ce montant devrait atteindre 11,5 milliards en 2018. À elle seule, l'entreprise Avast a bloqué 132 000 000 attaques de ransomware en 2017.

La plupart des gens comprennent comment fonctionne un ransomware mais que se passe-t-il lorsqu'une attaque a lieu sur votre ordinateur ou dans votre entreprise ? Que ressent-on lorsque son supérieur annonce : « Nous avons été attaqué » ?

Nous nous sommes entretenus avec Chris* qui nous raconte ce qu'il s'est passé lorsqu'un ransomware a frappé son entreprise. Voici son histoire, un récit détaillé de quatre jours qu'il n'oubliera jamais.

« Ce n'est pas arrivé comme ça... Ça s'est déroulé », confie-t-il.

* Le nom de Chris a été changé et certains détails ont été omis ou modifiés pour protéger l'identité des personnes concernées.

Prologue

« Nous étions une start-up [basée en Europe], vendant des produits haut de gamme en ligne à des clients du monde entier.

J'étais responsable marketing à l'époque. Bien que j'aie travaillé longtemps dans les médias numériques, mes connaissances techniques restaient basiques. Nous manipulions des données sensibles et je savais que nous devions être protégés. Nous ne disposions pas d'informations de cartes bancaires, mais nous avions des noms, des adresses e-mail et des adresses postales.

« Vous êtes aussi vulnérable que votre 
maillon le plus faible. »

« J'avais le sentiment que nous devions à nos clients de s'occuper de leurs données, de préserver leur confidentialité. Par ailleurs, vous pouvez obtenir une assurance pour la perte de données, mais la couverture dépend de votre niveau de protection.

Le PDG se considérait comme un petit génie de l'informatique et était très méfiant quant à la sécurité que nous avions en place. Je pense que ce que nous avions était très basique et ce n'était même pas à l'échelle de l'entreprise, il s'agissait seulement des services prêts à l'emploi fournis avec les ordinateurs lorsque vous les achetez. Mais c'était la seule protection dont nous bénéficiions. »

Ransomware-attack-1

Jour zéro : la veille de l'attaque

« Tout a commencé un jour normal. Dans l'après-midi, vers la fin de la journée de travail, quelques personnes ont constaté qu'elles ne pouvaient pas ouvrir certains documents. Je n'avais pas de problèmes parce que, travaillant dans le marketing, j'utilisais principalement des services cloud et des réseaux sociaux. Il s'agissait principalement des comptables et des personnes qui s'occupaient des demandes des clients. Les employés ont simplement supposé que c'était un bug, qu'ils allumeraient leur ordinateur le lendemain et que le problème serait réglé. Personne n'y a trop prêté attention.

Ransomware-attack-2

Jour 1 : l'attaque

« Le lendemain matin, tout le monde est venu comme d'habitude et a démarré son ordinateur. Cette fois-ci, personne n'a pu ouvrir aucun document. Lorsqu'on cliquait sur un fichier, un étrange document texte s'ouvrait avec beaucoup de code qui n'avait pas de sens. Nous pouvions voir que les fichiers n'étaient pas les types de fichiers qu'ils avaient été, mais plutôt des fichiers image créés pour ressembler aux fichiers originaux.

Notre PDG est arrivé alors que tout le monde disait : "Hé, est-ce que quelqu'un d'autre a des problèmes pour ouvrir les documents du serveur ?" Les employés disaient : "Oui", "Ouais, moi aussi", "Pareil pour moi".

Il s'est assis à son bureau dans l'open-space et a démarré son ordinateur. Quelques minutes plus tard, il a juré et frappé son bureau, puis il s'est levé et a mis sa main sur sa bouche. Il est resté comme ça pendant 10 ou 15 secondes. Il a ensuite crié à tout le monde : "Bien, que tout le monde débranche sa machine, les câbles réseau, tout. Maintenant !"

C'était un homme assez imposant, alors quand il dit de faire quelque chose, vous le faites. Nous pouvions tous entendre l'émotion et la panique dans sa voix. En outre, un tel comportement était assez inhabituel de sa part, nous avons donc tout de suite compris que quelque chose n'allait pas. Tout le monde a commencé à se mettre sous son bureau pour tout débrancher. »

L'e-mail

« Une fois tout débranché, il nous a rassemblés dans la salle de réunion. Il nous a dit qu'il avait reçu un e-mail de pirates qui disait : "Nous avons pris le contrôle de votre serveur et verrouillé vos documents. Payez une rançon de 15 000 € en cryptomonnaie pour les récupérer. Afin de vous prouver notre bonne volonté et le fait que nous pouvons vous restituer les documents, nous vous remettrons deux documents de votre choix." Notre entreprise avait trois jours pour se décider.

Notre PDG nous a demandé : "Quelqu'un a-t-il eu des problèmes avec des e-mails ou des sites Web suspects ?" Notre responsable des opérations a déclaré qu'elle avait reçu une facture au format PDF, mais lorsqu'elle l'a ouverte, elle s'est aperçue qu'elle était destinée à une autre entreprise. Elle avait répondu à l'expéditeur pour lui demander des explications et n'a reçu aucune réponse de sa part. Notre PDG a rétorqué : "Pourquoi personne ne me l'a dit ?" mais personne n'y avait pensé à ce moment-là. Elle reçoit des dizaines d'e-mails de clients (des adresses e-mails inconnues en permanence) donc ce n'était pas si étrange.

Nous nous demandions si le problème venait en partie du fait qu'elle n'avait pas éteint son ordinateur après avoir ouvert le fichier, donnant aux pirates 12 heures avant qu'elle ne revienne travailler pour percer notre antivirus rudimentaire et pénétrer dans le serveur. La plupart d'entre nous avions une sorte d'antivirus gratuit sur nos machines, mais pas tout le monde, et lorsque vous êtes tous reliés à un réseau, vous êtes aussi vulnérable que votre maillon le plus faible.

Nous avons immédiatement téléchargé un anti-malware et un logiciel antivirus gratuits en attendant de trouver une solution plus viable.

Notre patron a répondu aux pirates en demandant qu'un seul document soit fourni et c'est à partir de ce moment-là que nous avons commencé à recevoir de plus en plus d'e-mails de la part des pirates : des messages de menace. »

Les pirates

« Il semblait que les attaques étaient automatisées et qu'il y avait des centaines, voire peut-être des milliers de virus travaillant sur des serveurs et des réseaux. Ensuite, lorsque le PDG a répondu à l'e-mail en demandant que les documents soient restitués, les pirates savaient qu'ils avaient affaire à "une personne en chair et en os".

L'anglais n'était clairement pas leur langue maternelle. Tous les mots étaient là mais la grammaire était incorrecte. Nous avons remarqué des termes familiers et de l'argot dans la traduction et nous avions l'impression que les pirates étaient assez jeunes, presque la trentaine. »

Ransomware-Attack-3

Jour 2 : les dommages

« Nous étions une start-up ; 15 000 € représentaient une somme conséquente. Les responsables se sont réunis pour évaluer la valeur des données : les données elles-mêmes, le temps nécessaire pour rassembler les données, les informations sur les clients, les ventes précédentes, les biens (vidéos, photographies des produits). Nous avons également pensé : "Si nous payons, est-ce qu'ils penseront que nous représentons des proies faciles et ils recommenceront ?" Il fallait également prendre en compte le coût pour se débarrasser de ce problème et obtenir ce dont nous avions besoin pour nous protéger à l'avenir.

Pendant que nous réfléchissions, certaines personnes étaient allées acheter de nouveaux ordinateurs pour que nous puissions continuer à faire fonctionner l'entreprise. Nous étions toujours en mesure de prendre des commandes, mais nous avons dû recourir aux bons vieux stylos et papier pour noter les transactions. »

La peur

« Les employés étaient vraiment, vraiment inquiets car ils étaient non seulement préoccupés pour l'entreprise, mais également pour leur données personnelles. Beaucoup de personnes avaient leurs propres ordinateurs portables et mobiles sur le réseau ; est-ce les pirates avaient accès à leurs données personnelles ? Des photos de mariage qu'ils n'auraient pas sauvegardées ? Des données bancaires sur Internet, des informations sur les réseaux sociaux ? Leur famille et leurs amis seraient-ils infectés par le biais des e-mails personnels ? Moi-même ainsi que d'autres personnes avons appelé nos amis et notre famille et leur avons dit : "N'ouvrez aucun e-mail de ma part reçu au cours des derniers jours." »

Ramifications

« Nous savions aussi que nous devions garder le secret. Notre PDG nous a dit que nous ne pouvions le révéler à personne. À l'époque, nous étions à la recherche d'investissements extérieurs et nous savions que cette affaire nuirait à nos chances de les obtenir. Nous pensions : "Qui investirait dans une entreprise peu sûre qui a dépensé 15 000 € pour payer une rançon ?" Surtout s'ils pensaient qu'un tel cas de figure pouvait se reproduire. Et nos clients ? Est-ce que nous devions les avertir ? Il s'agissait de leurs données, de leurs adresses e-mail, etc...

Nous avons constaté que notre système de messagerie n'était pas infecté et que nous pouvions récupérer une grande partie des données perdues à partir des e-mails. Nous avons également trouvé les deux documents que le pirate avait fournis.

Notre PDG a réussi à négocier avec les pirates. Il leur a dit que nous étions une petite start-up et que nous n'avions pas 15 000 €. Ils ont alors décidé de baisser le prix à 10 000 €. 10 000 € ! Nous avons pensé qu'ils voulaient juste obtenir de l'argent coûte que coûte, alors ils pourraient aussi bien accepter n'importe quoi ; après tout, c'était de l'argent gratuit pour eux. »

Ransomware-attack-4

Jour 3 : la décision, le plan

« Après une délibération longue et compliquée, nous avons pris une décision : nous n'allions pas payer les pirates, mais nous avons été exposés. Nous devions disposer de systèmes propres et protégés avant la date limite (avant qu'ils ne réalisent que nous n'allions pas payer) de sorte qu'ils ne pouvaient plus faire de dégâts. Nous pensions que les informations qu'ils nous avaient dérobées, bien qu'importantes pour nous, n'avaient de valeur pour personne d'autre ; les pirates ne gagneraient rien à les publier. Cette affaire nous porterait préjudice, mais leur but était l'argent, pas la flagellation d'une compagnie quelconque.  

Nous n'avions que 24 heures avant la date limite et nous devions nous tenir prêts.

Nous pouvions voir tous les fichiers chiffrés sur le serveur ; nous savions donc quels documents nous devions reconstruire. »

Le plan

« Il était essentiel que nous disposions d'un système de sécurité opérationnel, c'est pourquoi nous avons immédiatement mis à niveau le logiciel antivirus vers des versions payantes premium.

Nous avons contacté un spécialiste en informatique qui est venu ce jour-là pour examiner le serveur. Il a tout déconnecté, l'a nettoyé et s'est assuré que le nouveau logiciel constituait une barrière suffisamment puissante pour que nous puissions repousser de futures attaques.

Nous n'avons pas eu à remplacer le serveur, mais nous avons dû acheter un second serveur de sauvegarde. Ce serveur sauvegardait le serveur principal à la fin de chaque journée et se déconnectait pour être protégé.  

Je n'ai pas parlé au spécialiste moi-même, mais apparemment, il était au courant de ce genre de menaces. Il a confié au PDG : "Je suis de plus en plus appelé pour ce type d'attaque." Il a finalement déclaré qu'il s'agissait d'une attaque vraiment compliquée contre laquelle il est facile de se défendre si vous payez pour un antivirus approprié, avec une entreprise qui travaille spécialement pour s'assurer que vous êtes en sécurité. La protection antivirus n'est pas tangible ou visible, elle semble donc abstraite et, parce qu'elle vous protège en arrière-plan, beaucoup de gens l'ignorent, comme nous l'avons fait. »

Ransomware-attack-5

Jour 4 : les conséquences ; estimation des dégâts

Il est difficile de déterminer exactement combien d'argent nous avons perdu. L'intervention de l'informaticien a coûté 4 000 €, tout comme l'achat du nouveau serveur. Au bureau, personne ne pouvait travailler pendant trois ou quatre jours, car nous étions tous en train de reconstruire tous les vieux documents. Alors que nous étions encore en mesure de prendre des commandes sur le site, nous ne pouvions pas les traiter et il y a donc eu des retards de livraison aux clients. Nous devions payer 12 personnes alors que nous ne pouvions pas générer de revenus. Cela ne semble peut-être pas beaucoup pour une plus grande entreprise, mais c'était beaucoup d'argent pour nous parce que nous étions une start-up. »

Le coût humain

« Notre PDG nous a dit : "Ça me rend malade, tout est sale." Il a été cambriolé une fois quand il était dans sa maison et il a dit que c'était la même chose : quelqu'un est entré, a pris ses affaires et l'a menacé. Sur le plan émotionnel, c'est pareil : on se sent envahi et vulnérable. C'était son entreprise, son bébé et tout aurait pu s'arrêter du jour au lendemain parce que des pirates voulaient de l'argent.

L'impact a été terrible sur l'équipe. Tout le monde a ressenti cette nervosité angoissante liée à la situation. Nous étions tous très méfiants à l'idée d'ouvrir des e-mails et d'éteindre nos ordinateurs à la fin de la journée. Il a fallu beaucoup de temps avant que les employés commencent à connecter à nouveau des appareils personnels au réseau Wi-Fi du bureau.  

Nous avons mis en place un protocole au cas où quelqu'un penserait qu'il se passe quelque chose d'étrange avec les ordinateurs.

Même si c'est peut-être la responsable des opérations qui l'a laissé entrer, il n'y a pas eu d'accusations. Nous savions tous que cela aurait pu être n'importe lequel d'entre nous. »

Antivirus : je t'aime moi non plus

« C'est drôle : les gens détestent ces petites fenêtres contextuelles de mise à jour antivirus sur leur écran, mais pour nous, elles nous faisaient nous sentir plus en sécurité. Nous ne nous sentions plus seuls. Nous nous sommes également sentis comme si nous n'étions pas personnellement responsables de notre cybersécurité ou du moins pas seuls.

J'ai travaillé pour l'entreprise pendant plusieurs mois après et il n'y a plus eu d'attaques. »

Épilogue : conseil aux PME et start-ups

« Voici les enseignements que j'ai tirés de cette histoire :

Quelle est la valeur de vos ressources ?

Vous devez comprendre quelles sont vos ressources les plus précieuses. Pour certaines entreprises, il s'agit d'actions ou de relations, mais pour beaucoup, ce sont des données. Si tel est votre cas, vous devez garantir la sécurité de vos données. Vos ordinateurs portables et tablettes sont donc très importants car ils constituent la passerelle vers vos données.

Les PME sont exposées aux risques

Trop de PME pensent : "Je ne suis qu'une petite entreprise, ils ne s'occuperont pas de moi", mais les pirates ne sont pas si stratèges : les virus peuvent attaquer tout le monde parce que la technologie leur permet de le faire.

Une attaque de ransomware de 15 000 € peut couler une petite entreprise ; elle a failli nous couler. Une plus grande entreprise est plus à même d'absorber ce coût ou de combattre l'attaque. Les pirates savent que ceux qui possèdent leur propre entreprise feront n'importe quoi pour la protéger. Ils savent aussi qu'ils sont plus vulnérables parce que la cybersécurité n'est pas une priorité : elle peut aussi sembler coûteuse pour une PME. C'est pourquoi les hackers ciblent les petites entreprises : c'est de l'argent facile. »

Pour conclure, nous vous recommandons de protéger vos appareils dans votre entreprise.  Cliquez ici pour plus d'informations sur la protection antivirus des terminaux pour les petites entreprises

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour connaître les dernières actualités, pensez à nous suivre sur FacebookTwitter et Google+.

--> -->