Cloud Computing et ransomware, l'innovation en marche !

Cloud Computing et ransomware, l'innovation en marche !

Par Loïc Guézo, Stratégiste en CyberSécurité pour l'Europe du Sud chez Trend Micro, administrateur du CLUSIF (Club de la Sécurité de l'Information Français) et membre de l'ARCSI (Association des Réservistes du Chiffre et de la SI).

Membre du Comité éditorial des Assises.

 

Adoption du Cloud Computing

 

L’apparition du Cloud Computing (ou Informatique en Nuage) est le dernier phénomène majeur que l’industrie informatique ait connue ces dernières années. Son  adoption comme modèle de référence ne fait plus aucun doute à l’échelle mondiale. Au niveau européen, l’adoption du Cloud Computing est même en croissance au sein des entreprises, notamment à travers le Cloud hybride. Mais des freins demeurent autour de la sécurité des données et des contrats, et bien entendu quant à l’intégration avec l’existant…

La dernière étude NetMediaEurope1 confirme d’ailleurs que le Cloud est bien en phase de croissance en Europe. 52% des organisations recourent au Cloud, soit une progression de 5 points en un an. Le cap de la moitié des entreprises est donc franchi : une grosse opération de séduction et de conversion des « Cloudophobes », qui étaient 33% en 2015 et ne sont plus aujourd’hui que 26% !

 

Cloud hybride et privé restent privilégiés

 

La porte d’entrée du Cloud en entreprise est donc le stockage/partage de documents (63%), le SaaS (62%) et l’hébergement d’applications (55%). Le PaaS est relégué en 4e position avec 35% bien que les grands comptes (47%) le considèrent comme une priorité. Grâce au Cloud, les entreprises souhaitent en premier lieu rendre leur informatique plus évolutive et réactive (54%) et faciliter l’accès aux applications à distance (47%). A noter que les questions de coûts et d’économies réalisées n’arrivent qu’en dernière position (37%).

Alors quel type de Cloud choisir ? Les entreprises européennes focalisent leur attention sur le modèle privé (40%) et hybride (43%). Le Cloud public ne séduit pour l’instant que 17% des interrogés dans cette étude. Mais cette proportion d’intérêt pour le IaaS varie en fonction de la taille de l’entreprise. Les petites sociétés ont plus d’appétence pour le Cloud public (25%) alors que les grands comptes restent plus réfractaires à cette idée (8% seulement montrent de l’intérêt). Un écart qui peut s’expliquer par un niveau de maturité plus élevé dans la définition d’une stratégie Cloud selon la taille de l’entreprise : moins de la moitié des PME ont une stratégie dans ce domaine, contre 58% pour les grandes entreprises.

 

Le Cloud Computing a ainsi fait son entrée, sans retour possible, dans ce que l'on peut qualifier de « salle des joyaux de la couronne » de toute entreprise, où reposent ses données (stockage/partage) et son savoir-faire métier (Saas).

 

Nouvelle ampleur pour les Ransomware

 

Depuis le début de l’année 2016, un autre phénomène mondial a connu un succès sans précédent, mais cette fois-ci auprès des cybercriminels : le ransomware (ou rançongiciel2).

D’abord limité à un blocage du fonctionnement de la machine-cible levé contre le paiement d’une rançon, il s’est transformé progressivement en véritable mécanisme de prise d’otage numérique en profitant pleinement de l’anonymat d’un paiement possible en BitCoin pour rendre l’accès aux données, ces dernières étant précédemment rendues inaccessibles par un chiffrement ad’hoc.

En passant successivement par des variantes plus ou moins agressives (menaçant de diffuser des données personnelles, de supprimer des fichiers importants si le paiement n’était pas assez rapide, ou encore offrant un service Support pour aider au paiement si la victime n’est pas à l’aise avec le BitCoin3, etc.), ce phénomène a prouvé son efficacité : une récente alerte de début d’année 2016, émise par le FBI démontre en effet le niveau élevé de la menace4, mais surtout souligne que les premiers paiements ne peuvent être qu’un encouragement au développement d’un business-model plus complet… Des campagnes spécifiques prenant volontairement pour cible des hôpitaux ou offreurs de services tiers aux hôpitaux5 sont en effet rapidement apparues...

 

Et c’est malheureusement ce que l’actualité des dernières semaines a continué de démontrer, mais avec cette fois une innovation notable : l’attaque via des faiblesses de fournisseurs tiers de Cloud Computing.

 

Rencontre du ransomware et du Cloud Computing ?

 

Premier exemple : l’attaque subie par les utilisateurs de l’iCloud d’Apple6. « Depuis février, un certain nombre d’utilisateurs d’Apple ont rapporté que des dispositifs verrouillés présentaient des demandes de rançon écrites en russe », explique un article de CSO Online. Pour procéder, les pirates passent par la fonction « Localiser mon iPhone » et placent ce dernier en mode perdu, ce qui bloque l’accès aux données. Bien sûr, s’ensuit une demande de rançon de quelques dollars pour recevoir sa clé de déblocage.

Rien de bien original jusqu'ici, sauf que CSO Online rapporte que ce ransomware pourrait potentiellement toucher plus de 40 millions de comptes iCloud ! A ce jour, le phénomène n’a pas été plus visible que les quelques cas liés à des identifiants Apple piratés. Mais les leaks de base d’Apple ID piratés prenant de l’ampleur, ceci peut largement alimenter la recrudescence de verrouillage frauduleux…

 

Reste que la potentialité de dizaines de milliers, voire millions de victimes, via un même et unique mode opératoire change profondément la donne quant au succès du modèle financier des ransomware… et c’est incontestablement ce qui émerge désormais !

Zimbra7 a par exemple été récemment victime de ransomware spécifiques, développés en Python et ciblant les infrastructures mail de ses utilisateurs dans le Cloud : chiffrement du folder de messagerie en AES, envoi des clés (chiffrées) à une adresse externe (contrôlée par l’attaquant) et demande de rançon de 3 Bitcoins…

 

L’avantage du Cloud Computing se retourne alors contre son utilisateur. L’ensemble des procédures de sauvegarde étant réalisé, par contrat, par le fournisseur, comment réagir si son infrastructure elle-même est sensible à ces attaques ?

 

Autre cas, fatalement, qui n’a pas manqué d’apparaître rapidement : une attaque sur Office 365.

Fin juin 2016, le cas de Cerber a défrayé la chronique ! Connu depuis mars, une  campagne malveillante a ciblé Office 365 pendant quelques heures, entre le 22 et le 23 juin. Cette nouvelle vague d’attaques profitait d’une vulnérabilité Zero-Day, non détectée par les systèmes de sécurité de Microsoft. A mettre en perspective avec les chiffres officiels de Microsoft, qui annonçait au premier trimestre 2016 avoir 18,2 millions d’utilisateurs Office 365…

 

Trend Micro a identifié des messages spam liés à Cerber en hausse depuis mai 2016, avec un pic notable en juin (800 messages en mai contre plus de 12 000 en juin). L’activité la plus forte ayant été observée le 22 juin dernier, avec plus de 9 000 messages identifiés associés à Cerber. Or cette nouvelle variante de Cerber était distribuée par les kits d’exploit Rig et Magnitude qui, tous deux, tirent parti de vulnérabilités Zero-Day et installent d’autres familles de ransomware.

 

Autre innovation, cette variante est également l’un des très rares malware à délivrer sa demande de rançon de manière vocale. Son code source est, par ailleurs, commercialisé au sein de l’underground russe, selon un modèle RaaS (Ransomware as a Service), permettant ainsi aux auteurs de monétiser toujours et encore plus leur savoir faire8.

 

Quelle réaction face à l’innovation des attaquants ?

 

Nous savons désormais que mettre ses données à l’abri dans le Cloud, quelqu’en soit le fournisseur, ne sera pas une réponse suffisante face à l’innovation des attaquants.

 

A fortiori, la faiblesse relative des dispositifs de sécurité intégrés sera exploitée par ces attaquants avec des conséquences inédites à redouter, comme par exemple :

  • l’arrêt total d’activité pour cause de prise en otage de l’appareil productif numérique ;
  • une contamination massive inter-client d’une même plateforme de services ;
  • la perte irrémédiable de données, si attaque combinée sur les sauvegardes en ligne.

 

Trois axes sont donc désormais à privilégier :

  • l’étude de solutions de sécurité indépendantes, « dans le Cloud », qu’une entreprise pourra ainsi utiliser pour compléter sa bascule Métiers : le fournisseur Cloud retenu sera ainsi sainement complété par un expert Sécurité indépendant et reconnu.
  • La validation de ces transformations numériques quant aux nouveaux risques induits : il est urgent (de nouveau ?) de re-sensibiliser les DSI et comités de direction au nouvel environnement « en nuage » vers lequel ils  avancent, au risque de voir partir leur capital informationnel « en fumée » !
  • Encore et toujours, la sensibilisation des utilisateurs en veillant à garder le bon niveau d’adéquation avec les modes opératoires, toujours très innovants, des attaquants…

 

 

1. Menée en mars 2016 auprès de 432 décideurs informatiques et métiers d’entreprises de différentes tailles et issues de 5 pays européens (France, Italie, Espagne, Allemagne et Angleterre) : http://livreblanc.silicon.fr/resource/etude-cloud-quel-impact-sur-les-entreprises

2. Introduit dès 2013 par le CLUSIF (www.clusif.fr) lors de son panorama annuel cybercriminalité de l’année 2012 : https://clusif.fr/content/uploads/2015/09/CLUSIF-2013-Panorama-Cybercriminalite-annee-2012.pdf

3. http://blog.trendmicro.com/trendlabs-security-intelligence/jigsaw-crypto-ransomware-turns-customer-centric-uses-chat-ransom-attempts/

4. https://www.fbi.gov/news/stories/incidents-of-ransomware-on-the-rise

5. http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/ransomware-attack-holds-hollywood-hospital-records-hostage-for-3-6m

http://www.lemonde.fr/pixels/article/2016/02/24/des-hopitaux-francais-eux-aussi-victimes-de-chantage-informatique_4870885_4408996.html

6. http://www.csoonline.com/article/3093016/security/apple-devices-held-for-ransom-rumors-claim-40m-icloud-accounts-hacked.html

7. https://blog.zimbra.com/2016/06/security-news-zimbra-ransomware-written-python/

8. http://blog.trendmicro.com/trendlabs-security-intelligence/cerber-crypto-ransomware-speaks-sold-russian-underground/


PrécédentAccueilSuivantPartager