Ransomware : Les entreprises menacées

Le 14 mai dernier, une filiale du groupe Bolloré basée au Congo a été victime d’une cyberattaque au rançongiciel.

Il a été question du ransomware dénommé du groupe. Les cybercriminels à l’origine de cette attaque informatique ont menacé le groupe de divulguer des informations qu’ils auraient dérobé lors de la cyberattaque si ce dernier ne répondait pas favorablement à leur demande. Emmanuel Gras, co-fondateur et CEO d’Alsid, par ailleurs ancien auditeur à l’Agence nationale de la sécurité des systèmes d’information a notifié que ce genre de cyberattaques n’était pas isolées. Cependant, ce dernier observe que : « la cible s’est déplacée dans le secteur de la logistique. Avant Bolloré, le spécialiste australien du secteur, Toll Group, avait subi les affres de Netwalker, appelé aussi Mailto », explique le PDG d’Alsid.

Cet article va aussi vous intéresser : Le groupe Bolloré attaqué par un ransomware

C’est d’ailleurs pour cette raison, que ce spécialiste a mi en avant la sécurité des structures à la fois privé et public, comme un enjeu majeur des 5 prochains années à venir. Il précise que son rôle actuel au sein de son entreprise consiste à « faire un état des lieux dans les entreprises après une attaque et de faire en sorte que les cyber-malfaiteurs ne puissent plus revenir ».

La création de la société spécialisée Alsid répond à l’idée de répondre à un besoin de sécurité qui s’étend de plus en plus. « Nous étions arrivés à la conclusion qu’un schéma se répétait dans toutes les entreprises du monde : les serveurs, les postes et les mobiles sont gérés par un système central, Active Directory, et celui-ci est très attractif pour les cyber- assaillants car, dès lors qu’ils en prennent possession, ils peuvent attaquer toute l’entreprise. Nous avons donc décidé de fonder Alsid pour adresser cette problématique majeure ». C’est d’ailleurs ce genre de plan, qui a été suivi par les pirates informatiques à l’origine du logiciel de rançonnage Netwalker. Cependant, l’expert a remarqué une nette évolution des motivations sur le long terme. « Au départ, les motivations étaient stratégiques. L’on relevait des vols de données dans le cadre de l’espionnage public, entre Etats, industriels, ou autres. De plus en plus, les motivations deviennent financières », indique Emmanuel Gras.  N’oublions pas que les mêmes procédés ont été employés contre un cabinet d’avocat américain du nom de GSMlaw, réputé pour avoir dans sa clientèle de grands nom tel que Donald Trump, Madonna, ou Lady Gaga. De ce côté, les cybercriminels avaient exigé le versement d’une somme de 42 millions de dollars en guise de rançon pour ne pas divulguer les informations confidentielles des clients du cabinet.

Pour la jeune entreprise Alsid, la protection des réseaux des entreprises doit commencer par active Directory. Car en cas d’attaques informatiques, les cybercriminels chercheront en premier lieu à avoir accès et à contrôler le cœur du système c’est-à-dire Active Directory. « Active Directory, rappelle-t-il, est une infrastructure hautement critique qui permet paradoxalement à un cyber-assaillant d’infiltrer l’intégralité d’un réseau très simplement, depuis un seul poste compromis. Véritable trousseau d’accès central, « AD » ère les droits des utilisateurs, les comptes e-mails, l’information liée aux activités ou encore les données financières. Il constitue, dans la majorité des cas, la pierre angulaire de la sécurité en entreprise ». Explique Emmanuel Gras. Il ajoute par ailleurs que le défaut majeur de ce système (Active Directory) n’est nul autre que sa complexité, car, « Plutôt qu’établir une distinction claire entre les administrateurs qui peuvent tout faire et les autres, il attribue plus ou moins des droits parmi des dizaines possibles à chaque utilisateur. Au point que la liste des personnes avec leurs attributions est illisible et que, sans une plateforme comme celle d’Alsid qui monitore les faiblesses de l’AD, il devient impossible pour les équipes de sécurité d’identifier des comportements suspects sur le réseau. ».

L’expert partage une situation vécue dans ce contexte où il a eu l’occasion d’observer de plus près le problème : « Lors d’un audit, nous avons par exemple vu un groupe AD appelé DNSadmin qui attribuait des droits d’accès aux profils en charge du réseau. Parmi eux, la plupart n’étaient pas administrateurs et paraissaient donc inoffensifs. Pourtant, leur groupe leur accordait la possibilité de s’ajouter à d’autres groupes grâce auxquels ils pouvaient cette fois-ci obtenir des droits d’administration sur certains systèmes ». Selon Emmanuel Gras, établir un monitoring de l’activité de utilisateurs c’était pas n’était processus déjà établi. Ce qui signifie, qu’il suffisait qu’un seul fait prendre par une attaque à l’hameçonnage pour que les cybermalveillants puissent accéder à des informations très importantes.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage