Attaque par ransomware : remerciements à Alcino Pereira, RSSI de l'AFP

Comment faire face à une attaque par un logiciel de rançonnage (ransomware) ? Il faut bloquer l’expéditeur des mails, en faisant le ménage dans les pièces jointes, déclencher la mise à jour de l’antivirus, et communiquer massivement dans l’entreprise pour que personne ne clique sur les fichiers douteux dans les messages.

Porter plainte et garder des traces

La rédaction vous propose par secteur d'activité :

Luxe

Banque

Assurance

Transport

Santé

Quant aux machines déjà atteintes il faut les isoler, les reformater, restaurer les données dans la journée et conserver les fichiers cryptés comme le conseillent les enquêteurs et porter plainte auprès de la police judiciaire. C’est ce que préconise Alcino Pereira, RSSI (Responsable de la sécurité des systèmes d’information) de l’AFP, dans un billet de blog, suite à une attaque massive sur les 2000 postes de l’AFP (Agence France Presse) le 1er mars par le “ransomware Locky.”

Au passage, merci à ce RSSI pour communiquer aussi bien sur ce qui est la plaie des systèmes d’information et des entreprises, une attaque par un logiciel malveillant déclenchée par des être invisibles quelque part sur la planète.

Chiffrement de tout

Un ransomware, c’est un programme qui, lorsqu’il est activé, installe un extrait de code sur votre disque dur. Ce code se met en communication avec un serveur dit de «command and control» quelque part sur internet, qui télécharge le reste du code malveillant et une clé de chiffrement unique. Après quoi, il se met à tout crypter: votre disque dur interne, les disques durs externes et les clés USB éventuellement branchées à ce moment-là, les partages de serveur…

Newsletter La Revue du Digital

Tout devient illisible, inutilisable. Vous venez de perdre la totalité de vos données. Le ransomware annonce ensuite froidement que votre poste est crypté et qu’il le restera jusqu’au paiement d’une rançon. Il vous explique la procédure à suivre pour acheter la clé de déchiffrement, le seul espoir qui vous reste de récupérer vos données prises en otage.

Une heure pour bloquer l’attaque

Pour l’attaque du ransomware Locky du 1er mars, l’AFP est parvenue à la stopper en une heure environ, non sans peine, en bloquant l’expéditeur des mails, en faisant le ménage dans les pièces jointes, en déclenchant la mise à jour de l’antivirus et en communiquant massivement à travers la maison pour que personne ne clique sur les fichiers douteux dans les messages.

Mais tout cela, le RSSI insiste, ne sert à rien sans la vigilance humaine, sans la pédagogie, sans la communication. Aujourd’hui, les hackers misent beaucoup sur la crédulité et l’inattention des utilisateurs. Donc moins il y a d’utilisateurs crédules et distraits, moins on laisse de chances aux pirates. Il donne alors quelques conseils sur son blog.

Attaque massive

L’attaque est venue sous la forme de mails apparaissant être émis par un cabinet d’avocats. Cliquer la pièce jointe amenait le chiffrement de tout le PC de l’utilisateur. En appelant le cabinet d’avocats, le RSSI de l’AFP a appris que son entreprise n’était pas la seule touchée. C’était une attaque massive. Les pirates ont usurpé l’adresse mail du cabinet et s’en sont servi à son insu pour expédier leurs messages.

Facebook X LinkedIn

Et vous, qu’en pensez-vous ?

Une idée, une réaction, une question ? Laissez-nous un mot ci-dessous.

Je réagis à cet article

Top lectures en ce moment

Evènement, fil d'actualité

Trois questions auxquelles les retailers doivent répondre face à l’IA agentique
fil d'actualité

Doctolib lance un assistant vocal de gestion des appels des patients
abonnement, fil d'actualité

Stellantis adopte les agents IA, arcbouté sur une plateforme d’IA bâtie avec Dat...