Histoire d’infections par ransomware

Le canton de Vaud en Suisse a essuyé de nombreuses offensives par codes malveillants. Il est le plus à l’ouest de la Confédération helvétique, et compte 805 098 habitants au dernier recensement. La fondation Les Oliviers subissait le 17 janvier 2020 une « cyberattaque ». Quasiment au même endroit, c’est GRF, une importante société fiduciaire vaudoise d’être une cible, mais de choix.. La commune de Rolle en faisait l’expérience en mai 2021. Outre-Atlantique, c’est la chaîne californienne « Pizza Chicken » qui révèle une fuite considérable le 18 novembre 2021.

Le quotidien suisse 24 heures propose le récit vu de l’intérieur d’une attaque, car personne n’est véritablement préparé. Le chef-lieu qu’est Lausanne offre un havre de paix et un décor de rêve, elle se situe entre le massif du haut Jura et le lac Léman. C’est par un beau matin d’hiver que la foudre s’abat sur les épaules de la directrice Sanda Feal. La fondation dans laquelle elle œuvre, Les Oliviers, est destinée à toute personne qui se sent en difficulté avec sa consommation d’alcool et/ou d’autres produits, ce depuis 1976.

« Il est 6 h 40 quand un SMS arrive sur le portable de Sandra Feal, chargée du service technique. Un de ses informaticiens lui apprend qu’aucun serveur ne répond. Il a essayé à plusieurs reprises de relancer les ordinateurs, sans succès. Le dossier système est vide. La directrice adjointe quitte son domicile précipitamment et arrive à la Fondation à 7 h », raconte 24 heures.

« J’ai ressenti de la colère, raconte Sandra Feal. Ils n’en ont rien à fiche de qui on est. Ils s’attaquent à des personnes précaires. C’est comme s’ils volaient l’argent d’un musicien de rue. » La directrice jouait la carte de la transparence à travers un communiqué de presse relayé dans divers médias. Les premières mesures mises en place, une plainte est déposée l’après-midi. C’est lors du contact avec la cellule spécialisée de la police cantonale qu’elle découvre son existence.

Bis repetita

Grâce à la Doloréane, remontons dans le futur, en octobre 2021. Des opérateurs tentèrent, encore en Suisse, d’entrer dans le système de GRF Société fiduciaire SA, une importante fiduciaire vaudoise qui gère les données de pouvoirs publics (des informations budgétaires publiques et facturations de consommation d’eau). Une douzaine de communes et de collectivités du district de Morges sont ainsi concernées. Le 22 octobre 2021, la dernière sommation faisait été de 48 petites heures pour payer le total de 200 000 francs en bitcoins, menaçant de laisser fuiter les renseignements sur le darknet. « […] nous n’avons rien trouvé sur le darkweb », commente Marc Caron de la société O plc, le 18 novembre 2021. GRF, de son côté, envisage de déposer une plainte pénale contre cette cyberattaque que la police cantonale vaudoise qualifie de sérieuse. « La question n’est plus de savoir si une collectivité sera un jour cyberattaquée, mais quand », explique Marc Genton.

La porte d’entrée dévoilée

Le 15 novembre 2021, la mairie de Turin se trouvait ciblée par un ransomware. C’est toute la structure de la cité des quatre rivières qui était hors service, lundi dernier. « Nous vous informons que l’activité de certains services, dont les services d’enregistrement, a été suspendue ce matin ». Dans une note, la municipalité explicite que « les techniciens de la Ville et de CSI Piedmont — le consortium public qui gère les services informatiques — travaillent pour rétablir le bon fonctionnement du système […] ».

Les équipes craignaient de subir la même chose que l’Azienda Territoriale per la Casa, le 11 avril dernier. Elle avait été victime d’une lourde attaque, 43 téraoctets de données, qui a sérieusement compromis la prestation de services, les pratiques et les procédures informatiques, avec une rançon de 700 000 dollars (plus d’un demi-million d’euros). La porte d’entrée de l’offensive contre le conseil municipal de Turin aurait été un ordinateur appartenant à la police de la circulation, révèlent les enquêteurs.

Attaque d’une chaîne de Pizzeria

Chez l’oncle Sam, la California Pizza Kitchen (CPK) a révélé une violation de données exposant les numéros de sécurité sociale de plus de 100 000 employés actuels et anciens. La chaîne qui compte plus de 250 établissements dans 32 États a confirmé l’incident. « La société a déclaré avoir été informée d’une “perturbation” de ses systèmes le 15 septembre et avoir pris des mesures pour “sécuriser immédiatement” son environnement », raconte Techcrunch. L’infection se serait déroulée le 4 octobre 2021.

« La sécurité des informations fait partie de nos plus hautes priorités, et nous avons mis en place des mesures de sécurité strictes pour protéger les informations dont nous avons la charge, ajoutait CPK. […] Nous révisons les politiques de sécurité existantes et avons mis en place des mesures supplémentaires pour nous protéger davantage contre des incidents similaires à l’avenir. »

Le ministère de la santé québécois attaqué

Entre le 5 et 10 octobre dernier, il était impossible d’accéder à certains services web des centres intégrés de santé et de services sociaux (CISSS) de Montérégie. Plus particulièrement au « Virtuo », dans lequel se trouvent des données personnelles et sensibles sur les employés, annonce Le Montarvillois. La porte-parole, Joëlle Jeté confirmait qu’il y avait eu effectivement une tentative d’intrusion visant les serveurs « Virtuo », du fournisseur Médisolution, hébergés sur les infrastructures informatiques du ministère de la Santé et des Services sociaux (MSSS). « Des modifications ont été apportées pour empêcher que cela ne se reproduise et que les services ont été rétablis lors de mise en place des correctifs », concluait-elle.

Attention aux mises à jour

Diverses méthodes sont utilisées par les agents malveillants pour souiller comme pour voler de la liquidité à leurs victimes. Parmi elles, deux sont particulièrement nuisibles cite le site de cyberveille français :

• les alarmiciels
• les mises à jour frauduleuses

Les premières ont pour finalité l’extorsion d’argent, les suivantes la contamination du poste de travail avec aussi un fort risque de racket de monnaie sonnante et trébuchante. Souvent, l’une ne vient pas sans l’autre. Les Scarewares existent sous pléthores de formes (pop-up, programme…), et tentent de vous faire croire que votre système est victime de plusieurs infections très dangereuses. Le message et son contenu incitent à vous diriger vers une solution payante garantissant une hygiène informatique, en toute bonne foi. Tout n’est que fadaise, leur but vous faire peur pour vous extorquer de l’argent.

Les mises à jour frauduleuses, ou FakeUpdate s’apparentent à une légitime. Pour autant, elle dispose d’une charge malveillante destinée à déployer un ou plusieurs maliciels dans le système de l’usager. Elle peut commencer comme un alarmiciel, mais aussi se présenter pour perturber la navigation sur Internet via une fenêtre Pop-Up répétitive et intempestive. Le contenu vous incite fortement à effectuer la mise à jour pour reprendre sereinement votre navigation. Lorsque vous accepte le processus d’installation, une véritable charge malveillante est activée. Elles peuvent contenir des ransomwares ou rançongiciels. Le site de cyberveille donne deux exemples :

• Fantom Ransomware
• Cyborg Ransomware

Le premier se présente comme une mise à jour (MAJ) importante de Microsoft Windows. Lorsque l’usager accepte l’implantation de cette dernière, son système est rapidement sous l’emprise du rasomware qui chiffre les données. Une rançon est demandée pour retrouver le contrôle des informations. Puis, le Cyborg arrive presque toujours chez l’utilisateur en tant que pourriel, ou dans les indésirables. Également sous le même procédé que le Fantom, il vous invite urgemment à autoriser l’installation de la MAJ. Si vous acceptez, la charge malveillante se déclenche et commence un chiffrement rapide des données. Une rançon est là aussi demandée. Vous n’avez plus qu’à vous mettre en rapport les services de gendarmerie ou de police, comme l’ANSSI. « Il est recommandé que l’antivirus et l’EDR soient à jour sur l’ensemble des systèmes. Dans le cas où certains terminaux ou appareils ne peuvent pas recevoir de protections antivirales, il est conseillé de prendre contact avec le prestataire du produit pour connaître les moyens de protections alternatifs. Installer des filtres anti-pourriel et toujours être vigilant contre les courriels externes. Ne jamais accepter les offres présentées dans des pop-up ou courriels sans d’abord demander l’avis de l’expertise SSI. Effectuer des sauvegardes régulières des données sensibles, et les stocker hors réseau. Appliquer le règlement sur la politique des mots de passe », conseille Cyberveille.