Egregor, Ryuk, Conti... La liste des ransomwares s’allonge, tout autant que le nombre de victimes. Profitant de plusieurs vulnérabilités, les gangs traquent les terminaux non corrigés pour s’inviter sur le réseau des entreprises, voler des données et les chiffrer pour réclamer ensuite une rançon.
Si la meilleure défense contre les ransomwares est de mettre à jour les différents services, les utilisateurs de Windows 10 disposent d’un outil spécifique. Ce dernier n’empêche pas d’avoir une bonne hygiène informatique de base, c’est-à-dire de ne pas télécharger de pièces jointes douteuses, de cliquer sur des liens dans des courriels provenant d’expéditeurs inconnus ou ayant un caractère suspect, sans oublier d’utiliser un logiciel anti-malware
Utiliser l'accès contrôlé aux dossiers
Pour revenir sur Windows 10, Microsoft a donc cherché à le protéger des ransomwares avec un outil facile à configurer. Baptisé « Accès contrôlé aux dossiers », il sécurise l'OS en ne laissant que des applications sûres et entièrement contrôlées pour accéder aux fichiers de l'utilisateur. Les applications inconnues ou les menaces de malware ne sont pas autorisées à passer. Par défaut, la fonction n'est cependant pas activée. Une fois mise en route, il est possible de personnaliser son fonctionnement en ajoutant des applications à sa liste blanche de programmes pouvant accéder aux fichiers, ainsi que des dossiers en plus de ceux protégés par défaut.
Pour l'activer, on doit accéder à Windows Security d'une des façons suivantes :
- Cliquer sur la flèche vers le haut à gauche de la zone de notification de la barre des tâches, puis sur l'icône de la sécurité Windows (un bouclier) ;
- Se rendre dans l'application Paramètres (cliquez sur Démarrer > Paramètres), puis sélectionner : Mise à jour et sécurité > Sécurité Windows.
- Taper « Sécurité Windows » dans la zone de recherche située à côté du bouton Démarrer et sélectionner « Sécurité Windows » dans l'écran qui apparaît à droite.
Une fois cette manipulation effectuée, il faut sélectionner Sécurité Windows > Protection contre les virus et les menaces et faire défiler l'ascenseur vers le bas jusqu'à la section « Protection contre les ransomware » puis cliquer sur « Gérer la protection contre les ransomwares ». Dans l'écran qui s'affiche, sous « Accès contrôlé aux dossiers », basculer l'interrupteur sur « Activer ». Un message vous demandera si vous souhaitez effectuer le changement. Cliquez sur Oui.
Pour autant, le travail n’est pas terminé. En effet, si la fonction protège certains dossiers par défaut (dont la liste est disponible sur « Dossiers protégés ») il est possible d’en ajouter d’autres. Par exemple, il pourrait être judicieux d’intégrer les dossiers et les fichiers présents dans OneDrive sur votre PC. Paradoxalement, la firme de Redmond ne l’a pas protégé par défaut. Pour les ajouter, rien de plus simple : il suffit de cliquer sur ajouter un dossier, puis naviguer dans ses fichiers ou dossiers pour les sélectionner.
Continuez à ajouter des dossiers de cette manière. N'oubliez pas que lorsque vous ajoutez un dossier, tous ceux situés en dessous sont également protégés. Ainsi, si vous ajoutez OneDrive, par exemple, il n'est pas nécessaire d'ajouter tous les dossiers en dessous. Si vous décidez à un moment donné de supprimer un dossier, revenez à l'écran « Dossiers protégés », cliquez sur le dossier que vous voulez supprimer, puis cliquez sur Supprimer. Notez que vous ne pourrez supprimer aucun des dossiers système de Windows qui sont protégés lorsque vous activez la fonction. Vous ne pouvez éliminer que ceux que vous avez ajoutés.
Microsoft détermine quelles applications doivent être autorisées à accéder aux dossiers protégés, et il n'est pas surprenant que Microsoft Office soit l'une d'entre elles. Cependant, Microsoft n'a pas publié de liste des applications autorisées, alors pensez à prendre des mesures pour permettre aux applications auxquelles vous faites confiance d'accéder à vos fichiers.
Pour ce faire, retournez à l'écran où vous avez activé l'accès aux dossiers contrôlés et appuyer sur « Autoriser une application par l'intermédiaire de l'accès aux dossiers contrôlés ». Une invite apparaît vous demandant si vous souhaitez effectuer le changement. Valider et dans l'écran qui s'affiche, cliquez sur « Ajouter une application autorisée », puis naviguez jusqu'au fichier exécutable du programme que vous souhaitez ajouter, et rendez-vous sur Ouvrir, puis confirmez que vous souhaitez ajouter le fichier. Comme pour l'ajout de dossiers à la liste des dossiers protégés, vous pouvez supprimer l'application en revenant à cet écran.
Vous n'êtes pas sûr de l'emplacement des fichiers exécutables des programmes que vous souhaitez ajouter à la liste blanche ? Recherchez alors le nom du dossier portant le nom du programme dans les dossiers Windows\Program Files ou Windows\Program Files (x86), puis le fichier exécutable dans ce même dossier.
Sauvegarder, oui... mais proprement
Le but d’un ransomware est de retenir vos fichiers en otage jusqu'au paiement d'une rançon pour ensuite potentiellement les déverrouiller. L'une des meilleures protections contre ces logiciels consiste donc à sauvegarder les fichiers. De cette façon, pas besoin de rémunérer les pirates pour leurs méfaits, car il est dès lors plus aisé de restaurer les fichiers à partir d'une sauvegarde.
Mais en cas de rançongiciel, toutes les sauvegardes ne se valent pas. Il faut faire attention de choisir la bonne technique et le bon service de restauration. C'est une bonne idée d'utiliser un service de stockage et de sauvegarde dans le cloud plutôt que de sauvegarder uniquement sur un disque interne au PC ou un NAS. Si vous sauvegardez sur un disque connecté à votre PC, lorsque votre PC est infecté par un ransomware, le disque de backup sera probablement crypté avec tous les autres disques à l'intérieur ou connectés à votre PC.
Il faut par ailleurs s’assurer que le stockage et la sauvegarde en ligne utilisent le « versioning », c'est-à-dire qu'ils conservent non seulement la version actuelle de chacun des fichiers, mais aussi les versions précédentes. Ainsi, si la version la plus récente des fichiers est infectée, il est possible de restaurer une version antérieure. La plupart des services de sauvegarde et de stockage, dont Microsoft OneDrive, Google Drive, Carbonite, Dropbox et bien d'autres, utilisent le versionning. C'est sans doute une bonne idée de vous familiariser avec ce type de fonction afin de pouvoir restaurer des fichiers en un clin d'œil.
Patcher en toute circonstance
Microsoft publie régulièrement des correctifs de sécurité pour Windows 10, qui sont automatiquement appliqués via Windows Update. En cas d’épidémie de ransomware, il ne faut pas attendre et obtenir immédiatement la mise à jour pour être protégé. Et les simples mises à jour de Windows ne suffisent pas : il est impératif de s’assurer que Windows Security, l'outil anti-malware intégré de Microsoft, dispose des dernières définitions anti-malware.
Comment faire ? Allez dans Paramètres > Mise à jour et sécurité > Windows Update et cliquez sur le bouton Rechercher les mises à jour. Si des updates vous attendent déjà, vous les verrez apparaître à la place du bouton « Rechercher les mises à jour ». Pas d'inquiétude, si Windows les trouve il les installe, et si un redémarrage est nécessaire, il vous le dira.
La vigilance est aussi de mise pour les logiciels tiers comme les solutions de sécurité et d’autres applications. Il faut les mettre à jour régulièrement.
Désactiver les macros dans Office
Les attaques peuvent se propager par le biais de macros dans des documents Office. Pour être sûr, il est donc préférable de les désactiver. Pour ce faire, lorsque vous êtes dans une application Office, sélectionnez Fichier > Options > Centre de gestion de la confidentialité > Paramètres du centre de gestion de confidentialité et sélectionnez soit Désactiver toutes les macros avec notification, soit Désactiver toutes les macros sans notification. Si vous les désactivez avec notification, lorsque vous ouvrez le fichier, un message vous avertit que les macros ont été désactivées et vous permet de les activer. Ne les activez que si vous êtes absolument certain qu'elles proviennent d'une source sûre et fiable.