Les attaques par rançongiciel constituent le premier cyber risque pour les distributeurs d’énergie et les infrastructures critiques dans le monde. La détection des activités malveillantes en vue de prévenir les perturbations et la propagation lors de la phase de préparation d'une attaque est au cœur de toute stratégie de cybersécurité.
La récente attaque du rançongiciel ESX iArgs contre les serveurs de VMware a ébranlé les entreprises du monde entier. Ce nouvel incident informatique de grande ampleur met en évidence le risque auquel chaque entreprise est confrontée du fait de la vulnérabilité de sa chaîne d’approvisionnement. Cet évènement prouve également que le concept du « 100 % sécurisé » est dépassé.
La dépendance croissante vis-à-vis des services et des fournisseurs tiers laissera toujours subsister une faille de sécurité, dans la mesure où le dispositif de sécurité se situe en dehors du périmètre de l’entreprise qui le déploie. En effet, les entreprises ne peuvent jamais connaître avec certitude le niveau de sécurité d’un logiciel ou d’un composant matériel, ni même savoir s’il est sécurisé. C’est particulièrement le cas dans les infrastructures critiques et les environnements industriels, où les composants et les systèmes des réseaux de technologie opérationnelle (OT) manquent de dispositifs de sécurité ou sont construits sur des cadres non sécurisés dès la conception, avec des vulnérabilités de type « zero-day » qui n’ont pas encore été détectées. En parallèle, ils sont confrontés à une menace de plus de 247 millions de logiciels malveillants chaque année.
Les rançongiciels ne sont-ils pas réservés à l’informatique ?
L’intégration des systèmes, les applications (I)IoT et la connexion des réseaux OT et IT exposent ces systèmes et composants industriels non sécurisés à toutes les menaces connues dans le domaine de l’IT. Ce recoupement rend l’OT aussi vulnérable, si ce n’est plus, que l’IT.
Compte tenu du constat dressé ci-dessus, lorsqu’une attaque par rançongiciel atteint une entreprise industrielle, il y a de fortes chances pour que les processus industriels soient affectés. Cette situation peut avoir des conséquences désastreuses (sociétales et politiques), plus particulièrement pour les infrastructures critiques. En outre, en janvier 2023, le sous-groupe d’Anonymous GhostSec a annoncé qu’il était parvenu à chiffrer une unité de terminal distante (RTU) qui fonctionne dans les réseaux industriels. Ces nouveaux développements renforcent le risque d’attaques ciblées de rançongiciels sur les réseaux OT.
Les attaques par rançongiciel sont-elles trop rapides pour que l’on puisse les détecter en amont ?
Les attaques de rançongiciels sont considérées comme des attaques quasi instantanées. Subitement, tous les ordinateurs sont chiffrés et toutes les données sont perdues. Cette idée était sans doute vraie par le passé, lorsque les logiciels malveillants étaient transmis à un ordinateur sous la forme d’une pièce jointe piégée envoyée par e-mail et qu’ils commençaient à chiffrer l’ordinateur immédiatement.
Aujourd’hui, les attaques de rançongiciels sont plus sophistiquées et vont plus loin. Il peut s’agir de logiciels malveillants cryptographiques présentés sous forme de vers (c.-à-d. dotés de capacités d’auto-propagation) et qui communiquent avec un serveur de commande et de contrôle hébergé sur une adresse IP publique. Cette stratégie permet aux assaillants de planifier soigneusement leur attaque et d’optimiser le retour sur investissement. Pour ce faire, ils :
- téléchargent des outils de piratage supplémentaires,
- téléchargent et analysent les données de l’entreprise pour en évaluer la valeur, les utiliser à des fins de chantage ou les vendre sur le marché noir (si les négociations échouent),
- explorent le réseau pour une propagation ultérieure de la menace, et
- contaminent un maximum de dispositifs avant de déclencher le chiffrement.
Ce processus de préparation peut s’étendre sur plusieurs jours voire plusieurs mois.
C’est au cours de cette période qu’un système de détection d’intrusions réseaux (NIDS) pourra détecter les préparatifs de l’assaillant, plus particulièrement aux premiers stades de la « cyber kill chain », lors de la reconnaissance interne et des déplacements latéraux. Cette détection anticipée, qui repose sur le paradigme de la visibilité OT, permet aux opérateurs de stopper l’attaque avant qu’elle ne perturbe les systèmes et les services.
Nous vous expliquerons comment une surveillance OT avec détection d’anomalies permet d’identifier ces attaques de rançongiciels dans la partie 2 de cet article, à venir prochainement.
