Juste avant le FIC 2016, les 25 et 26 janvier à Lille, on apprend que les bonnes pratiques recommandées par l’ANSSI ne sont pas toujours suivies. Et il n’est pas question ici des fameux OVI (opérateurs d’importance vitale) mais du ministère des Transports où un ransomware se balade de poste de travail en poste de travail via la messagerie selon le Canard Enchainé. Dissimulé dans une pièce jointe, ce bout de code - Cryptlocker, CryptoWall ou CTB-Lock parmi les plus courants - utilise de puissants algorithmes de chiffrement pour rendre illisible le ou les disques durs/SSD d’un poste de travail. La plupart des menaces de type ransomware utilisent un chiffrement basé sur des clefs publiques, appairées à une clef privée que les pirates conservent sur leurs serveurs pour déchiffrer les données. Et pour obtenir cette fameuse clef, il est bien sûr nécessaire de passer par la case rançon, le plus souvent en bitcoins.
L’attaque a commencé début décembre 2015 au ministère des Transports en trompant les mesure de sécurité mises en place grâce à l’utilisation du suffixe de messagerie @aviation-civile.gouv.fr. Et les recommandations de la direction générale de l’aviation civile étaient fort simples en cas d’infection : débrancher le câble réseau et arrêter le PC. Depuis 2014, les attaques de ransomware sont en hausse de 113% selon la dernière édition de l'Internet Security Threat Report de Symantec. Et comme les cyberpirates veulent gagner de l’argent le plus rapidement possible, ils ont de plus en plus recours au ransomware. Des clefs pour déverrouiller les ransomwares les plus courants ont été publiées sur Pastebin mais le processus de déverrouillage est particulièrement complexe. Reste à attendre les préconisations de l’ANSSI sur le sujet : payer ou ne pas payer, telle est aujourd’hui la question au ministère des Transports.