Les ransomwares sont des logiciels, apparentés aux malwares (maliciels) qui ont été conçus dans le but unique d’infecter vos ordinateurs et de chiffrer toutes vos données de façon que vous ne puissiez plus y accéder. Les données sont ainsi perdues à tout jamais, à moins que l’on paie une rançon pour que le malfaiteur vous donne la clé de déchiffrage.
« Pas de problème! », vous écriez-vous, « car nous avons des copies de sauvegarde! ». Ou encore, « Pas de problème car notre cyber-assurance va rembourser les dommages, incluant le coût de la rançon ».
« Pas si vite! », vous répondrais-je car ces solutions ne sont pas magiques. En fait, les cas de ransomware qui détruisent les copies de sauvegarde (backups) sont tout à fait communs pour la simple raison que le ransomware va s’étendre sur l’ensemble de votre réseau, et sur chaque ordinateur contaminé, va aussi chiffrer le contenu des disques externes, des unités de ruban magnétique, etc. Les ransomwares peuvent aussi chiffrer le contenu du stockage dans le « cloud », comme Google Drive, One drive, iCloud, etc. Tout ce qui est connecté à un ordinateur sur le réseau peut donc être détruit. Les seuls types de copies de sauvegarde qui peuvent protéger vos données sont « immuables », c’est-à-dire que les copies de sauvegarde ne peuvent plus être modifiées quand elles sont prises. Il existe quand même des cas où les données stockées dans ces plateformes ont été détruites parce qu’un accès « administrateur » de la plateforme avait été laissé ouvert par mégarde.
Je vous suggère de lire cet article (en anglais) qui raconte à quoi peut ressembler une attaque de ransomware sur une grande entreprise. Cette attaque a coûté à Maersk, autour de $300 millions et ils ont pu s’en sortir que grâce à un coup de chance inouï.
Du côté des assurances, AXA vient de créer un précédent en déclarant qu’ils vont cesser de rembourser les rançons aux entreprises qui les paient, tout simplement parce que ça n’encourage pas de bons comportements corporatifs, et surtout pas de solutions à long terme. Aussi, comme il n’y pas de garantie que le malfaiteur libérera les données après le paiement de la rançon, le risque n’en vaut pas le coup. Cette décision fera boule de neige et les autres compagnies d’assurance suivront rapidement. Donc, ne comptons déjà plus sur les cyber-assurances comme solution.
Pour la PME, il existe des solutions de base, mais abordables, voire gratuites (si on a déjà Windows 10). En effet, Windows 10 offre une certaine protection contre les ransomwares. Cela est assez peu connu, et cette protection est hors fonction (désactivée) par défaut.
Sémafor Conseil vous offre donc, ici même, d’apprendre ce qu’est cette protection et comment la configurer.
Pour trouver cette protection, commençons d’abord par taper ransomware protection dans le champ de recherche de la barre de tâches de Windows 10 (voir la Figure 1 si vous croyez que la dernière phrase est en mandarin) et sélectionner l’item «Dispositif d’accès contrôlé aux dossiers » qui est étiqueté « Paramètres système » .
Figure 1 – le champ de recherche de Windows 10
Cette action nous amène à un écran tout simple. La première action qu’il faut prendre, c’est d’activer « Dispositif d’accès contrôlé aux dossiers ». Cela va mettre en marche la protection par laquelle Windows ne permettra pas aux applications hostiles de modifier des fichiers, des dossiers ou la mémoire de l’ordinateur. Il est assez surprenant que le comportement par défaut de Windows 10 soit de permettre tout cela aux applications qui sont hostiles. Il semblerait que cette protection peut produire des faux positifs (des application légitimes sont bloquées et il faut les autoriser spécifiquement) et Microsoft aurait décidé de laisser la protection désactivée pour cette raison. Sémafor Conseil croit que cette protection devrait être activée car les bénéfices sont bien plus grands que les inconvénients.
Figure 2 – Écran de configuration de la protection ransomware
Une fois que la protection est activée, des options apparaissent telles qu’illustrées dans la Figure 2. Ces options permettent :
- D’aller consulter la liste des applications qui ont été bloquées en tentant de modifier les dossiers ou fichiers protégés (Historique des blocs)
- De gérer quels dossiers ou fichiers que l’on désire protéger (Dossiers protégés). La recommandation ici est de sélectionner les dossiers qui contiennent les fichiers que vous ne voulez pas perdre. Ceci exclus évidemment les dossiers de Windows qui eux sont facilement récupérables en réinstallant Windows.
- De gérer quelles applications auront la permission de faire des modifications sur les dossiers ou fichiers protégés (Autoriser une app via un dispositif d’accès contrôlé aux dossiers).
La protection anti-ransomware de Windows 10 permet aussi de configurer un service OneDrive duquel il sera possible de récupérer les fichiers détruits par un ransomware dans les cas où la protection n’aurait pas été efficace. Pour ce qui est des dossiers à sélectionner pour les protéger, il est recommandé de sélectionner les dossiers qui contiennent des données qui doivent bénéficier de protection et qui seraient difficilement récupérables en cas de pépin. Le dossier « Mes Documents » est un bon exemple de dossier a inclure. Évitez d’inclure des dossiers d’applications par exemple car il est plus simple de réinstaller une application que de tenter de la refaire fonctionner si elle devient corrompue. Assurez-vous de sauvegarder vos données d’application dans un dossier qui est protégé (« Mes Documents » par exemple).
En résumé :
- Il n’existe pas de solution parfaite protégeant contre les ransomwares
- Même en ayant une solution de protection, il est prudent de faire des copies de sauvegarde car les mécanismes de protection ne sont pas à toute épreuve
- Windows 10 fournit une protection de base inclue et quiconque ne saurait s’en passer
- Cette protection est sujette à des faux positifs. Il arrive en effet que la protection contre les ransomwares bloque une application légitime. Il suffit alors d’aller spécifiquement autoriser cette application.
Nous espérons que cet article vous sera utile. En cas de doute, ou de besoin d’un coup de main, Sémafor Conseil peut vous aider.