Ransomware: Colosses aux pieds d’argile

C’est l’infection de plus d’un million de victimes, et jusqu’à 1500 entreprises, par le ransomware « REvil/Sodinokibi » qui fait la une des différentes presses, qu’elles soient en version papier, web, radiophonique ou télévisuelle. Pour autant, quand le tout numérique est le fer de lance des entreprises et gouvernements de la planète, faut-il s’étonner ? Notre santé, nos comptes en banque, nos vies sur les réseaux « sociaux »… tout est data, donc tout est monnayable !

Ce lundi 5 juillet 2021, le monde se réveille groggy avec cette affaire, lorsque l’on regarde les journaux nationaux et internationaux. La firme revendique : « Avec Kaseya, proposez des services de gestion, de surveillance et de sécurité informatique de tout premier ordre. Rendez vos équipes plus productives sans augmenter vos ressources, grâce à des solutions de gestion informatiques évolutives, sécurisées et fiables. » Cela dit, la protection totale n’existe pas. Vous ne pouvez arrêter un individu voulant voler, il est primordial de prendre des dispositions. « Installer une porte blindée, de dernière génération, à l’entrée de votre domicile, ne vous dispense pas de fermer les fenêtres de derrière, restées ouvertes. »

Qui est Kaseya ?

Cyrille Chausson, sur le site « LeMagIT » écrivait un article en 2019 à ce sujet. « La société propose une plateforme unifiée qui permet de centraliser la gestion des composants clés d’une infrastructure pour les PME. De la gestion des accès et des identités jusqu’à celle des terminaux utilisateurs », expliquait-il. Les grandes entreprises ont pléthores de taches journalières, et comme tout un chacun, délègue. Kaseya s’est fixée comme mission d’offrir une plateforme unifiée multi-usage. Sa cible, les établissements de taille moyenne ou intermédiaire, elles comptent de 1 à 4 000 salariés. Pour ces sociétés, le management de l’infrastructure IT n’est pas un sujet pour elles. Cette dernière a besoin d’être définie pour comprendre l’ampleur de l’infection par codes malveillants. « L’infrastructure de la technologie de l’information (IT) fait référence aux composants combinés nécessaires au fonctionnement et à la gestion des services et des environnements informatiques de l’entreprise. » Un « retex » (NDLR Retour d’expérience) sera effectué pas tant pour blâmer, mais pour en tirer les leçons indispensables. « Kaseya a été très coopératif. Dès qu’il a eu connaissance des vulnérabilités, nous avons été en contact et la coopération a été constante. […] Malheureusement, nous avons été battus par REvil dans le sprint final, car ils ont pu exploiter les failles avant que les clients ne puissent patcher leurs serveurs », indique Victor Gevers, membre du DIVD (NDLR Institut néerlandais pour la divulgation des vulnérabilités).

L’entreprise Kaseya n’est pas une inconnue du vieux continent puisque la multinationale y réalise un tiers de son chiffre d’affaires. L’Irlande où se trouve le siège social européen, le Royaume-Uni et l’Allemagne sont d’ailleurs les marchés les plus porteurs sur cette zone. La France est certes en retrait, mais avec l’Allemagne, il s’agit du pays qui connaît la plus forte croissance, assure encore le CEO (NDLR chief executive officer ou président-directeur général). La conformité avec la RGPD fait partie des préoccupations des entreprises hexagonales, attirées par Kaseya.

1500 attaques au 1er juillet

« Nous avions compté plus de 1 600 attaques avec ransomware en 2020. Au premier juillet, nous en étions à environ 1 500. Ce chiffre a été largement dépassé le lendemain, du fait des activités du gang REvil, avec le rançongiciel Sodinokibi », relate Valéry Marchive, rédacteur en chef sur « LeMagIT ». La demande de rançon est de 70 millions de dollars en Bitcoins, ce qui représente 45 000 par société. Une baisse de 11 % de la somme est concédée par les opérateurs, après d’âpres discussions. Ou comme l’écrivent les chercheurs de chez Sophos, l’oublie d’effacement des snapshots de Windows, les Volume Shadow Copies, ouvrant la voie à des restaurations simplifiées, pourraient être à l’origine de la ristourne.

« Certains facteurs se distinguent dans cette attaque par rapport aux autres. Premièrement, en raison de son déploiement massif, REvil ne fait aucun effort apparent pour exfiltrer des données. Les attaques ont été personnalisées dans une certaine mesure en fonction de la taille de l’organisation, ce qui signifie que les acteurs de REvil ont eu accès aux instances du serveur VSA et ont pu identifier les clients individuels des MSP comme étant différents des grandes organisations. Et il n’y avait aucun signe de suppression des Shadow Copies, un comportement courant chez les ransomwares qui déclenche de nombreuses défenses contre les logiciels malveillants. »

« Vous êtes assis sur une bombe »

Lors d’une audition à huis clos, début juin, par la Commission de la défense nationale et des forces armées de l’Assemblée nationale, Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (ANSSI), indiquait qu’« Après avoir détecté 15 000 attaques possibles sur les serveurs de Microsoft Exchange, nous avons prévenu les quelques milliers de victimes potentielles que nous avons réussi à joindre, 3 % d’entre elles seulement nous ont répondu ». Cette situation met en exergue les différences de statut et fonctionnalité entre les gendarmes du genre. Une différence notable des pouvoirs de l’ANSSI de son homologue outre-Atlantique.

« Je saisis cette occasion pour vous dire qu’il manque à l’ANSSI un pouvoir d’injonction. […] Il est inacceptable que des gens auxquels on dit : “Vous êtes assis sur une bombe”, ne traitent pas la question. Une disposition légale donnant à l’ANSSI un pouvoir d’injonction serait une étape supplémentaire […] dans une logique d’accompagnement de la montée en compétences, mais il en va de la cybersécurité nationale », martèle Guillaume Poupard. Aux États-Unis, ils disposent d’un pouvoir d’injonction, récemment durci. Quand une faille du type de celle qui a affecté Microsoft Exchange est détectée, le Cybergendarme écrit à toutes les agences fédérales en leur prodiguant 48 heures pour les corriger, après quoi la sanction tombe.

28 infections en France en juin

Pas moins de 28 attaques ont été perpétrées en France pour le mois de juin. Conti se taille la part du lion avec au forum du bâtiment SAS, Brangeon Groupe, Cerfrance Côtes-d’Armor, Maître Prunille, Voltalia, groupe Traon Industrie Développement, Assu2000 (29/06). Everest cible les entreprises françaises. Ils diffusent 820 GB de données relatives au cabinet Rémy Le Bonnois, mais pas seulement. L’imprimerie Lamazière, Epsilon hydraulique, Always international, Assurances et Courtage lyonnais, Alltech France, Groupe Confiance Immobilier, Xefi. REvil s’est attaqué à Tendriade, le groupe LV à Demarne Frères, Xing à Aqualung Trading. Saint-Avold Synergie, Pont-Saint-Esprit, PRB, Camaïeu, Deux-Sèvres Habitat, Sepur, CCI Bordeaux-Gironde, ou encore la commune de Villepinte et Lenaja par Grief.