Ransomware Wannacry : chronique d’une cyberattaque

Wannacry, un ransomware malveillant a infecté plus de 150 pays en l’espace de deux jours. La Cybercriminalité est une pratique en croissance chez les pirates/hackers qui affecte autant les particuliers que les entreprises. La récente cyberattaque mondiale qui a atteint plus de 200 000 victimes dans 150 pays a mis en lumière la nécessité de prévenir le risque des cyberattaques à travers un certain nombre de mesures, notamment juridiques qui concourent au renforcement de la protection des systèmes informatiques des entreprises et également celui des Startups.

L’exemple de la cyberattaque Wannacry illustre parfaitement la nécessité de l’actualisation et la sécurisation juridique des systèmes informatiques des startups.

 

CONTEXTE DE LA CYBERATTAQUE WANNACRY

 

Entre le 12 et le 13 mai 2017, des dizaines de milliers d’ordinateurs ont été infectés dans une centaine de pays, touchant des organisations et des entreprises, dont Renault par une cyberattaque simultanée à l’aide d’un logiciel de rançon.

Les experts en sécurité ont pointé l’exploitation d’une faiblesse dans les systèmes Windows utilisés par une majorité d’utilisateurs (organisations et entreprises).

(c) Cabinet Levrel

  • L’ANSSI[1] l’Agence Nationale de la Sécurité des Systèmes D’information ;
  • CERT-FR Centre Gouvernemental de veille, d’alerte et de réponse aux attaques informatique ;
  • La BEFTI[2] Brigade D’enquêtes sur les Fraudes aux Technologies de L’Information ;
  • L’OCLCTIC l’Office Central de Lutte Contre la Criminalité liée aux Technologies de L’information et de la Communication ;
  • Europol le Bureau de la police européenne.

 

Le CERT-FR qui participe à la mission d’autorité nationale de défense des systèmes d’information de l’ANSSI, a constaté l’apparition d’un nouveau rançongiciel « Wannacryp », aussi désigné sous les noms de : Wannacry, Wcry, Wanna crypt, Wana cryptor, ou Wana decript0r. Ce rançongiciel exploite la vulnérabilité d’un ordinateur ou d’un réseau informatique[3].

 

Le mode opératoire : Le programme malveillant qui pourrait être diffusé par courriel exploite des vulnérabilités pour se propager. Ces dernières sont celles décrites dans le bulletin de sécurité MS17-010

 

QU’EST-CE QU’UN RANÇONGICIEL OU RANSOMWARE ?

 

Un rançongiciel ou ransomware comme Wannacry est un logiciel malveillant qui provoque le chiffrement des fichiers d’ordinateurs (et des fichiers accessibles en écriture sur les dossiers partagés si votre ordinateur est connecté à un réseau informatique) jusqu’au versement d’une rançon, généralement en bitcoins, pour rendre les données à nouveau lisibles ou accessibles certaines fonctionnalités de l’ordinateur. Les autorités recommandent de façon claire de ne pas payer les pirates informatiques parce que cela ne garantit pas que l’accès aux donnés sera restauré.

 

(c) Cabinet Levrel

SCHEMA DE PROPAGATION DE WANNACRY

 

Le virus se diffuse par le biais de documents attachés ou de liens renvoyant prétendument vers des sites connus. Ce sont en fait des répliques contenues dans des courriels en apparence envoyés par des individus auxquels l’utilisateur est connecté.

Le programme malveillant serait constitué :

  • D’un composant chargé de la propagation via le réseau qui utiliserait une vulnérabilité du service de partage de fichier ;
  • D’un rançongiciel/ ransomware.

 

Pour éviter d’être infecté, il faut appliquer les mêmes règles de précaution contre le phishing (hameçonnage des données personnelles). Dans le doute il faut alors vérifier les adresses URL utilisées sur le site ad hoc, chercher ou demander à l’expéditeur du courriel s’il est bien à l’origine de l’envoi.

La version connue de Wannacry ne vise que les ordinateurs fonctionnant sous Window. Des rançongiciel visant les ordinateurs fonctionnant sous Mac ont cependant fait leur apparition ces dernières années. Des précautions doivent être prises en matière de mises à jour, de sauvegardes régulières et de vigilance à l’égard de la provenance des emails.

 

EPILOGUE DE LA CYBERATTAQUE

 

Un jeune britannique de 22 ans connu sous le pseudo « @malwaretechblog » a mis un coup d’arrêt au logiciel en exploitant sa « dépendance au nom de domaine ». Il a découvert qu’un simple achat de nom de domaine, pouvait endiguer la propagation du ransomware.

Le logiciel était conçu de façon à se connecter automatiquement à ce nom de domaine. Si ce dernier de répond pas alors l’opération peut se dérouler comme prévue : il bloque la machine, chiffre les données et exige une rançon. En revanche, s’il répond, alors le logiciel devient inactif. C’est ce qui s’est passé quand le nom de domaine a été enregistré.

 

  • Recommandations de sécurité du CERT-FR

  • Appliquer immédiatement les mises à jour de sécurité permettant de corriger les failles exploitées et arrêter la propagation du virus ;
  • Limiter l’exploitation du service de partage de fichiers sur internet ;
  • De manière préventive, s’il n’est pas possible de mettre à jour le serveur, il est recommandé de l’isoler, voir de l’éteindre le temps d’appliquer les mesures nécessaires ;
  • En complément, le CERT-FR recommande la mise à jour des bases de signature d’antivirus.
  • Il ne faut surtout pas céder aux hackers/pirates

 

Certains auteurs de rançongiciels font monter les enchères à mesure que le temps passe. Les spécialistes en sécurité informatique font remarquer que rien ne garantit que l’accès aux données piégées sera rétabli après versement de la rançon exigée.

 

  • Les risques financiers sont réels :

 

Les cyberattaques ont notamment touché le service public de la santé britannique (NHS), bloquant les ordinateurs de nombreux hôpitaux du pays. Téléfonica en Espagne, Renault en France. L’Australie, la Belgique, l’Allemagne, l’Italie et le Mexique ont également été touchés.

Renault a reconnu samedi 12 mai avoir été touchée par la cyberattaque. Des sites de production du constructeur français ont aussi été mis à l’arrêt notamment à l’usine de Sandouville, en Seine Maritime. Outre les sites en France, l’ANSSI a déclaré qu’une filiale de Renault en Slovénie a été touchée sans victime répertoriée en France.

Le virus a fait plus de 200 000 victimes dans 150 pays dont la France selon Europol[4].

Le Parquet de Paris a ouvert une enquête pour « accès et maintien frauduleux dans des systèmes automatisés de données », « entrave au fonctionnement de ces systèmes », « extorsions et tentatives d’extorsions ».

 

Bien avant les conséquences d’une cyberattaque, des moyens juridiques existent pour les prévenir.

 

DROIT PENAL ET SECURITE DES SYSTEMES INFORMATIQUES

 

Les CTO[5] et les spécialistes du droit de l’informatique ont vocation à travailler ensemble pour l’amélioration et le renforcement des systèmes informatiques.

 

Pourquoi ? Parce qu’un avocat spécialisé en droit des Nouvelles Technologies de l’Information et de la Communication connait l’arsenal juridique encadrant l’atteinte aux systèmes informatiques et peut de façon générale accompagner les CTO dans la mise en place d’un audit et d’une cartographie des risques afin d’évaluer la sécurité des systèmes informatiques de l’entreprise ou de la Start up et ainsi identifier les risques pouvant affecter le système informatique et collaborer à la mise en place d’un plan d’action.

 

Comment ?

 

Avant le risque de cyberattaque :

  • Audit des systèmes informatiques : en réalisant un état des lieux des risques liés à l’insécurité informatique, en évaluant les risques et en élaborant un programme de mise en conformité personnalisé, adapté aux secteurs d’activité d’une entreprise ou d’une Start up.

 

  • Cartographie des risques :la réalisation d’une cartographie des risques applicative présentant une vision synthétique, fonctionnelle du système informatique de l’entreprise ou de la startup ainsi que les informations relatives à la fonction de chaque application, et les interfaces et contrôles qui leurs sont associés.

 

  • Plan d’action : Le conseil juridique assistera l’entreprise ou la Start up dans la gestion de crise en cas de failles de sécurité affectant les traitements de données à caractère personnel en évaluant la criticité du sinistre, en élaborant une stratégie de défense, en mettant en œuvre des mesures conservatoires et précontentieuses.

 

  • D’autres éléments sont à prendre en compte dans l’amélioration de la sécurité informatique. Notamment, l’utilisation d’une signature électronique certifiée pour authentifier de façon sécurisée les documents et la mise en place d’une architecture de confiance qui permettrait, la reconnaissance de la validité des actes et contrats électroniques, les évolutions des obligations déclaratives des entreprises ainsi que le développement de la facturation électronique : courrier sécurisé, télétransmis

 

  • Gestion des régulateurs : Le conseil juridique vous accompagnera dans le cadre de contrôles CNIL et de toute autre procédure contentieuse devant les juridictions (prudhommales, commerciales, civiles et pénales).

 

  • Information : Le conseil juridique interviendra également pour sensibiliser le management et les fonctions opérationnelles aux risques liés aux données personnelles afin d’accélérer l’adoption des bonnes pratiques.

 

Après le risque de cyberattaque :

 La sécurité du patrimoine informatique est digne d’être protégée dans la mesure où les atteintes aux systèmes informatiques font l’objet de sanctions par le droit pénal, avec des incriminations spécifiques. Dans sa vocation dissuasive et répressive, il constitue un instrument essentiel de lutte contre la fraude informatique.

Quelles sont les incriminations prévues, par le droit pénal liées à l’informatique ? A quelles conditions celles-ci peuvent-elles être retenues et quelles sanctions sont susceptibles d’être encourues ?

 

Il existe dans le code pénal des incriminations spécifiques contre les atteintes aux systèmes de traitement automatiques de données[6] c’est-à-dire le système informatique.

(c) Cabinet Levrel

Le Cabinet Levrel accompagne les startups sur l’ensemble des problématiques stratégiques relatives à la protection, notamment contre le risque de la cybercriminalité et à la valorisation de leur patrimoine informationnel.

 

Pour en savoir plus, contacter le Cabinet Levrel.

 

[1] Actualité ANSSI : Alerte campagne de rançongiciel _ Mis à jour 14/05/17

[2] Brigade d’enquête sur les fraudes aux Technologies de l‘Information

[3] Bulletin d’alerte du CERT –FR n°CERTFR-2017-ALE-010

[4] Actualité Europol : Wannacry ransomware : recent cyber-attack, 13 May 2017

[5] Chief Technology Officier

[6] Article 323-1 à article 323-8 du code pénal