Le diable se cache dans la pièce jointe
PARIS, 21 mars 2016 – Je suis toujours épaté par ce que je découvre dans le monde de l’informatique, et tout particulièrement dans ses contrées les plus sombres.
En quelques années, on est passé d’attaques virales qui faisaient des dégâts mais qui restaient assez rudimentaires, à des campagnes de piratage dont la virulence, l’étendue et la sophistication défient l’imagination. En la matière, je me souviendrai longtemps de ce que je découvre en arrivant ce matin du 1er mars à l’AFP.
Je suis le responsable de la sécurité des systèmes d’information de l’agence. Mon job consiste, entre autres, à tenter d'empêcher les gredins en tout genre de s’infiltrer dans les ordinateurs de l’AFP. Pour m’aider dans mon travail, en plus des contrôles automatiques en place, je demande régulièrement aux utilisateurs de me faire suivre les messages suspects qu’ils reçoivent dans leur boîte mail. C’est en analysant ces éléments que je peux sonner le branle-bas-le-combat en cas de pépin.
C’est mon activité du matin, quand je suis dans les transports en commun: je regarde mes messages sur mon téléphone, en fonction de quoi j’essaye de deviner à quoi ressemblera ma journée. Il y a des jours avec et des jours sans... Et dans un premier temps, ce mardi 1er mars ressemble fort à un jour sans, avec seulement quelques signalements de mails suspects. Les apparences sont trompeuses…
Quand j’arrive au bureau, un collègue m’interpelle. « Viens voir, j’ai reçu un mail qui a l’air vraiment louche ! » Il me le transfère, et presque au même moment, plusieurs mails d’utilisateurs tombent dans ma boîte pour me signaler le même message suspect. Ce dernier provient – en apparence – d’un respectable cabinet d’avocats parisien. Tout de suite, je fais une recherche à l’aide des outils spécialisés dont je dispose. Et je découvre qu’en l’espace d’une demi-heure, ce message a été envoyé à plus de deux mille collaborateurs de l’AFP à travers le monde avec une pièce jointe infectée par un «malware» particulièrement dangereux que nos antivirus, à cet instant, ne détectent pas encore.
Le corps du délit: la pièce jointe 20160301760693.zip
Dans les services techniques de l’AFP, c’est la mobilisation générale. Le superviseur d’incidents et les équipes d’exploitation se mettent au travail pour repousser l’agression. Un coup de fil au cabinet d’avocats en question – qui s’avère être bien réel – m’apprend que l’AFP n’est pas la seule entreprise touchée. C’est une attaque massive. Les pirates ont usurpé l’adresse mail du cabinet et s’en servent à son insu pour expédier leurs messages. Ils espèrent qu’un maximum d’utilisateurs cliqueront sur la pièce jointe, et tomberont ainsi dans le piège diabolique qu’ils leur ont soigneusement tendu.
A ce stade, nous bloquons l’adresse mail des avocats de façon à ce qu’elle ne puisse plus communiquer avec l’AFP. Mais il est déjà trop tard : les 2.000 mails sont déjà dans les boîtes. A moins d’un miracle, certains destinataires ont certainement déjà essayé d'ouvrir la pièce jointe…
Locky, le ransomware qui vous pourrira la vie
Et que se passe-t-il si vous cliquez ?
Au début, rien. Du moins en apparence. La pièce jointe semble vide, même si vous cliquez quatre ou cinq fois dessus. Pendant plusieurs minutes, votre ordinateur continue à fonctionner normalement. A ce stade, vous ignorez qu’un processus infernal est enclenché. Car en fait, vous venez d’installer sur votre poste de travail une saleté qui va vous gâcher votre journée, si ce n’est votre vie tout entière : le redoutable ransomware Locky.
Un ransomware, c’est un programme malin qui, lorsqu’il est activé, installe un extrait de code sur votre disque dur. Ce code se met en communication avec un serveur dit de «command and control» qui se trouve quelque part sur internet, puis il télécharge le reste du code malveillant et une clé de chiffrement unique. Après quoi, il se met à tout crypter: votre disque dur interne, les disques durs externes et les clés USB éventuellement branchés à ce moment-là, les partages de serveur… Tout devient illisible, inutilisable. Vous venez de perdre la totalité de vos données.
Dans le même temps, un texte contenant un message des pirates s’installe partout dans votre ordinateur, de façon à ce que vous ne puissiez pas le rater. Vous ouvrez le message, vous lisez. Et vous réalisez à quel point vous êtes dans le pétrin.
Autrement dit, vous êtes dans de beaux draps...
Quelques minutes après avoir découvert l’attaque, un coup de fil d’un bureau de l’AFP en province m’apprend qu’un premier poste de travail a été crypté. Je demande au technicien local de m’envoyer le mail avec la pièce jointe sur laquelle ce collaborateur a cliqué. Bingo: c’est le fameux message du cabinet d’avocats. Petit à petit, nous découvrons plusieurs autres ordinateurs infectés au siège de l’agence à Paris, puis en Europe. Nous voyons que des partages de fichiers sur des serveurs sont aussi cryptés.
Là, ça devient vraiment inquiétant. Je me dis que les dégâts vont être lourds. On prévient la directrice des systèmes d’information de l’AFP, puis le PDG. Seule lueur d’espoir: notre antivirus s’est entretemps mis à jour avec les caractéristiques de cette attaque, probablement déjà signalée par une autre entreprise victime.
Que dit ce fameux message des pirates, celui que vous retrouvez partout sur votre ordinateur infecté ?
Eh bien, il vous annonce froidement que votre poste est crypté et qu’il le restera jusqu’au paiement d’une rançon. Il vous explique la procédure à suivre pour acheter la clé de déchiffrement, le seul espoir qui vous reste de récupérer vos données prises en otage.
Une rançon de 1.500 euros par ordinateur
Pour payer votre rançon, il vous faudra acheter des Bitcoins, cette fameuse monnaie cryptographique très sûre et qui, comme les espèces, ne laisse pas de traces. Pour cette attaque, la rançon est fixée à quatre bitcoins par clé de déchiffrement. Et ce jour-là, le Bitcoin, dont le cours est très volatil, cote à environ 390 euros. Il vous faudra donc verser plus de 1.500 euros pour espérer retrouver le contenu d’un seul ordinateur…
C’est là où l'on comprend à quel point l’affaire est rentable pour les pirates. Ce jour-là, il est probable qu’ils ont lancé une campagne de plusieurs centaines de milliers d’emails. Admettons que seules mille victimes acceptent de payer la rançon de 1.500 euros. Faites le calcul, et vous comprendrez que ce 1er mars est une très belle journée pour l’équipe d’informaticiens hackers à l’origine de vos soucis…
A l'AFP, nous n'y échappons pas: nous avons notre lot de postes cryptés par le ransomware. L'erreur est humaine, et recevoir un message émanant d'un cabinet d'avocats n'éveille pas la méfiance de plusieurs de nos utilisateurs.
L’AFP décide de ne pas céder au chantage des pirates. Nous portons plainte auprès de la police judiciaire. Nous isolons les ordinateurs infectés, nous les reformatons, nous restaurons les données dans la journée et nous conservons les fichiers cryptés comme nous le conseillent les enquêteurs. Qui sait ? Peut-être parviendront-ils à arrêter les hackers et à découvrir le serveur dans lequel se cachent les clés de déchiffrement…
Comment paye-t-on un pirate ?
Et si d’aventure nous avions voulu payer la rançon ? Eh bien dans ce cas, nous aurions d’abord dû acheter des Bitcoins. Puis nous lancer dans une petite excursion sur Tor, le fameux réseau internet parallèle où personne n’est détectable, remettre l'argent aux pirates sur une sorte de compte bancaire dans le « darknet », et croiser les doigts...
En général, une demi-heure ou trois quart d’heure après avoir payé, la victime reçoit un lien vers un serveur sur Tor qui contient le « decryptor », le sésame qui lui permettra de retrouver le contenu de sa machine. Nous parlons ici de clés de déchiffrement dites « RSA 2048 bits », soit une quantité incommensurable de combinaisons possibles. Aurait-on pu essayer de trouver la bonne combinaison sans payer la rançon ? Bon courage: un ordinateur normal, travaillant jour et nuit, mettrait plusieurs centaines d’années à la découvrir.
Ces attaques laissent presque admiratif tant elles sont bien montées. Bien sûr on ignore qui sont les pirates et comment ils s’y sont pris. Mais on peut supposer qu’ils doivent mettre des mois à tout organiser. Que ce sont des mafias structurées comme des entreprises, avec des informaticiens ultra-spécialisés en cryptologie, des logisticiens, des traducteurs qui écrivent les messages en diverses langues, des comptables qui traitent les transactions en bitcoins… Peut-être que tous ces gens ne vivent pas dans le même pays, qu’ils se sont connus sur le « darknet » et qu’ils agissent sans jamais être entrés physiquement en contact les uns avec les autres.
Hackers insaisissables
Le renseignement, ou ce qu’on appelle « l’ingénierie sociale », joue un rôle capital pour cibler les victimes, connaître leur activité et collecter leurs adresses mail. Puis il faut louer des serveurs à droite et à gauche dans le monde et y installer le système de chiffrement. Les hackers basent généralement leurs serveurs en Russie, en Chine, ou dans d’autres pays où il est extrêmement difficile pour une police occidentale d’intervenir. Dans un pays d’Europe de l’ouest, ils auraient plus de chances de se faire repérer.
A chaque campagne, les pirates n’envoient pas la même pièce jointe, car sinon elle serait immédiatement découverte et neutralisée par les systèmes antivirus. Aujourd’hui, c’est une course dans laquelle les hackers ont quelques heures d’avance : c’est le temps qu’il faut aux éditeurs d’antivirus, même les plus réactifs, pour mettre à jour leurs bases de données et circonscrire la menace. Quelques heures au cours desquelles ces hackers peuvent gagner des millions…
Accusé de réception furtif
Et la sophistication n’a pas de limites. Très vite après le début de l’attaque, donc, nous bloquons l’adresse à partir de laquelle sont envoyés les mails infectés. Puis, le lendemain, une journaliste m’écrit en s’étonnant d’avoir reçu un message du serveur AFP lui disant qu’il n’a pas pu remettre à son destinataire – le soi-disant cabinet en question – le mail qu’elle lui a envoyé… alors qu’elle n’a en fait rien envoyé du tout!
Nous découvrons alors que les pirates ont trouvé un moyen pour déclencher en catimini l’envoi d’un accusé de réception dès que le mail infecté est manipulé, transféré ou détruit. Ainsi ils savent que l’adresse d’envoi est bonne, qu’il y a quelqu’un derrière. C’est vraiment très, très fort : en même temps qu’ils attaquent, ils mettent à jour leur base de cibles, pour continuer à l’avenir à attaquer toujours les mêmes personnes.
La priorité, quand on est face à une telle agression, c’est de la contenir. Chaque attaque a un mode opératoire différent, et le temps de réaction est variable. Pour celle du ransomware Locky du 1er mars, nous parvenons à la stopper en une heure environ, non sans peines, en bloquant l’expéditeur des mails, en faisant le ménage dans les pièces jointes, en déclenchant la mise à jour de l’antivirus et en communiquant massivement à travers la maison pour que personne ne clique sur les fichiers douteux dans les messages.
Unis contre le mal
Régulièrement, nous effectuons des audits de sécurité, des tests d’intrusion à partir de robots situés à l’extérieur. Aujourd’hui toutes les entreprises s’achètent des « firewalls », se protègent, se dotent d’architectures informatiques adaptées pour repousser les attaques. Mon travail consiste aussi à faire de la veille technologique, à collaborer activement avec les équipes techniques internes dont la compétence m’est précieuse, à surveiller les alertes que nous envoient les autorités. Je rencontre régulièrement les acteurs « phares » de la sécurité informatique, comme les éditeurs d’antivirus. Je bénéficie aussi du retour d’expérience de mes homologues d’autres entreprises françaises au sein de clubs d’experts en sécurité.
Mais tout cela ne sert à rien sans la vigilance humaine, sans la pédagogie, sans la communication. Aujourd’hui, les hackers misent beaucoup sur la crédulité et l'inattention des utilisateurs. Donc moins on a d’utilisateurs crédules et distraits, moins on laisse de chances aux pirates. Je me permets donc, à ce stade, de vous donner quelques conseils:
Méfiez-vous systématiquement des pièces jointes et des liens que contiennent des mails. C’est la voie royale pour tomber dans le piège du « phishing » et installer sur votre ordinateur un programme malfaisant qui vous pourrira la vie (ce peut être un ransomware, mais aussi un spyware qui espionnera votre comportement et s’emparera de votre numéro de carte de crédit). Si vous ne connaissez pas l’expéditeur du mail, n’ouvrez pas la pièce jointe. Et si vous le connaissez, méfiez-vous aussi : son compte mail a peut-être été piraté. Si vous n’attendez pas son envoi, contactez-le pour vous assurer qu’il en est bien l’auteur. Pour ce qui est des liens, la circonspection est également de mise : commencez par passer dessus avec votre souris sans cliquer pour voir vers quel domaine il mène. Si c’est un domaine connu, comme afp.com, alors pas de problème. En revanche, si le nom de domaine est quelque chose de trompeur du genre « afp1.com », il s’agit sans doute d’une ruse.
Si vous recevez un mail douteux, donnez l’alerte. Transférez-le à votre responsable de la sécurité informatique pour qu’il puisse l’analyser et prendre les mesures qui s’imposent. Pour passer entre les mailles des contrôles, beaucoup de pirates envoient des mails personnalisés à chaque destinataire. Si ce destinataire ne prévient personne, la menace n’est pas détectée. La vigilance constante des utilisateurs est absolument essentielle.
Et si on a cliqué par mégarde sur une pièce jointe suspecte ? Cela peut toujours arriver. Le réflexe à avoir, dans ce cas, c’est d’éteindre l’ordinateur toutes affaires cessantes en appuyant sur le bouton « off », ou même en débranchant la prise de courant. Comme on l’a vu, un « ransomware » met jusqu’à plusieurs dizaines de minutes à déployer son mécanisme maléfique et à crypter les fichiers. Si on éteint le poste de travail en catastrophe, le processus ne peut plus se faire.
Ne gardez pas tous vos œufs dans le même panier. Faites régulièrement des copies de vos fichiers sur des supports physiques indépendants, comme des disques durs externes ou des clés USB, que vous maintiendrez en règle générale déconnectés de votre ordinateur et d'internet, ou sur un serveur d'entreprise qui fait l'objet de sauvegardes quotidiennes. De cette façon vous pourrez aisément récupérer vos précieuses données si votre machine est cryptée par des pirates ou, tout simplement, si votre ordinateur est volé ou tombe en panne.
Un des pires cauchemars du responsable sécurité, c’est l’attaque frontale, comme celle qui a coûté des millions d’euros à la chaîne TV5 Monde en avril 2015. Les pirates entrent discrètement dans le système d’information. Ils restent là pendant des semaines, voire des mois. Ils espionnent, ils arrivent à découvrir les mots de passe des comptes à privilège. Et au top départ, ils cassent tout. Une société peut se retrouver à genoux à cause de ça, mettre des mois à s’en remettre. Quant aux ransomwares, ils existent depuis longtemps mais les campagnes organisées sont un phénomène récent et en pleine expansion. Les premières que j’ai vues, c’était en 2015. Les spécialistes de la sécurité disent que 2016 sera l’année du ransomware. Mais gardons à l'esprit que les autres menaces sont nombreuses et qu'il en apparaît de nouvelles chaque jour. Il faut savoir rester humbles, car la sécurité absolue n'existe pas.
Pour quelqu’un qui n’a pas en permanence le nez dans tous les pièges démoniaques qui peuplent l’univers informatique, il est difficile de réaliser à quel point cet univers est dangereux. Dans une entreprise comme l’AFP, on parle d’attaques quotidiennes, qui peuvent aller de quelques mails à plusieurs milliers. Au moment où nous mettons la dernière main à cet article, samedi 19 mars, un nouveau message infecté avec le ransomware Locky est envoyé à environ 400 boîtes mail de l'AFP en l'espace de trente minutes. Heureusement, notre antivirus connaît déjà la signature de ce malware et le bloque.
Alors bien sûr, les journalistes de l’AFP préféreraient ne pas s’embarrasser de toutes les contraintes que je leur impose, être en mesure de transmettre leurs articles, leurs photos et leurs vidéos très facilement, sans devoir jongler avec tous ces interminables mots de passe que je les oblige à adopter. Je suis parfois obligé de composer, de mettre de côté ma paranoïa pour ne pas trop gêner les journalistes dans leur métier. Mais il y a des moments où il faut être intransigeant, sans quoi on court à la catastrophe.
Alcino Pereira est le responsable de la sécurité des systèmes d’information de l’AFP. Cet article a été écrit avec Roland de Courson à Paris.