On ne le dira jamais assez, la
sécurité de votre système d’information a un prix. Bon nombre d’entreprises
estiment que s’attacher les services d’un « maintenancier » pour leur
système d’information relève simplement du gâchis. Et pourtant, la maintenance
est un service indispensable dans toute organisation qui se veut proactive. De
manière permanente, l’entreprise court le risque de voir ses données compromis
par des menaces de tout genre surtout dans un contexte où les entreprises
fonctionnent davantage en « mode connecté ». C’est le cas depuis quelques
temps du rancomware nommé « Locky ».
a)
Locky :
qu’est-ce que c’est ?
Locky est un ransomware qui
crypte certains fichiers de votre système rendant ces données inutilisables.
Une fois les fichiers cryptés, l’attaquant vous fournit des informations sur la
procédure à suivre pour recouvrer vos fichiers moyennant le paiement au
préalable d’une rançon.
b)
Le
mode opératoire
L’infection par Locky se fait via
les fichiers Word (avec l’extension .doc ou .docx) ou les fichiers Excel (avec
l’extension .xls ou .xlsx). Ces fichiers atteignent votre système au travers
des e-mails de provenance douteuse avec en pièces jointes des fichiers Word ou
Excel. Une fois téléchargé, le fichier vous présente à l’ouverture un texte
illisible et un message vous invitant à activer les macros.
Une fois les macros activées,
Locky s’installe dans votre système et crypte les fichiers de divers
types : les images, les vidéos, les codes sources et les fichiers office. Par
la suite, Locky met fin aux sauvegardes automatiques si ces dernières sont
actives dans votre système, modifie l’image d’arrière-plan de votre bureau avec
un fichier sur lequel vous trouverez la procédure à suivre pour payer la rançon
vous donnant droit à la clé de décryptage de vos fichiers.
c)
Comment
se prémunir de l’infection par Locky et des autres malwares ?
-
Se méfier
des e-mails en provenance d’une source inconnue : si un e-mail vous semble
étrange, vous devez soit l’ignorer, soit le supprimer et ne jamais ouvrir les
fichiers joints à ce genre de message ni cliquer sur les liens qu’il
contient ;
- Ne jamais
cliquer sur les liens contenus dans un e-mail sans vérifier l’URL :
beaucoup de logiciels de messagerie permettent l’activation de la fonction
« mouse-over » du lien juste en survolant ce dernier permettant ainsi
d’accéder au contenu cible même sans cliquer ;
- Eviter
d’activer les macros dans les applications office : les macros ne peuvent
être activés dans les applications office que lorsque l’option des macros est
configurée à « activer toutes les macros » ou si l’utilisateur a
expressément activé la macro.
- Sauvegarder
en permanence les fichiers utilisateurs de votre système : chaque fois
qu’un ransomware infecte votre système, vous perdrez tous les fichiers. Dans ce
cas, vous ne pouvez continuer avec vos activités que lorsque vous avez des
sauvegardes récentes de vos fichiers. Nous vous invitons à cliquer sur le lien suivant
pour avoir une idée de notre offre de maintenance : http://smartmisconsult.com/fr/nos-services/externalisation/maintenance-des-systemes-d-information,
- Bloquer
la création des fichiers « .locky », à partir du dossier %temp%,
dans les bases de registres.
- Informer
les organismes de sécurité (http://www.antic.cm
par exemple) ou contacter les consultants en sécurité (http://smartmisconsult.com par exemple) en
cas de menace sur votre système ou d’email suspect.
d)
Comment
faire lorsque son système est infecté par Locky ?
Lorsque votre système est infecté
par Locky, vous devrez tout d’abord contacter votre service de maintenance pour
la désinfection et la récupération, le cas échéant, de vos fichiers.
En effet, Locky procède à la
suppression de vos fichiers sources après avoir cryptés les copies de ces
derniers.
Une procédure simple de
désinfection et de récupération de vos fichiers consiste à :
- Télécharger un outil permettant de nettoyer votre système, plusieurs outils de désinfection de Locky sont actuellement disponibles sur Internet.
- Procéder à la récupération des fichiers supprimés avec un logiciel spécialisé avant toute réinstallation du système.
La sécurité des systèmes
d’informations coûte de plus en plus cher et les barrières ne sont jamais
infranchissables. Il est donc conseillé aux entreprises et organisations
d’adopter une attitude préventive en pensant aux mesures de sécurité en amont
de la conception de leur système d’information au lieu d’adopter une attitude
réactive qui consiste à attendre que la vulnérabilité soit exploitée par les
attaquants pour commencer à réfléchir sur la conduite à tenir. Pensez à faire
élaborer des plans de continuité d’activité (ou Business Continuty Plans - BCP en anglais) pour vos entreprises et
organisations.
Documentation :
-
http://arstechnica.com/security
-
https://kc.mcafee.com
Aucun commentaire:
Enregistrer un commentaire
Pour vos commentaires en rapport avec ce billet, Cliquez ici (Utilisateurs inscrits uniquement).