Tahiti, le 6 avril 2020 - Alors que le nombre des cyber-attaques explose pendant la crise liée au Covid-19, une entreprise polynésienne a fait l’objet d’une attaque informatique d’une “rare dangerosité” ce week-end. Le télétravail est en cause et nécessite des mesures de précaution toutes particulières.
En plein confinement en Polynésie française et un peu partout dans le monde, le Covid-19 n’est pas le seul virus à faire des ravages. Plus inattendus, les virus informatiques et les cyber-attaques progressent rapidement depuis le début de la crise liée au coronavirus. Ce week-end, une entreprise polynésienne a fait l’objet d’une cyber-attaque “d’un rare niveau de dangerosité”, explique le consultant spécialisé en infrastructure système, réseau et sécurité qui s’est occupé du problème, CS Consulting. “Ce qui est certain, c’est que c’est arrivé pendant qu’un utilisateur était en télétravail”, explique le gérant de CS Consulting, Thierry Chang Sang. “D’une façon générale, l’utilisateur ainsi que l’ordinateur distant sont souvent considérés comme des maillons faibles dans la sécurité d’un système d’information”.
Cette augmentation de la cybercriminalité a déjà été pointée du doigt par Europol le mois dernier dans un rapport sur l’exploitation de la crise du Covid-19 par les criminels et cyber-criminels. “Les criminels ont utilisé la crise Covid-19 pour mener des attaques d'ingénierie sociale, c'est-à-dire (l'envoi) de courriers électroniques de phishing via des campagnes de spam et des tentatives plus ciblées telles que la compromission des courriels commerciaux (BEC)”, pointait le rapport de l’agence européenne de sécurité. Concernant l’attaque de ce week-end au fenua, même l’Agence nationale de la sécurité des systèmes d'information (ANSSI) a confirmé qu’il s’agissait d’un mode opératoire particulièrement “rare” et élaboré. “Je pense à peu près avec certitude que ce n’est jamais arrivé en Polynésie”, explique Thierry Chang Sang. En effet, là où les attaques de type ransomwares –piratage des données et demande de rançon pour les récupérer– s’attaquent en général à des fichiers bureautiques commun, l’attaque de ce week-end a rendu immédiatement inopérants l’ensemble des serveurs de production, les sauvegardes sur site, les réplications de serveurs, ainsi que les sauvegardes déportées hors site…
Attention au télétravail
Mais pourquoi la crise actuelle est-elle aussi propice aux cyber-attaques ? D’abord parce que “la plupart des personnes sont en télétravail” et ensuite parce que “la plupart des organisations ont, d’une façon générale, d’autres priorités à gérer”, explique Thierry Chang Sang. Et pour cause, le professionnel explique en détail les raisons de l’insécurité informatique liée au télétravail. D’abord, les utilisateurs utilisent souvent des ordinateurs personnels moins protégés que des ordinateurs installés et gérés en entreprise. Ensuite, ils utilisent souvent d’autres systèmes de messagerie en parallèle, notamment personnels souvent moins bien protégés. Ils naviguent aussi très souvent sur des sites non professionnels, et parmi ceux-ci, certains sites “malveillants”. En effet, il peut arriver qu’à la maison, les utilisateurs mixent leur travail professionnel avec leurs activités personnelles. “Ce qui est mauvais en soi”, précise Thierry Chang Sang. Enfin, les ordinateurs distants sont rarement autant à jour que ceux qui résident dans les murs de l’entreprise.
Pour les personnes en télétravail, il est donc recommandé la plus grande précaution dans l’utilisation des données professionnelles d’une entreprise par exemple. Et il est conseillé de contacter en urgence le ou les responsables de l’infrastructure informatique de la société afin que des mesures d’urgence puissent être prises. Autre solution plus sécurisante expliquée par Thierry Chang Sang : “pour pallier précisément à ce type d’attaque, il est recommandé de disposer de sauvegardes non connectées. Et nous sommes bien placés pour savoir que beaucoup d’entreprises locales n’en ont pas.”
En plein confinement en Polynésie française et un peu partout dans le monde, le Covid-19 n’est pas le seul virus à faire des ravages. Plus inattendus, les virus informatiques et les cyber-attaques progressent rapidement depuis le début de la crise liée au coronavirus. Ce week-end, une entreprise polynésienne a fait l’objet d’une cyber-attaque “d’un rare niveau de dangerosité”, explique le consultant spécialisé en infrastructure système, réseau et sécurité qui s’est occupé du problème, CS Consulting. “Ce qui est certain, c’est que c’est arrivé pendant qu’un utilisateur était en télétravail”, explique le gérant de CS Consulting, Thierry Chang Sang. “D’une façon générale, l’utilisateur ainsi que l’ordinateur distant sont souvent considérés comme des maillons faibles dans la sécurité d’un système d’information”.
Cette augmentation de la cybercriminalité a déjà été pointée du doigt par Europol le mois dernier dans un rapport sur l’exploitation de la crise du Covid-19 par les criminels et cyber-criminels. “Les criminels ont utilisé la crise Covid-19 pour mener des attaques d'ingénierie sociale, c'est-à-dire (l'envoi) de courriers électroniques de phishing via des campagnes de spam et des tentatives plus ciblées telles que la compromission des courriels commerciaux (BEC)”, pointait le rapport de l’agence européenne de sécurité. Concernant l’attaque de ce week-end au fenua, même l’Agence nationale de la sécurité des systèmes d'information (ANSSI) a confirmé qu’il s’agissait d’un mode opératoire particulièrement “rare” et élaboré. “Je pense à peu près avec certitude que ce n’est jamais arrivé en Polynésie”, explique Thierry Chang Sang. En effet, là où les attaques de type ransomwares –piratage des données et demande de rançon pour les récupérer– s’attaquent en général à des fichiers bureautiques commun, l’attaque de ce week-end a rendu immédiatement inopérants l’ensemble des serveurs de production, les sauvegardes sur site, les réplications de serveurs, ainsi que les sauvegardes déportées hors site…
Attention au télétravail
Mais pourquoi la crise actuelle est-elle aussi propice aux cyber-attaques ? D’abord parce que “la plupart des personnes sont en télétravail” et ensuite parce que “la plupart des organisations ont, d’une façon générale, d’autres priorités à gérer”, explique Thierry Chang Sang. Et pour cause, le professionnel explique en détail les raisons de l’insécurité informatique liée au télétravail. D’abord, les utilisateurs utilisent souvent des ordinateurs personnels moins protégés que des ordinateurs installés et gérés en entreprise. Ensuite, ils utilisent souvent d’autres systèmes de messagerie en parallèle, notamment personnels souvent moins bien protégés. Ils naviguent aussi très souvent sur des sites non professionnels, et parmi ceux-ci, certains sites “malveillants”. En effet, il peut arriver qu’à la maison, les utilisateurs mixent leur travail professionnel avec leurs activités personnelles. “Ce qui est mauvais en soi”, précise Thierry Chang Sang. Enfin, les ordinateurs distants sont rarement autant à jour que ceux qui résident dans les murs de l’entreprise.
Pour les personnes en télétravail, il est donc recommandé la plus grande précaution dans l’utilisation des données professionnelles d’une entreprise par exemple. Et il est conseillé de contacter en urgence le ou les responsables de l’infrastructure informatique de la société afin que des mesures d’urgence puissent être prises. Autre solution plus sécurisante expliquée par Thierry Chang Sang : “pour pallier précisément à ce type d’attaque, il est recommandé de disposer de sauvegardes non connectées. Et nous sommes bien placés pour savoir que beaucoup d’entreprises locales n’en ont pas.”
Thierry Chang Sang, Gérant de CS Consulting : “C’est arrivé pendant qu’un utilisateur était en télétravail”
Une cyber-attaque d’un rare niveau de dangerosité est survenue ce week-end dans une entreprise de Polynésie française. En quoi cette attaque est-elle particulièrement élaborée ?
“La plupart des ransomwares, lorsqu’ils attaquent, chiffrent des fichiers communs bureautiques de type word, excel, powerpoint ou encore des images ou des vidéos. La différence avec ce qu’on a connu ce week-end, c’est que ce virus attaque également les systèmes. Il désactive les systèmes de protection, affaiblit ou rend inopérant les systèmes, et chiffre les sauvegardes. Donc en fait, tous les dispositifs de sécurité ont été outrepassés, ce qui est impressionnant en soi. Également, il s’agit d’une société qui avait tout de même bien investi en termes de sécurité. En effet, ils avaient un pare-feu assez sophistiqué et bien configuré. Et pour la messagerie, ils disposaient de deux couches de sécurité assez élaborées, dont une qui garantit que 100% des menaces connues sont arrêtées. Cette dernière, hébergée dans le cloud, n’a pas été en mesure d’arrêter le virus, en supposant que le virus soit arrivé par email.”
Ce type d’attaque, c’est du jamais vu en Polynésie ?
“Je pense à peu près avec certitude que ce n’est jamais arrivé. Pour ce genre d’incident, habituellement, nous en parlons entre nous, entre spécialistes du domaine. Et je pense que si c’était déjà arrivé en Polynésie, on l’aurait su.”
En tous cas, cette attaque est survenue parce que des utilisateurs étaient en télétravail ?
“Nous ne sommes pas certains de la façon dont le virus est arrivé. Selon nos hypothèses, il y a deux vecteurs possibles. L’une des possibilités, c’est que le virus soit arrivé par email. L’autre possibilité, c’est qu’un utilisateur ait surfé sur un site malveillant. Quoiqu’il en soit, ce qui est certain, c’est que c’est arrivé pendant qu’un utilisateur était en télétravail.”
Il faut donc être particulièrement vigilant sur la sécurité informatique, lorsqu’on est en télétravail ?
“C’est certain. D’une façon générale, l’utilisateur ainsi que l’ordinateur distant sont souvent considérés comme des maillons faibles dans la sécurité d’un système d’information. (…) Maintenant, pour le curatif, pour pallier précisément à ce type d’attaque, il est recommandé de disposer de sauvegardes non connectées. Et nous sommes bien placés pour savoir que beaucoup d’entreprises locales n’en ont pas.”
Dans ce type d’attaque, le hacker demande une rançon ?
“Oui tout à fait. Après, le souci de la rançon, comme on le sait habituellement, c’est que l’on n’est pas certain d’arriver à récupérer les données. Autant, certains payent et récupèrent leurs données. Autant d’autres ne les récupèrent jamais. Le cybercriminel prend l’argent mais ne fait pas tout le temps l’effort de rendre les données. Autre chose de très tendance ces derniers temps en termes de rançons, c’est qu’une première rançon est demandée, puis une seconde est ajoutée une fois que le premier paiement a été effectué. Comme ça, ils jouent sur le fait que la victime, qui s’est déjà engagée sur une partie de la rançon, va se sentir obligée d’apporter la seconde partie. Habituellement, selon nos observations, les rançons demandées varient entre 1 et 3 millions de Fcfp.”
“La plupart des ransomwares, lorsqu’ils attaquent, chiffrent des fichiers communs bureautiques de type word, excel, powerpoint ou encore des images ou des vidéos. La différence avec ce qu’on a connu ce week-end, c’est que ce virus attaque également les systèmes. Il désactive les systèmes de protection, affaiblit ou rend inopérant les systèmes, et chiffre les sauvegardes. Donc en fait, tous les dispositifs de sécurité ont été outrepassés, ce qui est impressionnant en soi. Également, il s’agit d’une société qui avait tout de même bien investi en termes de sécurité. En effet, ils avaient un pare-feu assez sophistiqué et bien configuré. Et pour la messagerie, ils disposaient de deux couches de sécurité assez élaborées, dont une qui garantit que 100% des menaces connues sont arrêtées. Cette dernière, hébergée dans le cloud, n’a pas été en mesure d’arrêter le virus, en supposant que le virus soit arrivé par email.”
Ce type d’attaque, c’est du jamais vu en Polynésie ?
“Je pense à peu près avec certitude que ce n’est jamais arrivé. Pour ce genre d’incident, habituellement, nous en parlons entre nous, entre spécialistes du domaine. Et je pense que si c’était déjà arrivé en Polynésie, on l’aurait su.”
En tous cas, cette attaque est survenue parce que des utilisateurs étaient en télétravail ?
“Nous ne sommes pas certains de la façon dont le virus est arrivé. Selon nos hypothèses, il y a deux vecteurs possibles. L’une des possibilités, c’est que le virus soit arrivé par email. L’autre possibilité, c’est qu’un utilisateur ait surfé sur un site malveillant. Quoiqu’il en soit, ce qui est certain, c’est que c’est arrivé pendant qu’un utilisateur était en télétravail.”
Il faut donc être particulièrement vigilant sur la sécurité informatique, lorsqu’on est en télétravail ?
“C’est certain. D’une façon générale, l’utilisateur ainsi que l’ordinateur distant sont souvent considérés comme des maillons faibles dans la sécurité d’un système d’information. (…) Maintenant, pour le curatif, pour pallier précisément à ce type d’attaque, il est recommandé de disposer de sauvegardes non connectées. Et nous sommes bien placés pour savoir que beaucoup d’entreprises locales n’en ont pas.”
Dans ce type d’attaque, le hacker demande une rançon ?
“Oui tout à fait. Après, le souci de la rançon, comme on le sait habituellement, c’est que l’on n’est pas certain d’arriver à récupérer les données. Autant, certains payent et récupèrent leurs données. Autant d’autres ne les récupèrent jamais. Le cybercriminel prend l’argent mais ne fait pas tout le temps l’effort de rendre les données. Autre chose de très tendance ces derniers temps en termes de rançons, c’est qu’une première rançon est demandée, puis une seconde est ajoutée une fois que le premier paiement a été effectué. Comme ça, ils jouent sur le fait que la victime, qui s’est déjà engagée sur une partie de la rançon, va se sentir obligée d’apporter la seconde partie. Habituellement, selon nos observations, les rançons demandées varient entre 1 et 3 millions de Fcfp.”
