Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2017 - n°425 - 225

A l'origine la faille ne provenait-elle pas de Windows ?
Exactement, mais la NSA a rajouté un outil qui lui permettait d'aller beaucoup plus loin et qui a
été récupéré par les attaquants
d'aujourd'hui.
D'ailleurs, Microsoft met en cause
la NSA. Rien que le fait que cette
agence ait développé un outil qui
permette d'exploiter une vulnérabilité qui existait pose problème. Et
sa récupération est très grave.
L'exploitation de cette faille pour
propager ce ransomware est-elle
le fruit d'une organisation
centralisée ?
L'attaque
provient
probablement d'un groupe cybercriminel
puisqu'on voit que le paiement
des demandes de rançons arrive
sur trois portefeuilles en bitcoins.
L'objectif financier apparaît aussi
dans le fait que l'attaque a touché
des pays aussi différents que la
France, l'Allemagne, la Russie,
c'est-à-dire des Etats qui ne sont
pas forcément alliés sur ce type
de problématiques. Cela semble
montrer qu'un Etat n'est pas à
l'origine de cette opération. Le
but mercantile apparaît dans le
nombre d'organisations visées
à un instant T mais aussi dans le
fait que la demande de rançon
est basée sur le nombre de postes
de travail touchés, soit 300 $ par
machine.
Parallèlement à cela, les dégâts
coûtent d'ores et déjà très chers
aux entreprises. Que ce soit en
réparation mais aussi en perte de
chiffre d'affaires : des usines, des
hôpitaux, ont été arrêtés. Par effet
boule de neige, le coût d'une telle
opération pour les clients, les utilisateurs, les usagers est énorme.
Cette attaque révèle la grande
vulnérabilité de notre société
ouverte. Comment se protéger
sans se murer ?
De manière préventive, il faut
procéder à des mises à jour
des systèmes proposés par les
éditeurs et toujours effectuer des
back-up, donc deux sauvegardes
différentes, dans deux formats

différents, et a minima sur deux
supports distincts, idéalement
isolés. Même ceux qui effectuent
des back-up dans les règles de
l'art ne prennent pas forcément
le temps de faire des tests pour
vérifier, qu'en cas de crash, ils
sont capables de récupérer les
données. Par ailleurs, il faut sensibiliser les utilisateurs à ces risques.
Une autre mesure indispensable
consiste à cloisonner les réseaux :
celui de la comptabilité ne doit pas
être relié à celui du marketing, etc.
Si un service est touché, les autres
sont épargnés. Au moment de l'attaque, il faut isoler les machines
touchées. Les éteindre, retirer les
câbles ou tout ce qui permet à
cette machine de communiquer
avec d'autres machines du réseau
ou extérieures mais en ligne. Si
on a des sauvegardes dans le
cloud, ce type de malware peut se
propager par ce biais. Ensuite, il
faut appeler les services de sécurité ou s'il n'y en a pas, faire appel
à des professionnels.
Doit-on
payer
la
rançon
demandée ?
Certains paient la rançon, mais
cela ne donne aucune une garantie de récupérer les données.
Souvent, il suffit de patienter car
des experts parviennent parfois à
découvrir la clé pour déchiffrer le
malware soit à trouver des mécanismes de contournement. Donc,
le réflexe à avoir est de consulter
un expert avant de faire quoi que
ce soit.
Et d'un point de vue plus général,
plus politique, que peut-on faire ?
On s'oriente de plus en plus vers
une société où le numérique va
communiquer avec le monde
physique : la rencontre du monde
du digit avec celui des atomes.
C'est la définition même des objets
connectés. Dans ce contexte, la
notion de sécurité prend une
autre dimension. La première
chose à faire est de responsabiliser les acteurs et sensibiliser à la
sécurité tous ceux qui traitent des
données, c'est ce qui se prépare
avec le règlement européen sur
les données personnelles.

EXPERTISES JUIN 2017

Ce genre d'attaques questionne
sur la fragilisation à grande
échelle de machines et le rôle joué
par des agences gouvernementales. Il y a encore quelques mois,
le FBI demandait à Apple d'affaiblir le chiffrement des téléphones
portables. Or, le jour où un terroriste met la main dessus, il fait un
massacre. Il existe d'autres mécanismes juridiques qui permettent
de déclencher des procédures, de
demander des mots de passe, etc.
Il est nécessaire de réglementer
les cyber-armes.
La protection à 100 % n'existe pas
mais tout le monde se doit de faire
un effort pour réduire le risque. On
doit aussi élever la cybersécurité
à un rang stratégique au niveau
des organisations. Cela suppose
également un changement dans
la perception de la cybersécurité
qui doit être vue comme un avantage compétitif.
Jean-Laurent Santoni qui avait
publié un article dans le n° 414 d'Expertises intitulé « Le ransomware
est-il assurable ? » indiquait que
quelques compagnies assurent la
prise en charge des conséquences
de telles attaques. J'imagine que
ce que l'on vient de subir le vendredi 12 mai aura des répercussions
sur l'assurance.
La question de la cyberassurance
aujourd'hui est inévitable. Toutes
les
compagnies
d'assurance
vont s'y intéresser. C'est déjà le
cas aux Etats-Unis. Elles étudient
la question, font des tests. Mais
pour construire leur police, les
assureurs ont besoin de données,
d'historiques, de mesures de l'impact d'un dommage informatique.
Or, c'est ce qui leur manque.
Aujourd'hui, le risque n'est pas
seulement d'avoir un écran bleu,
mais aussi une usine qui s'arrête,
une voiture qui sort de sa trajectoire, une chaudière qui ne chauffe
plus. Une attaque peut donc avoir
un fort impact sur notre vie.

Par Sylvie ROZENFELD

225

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2017 - n°425