Le Québec est une cible de choix pour les attaques de rançongiciels. Tout récemment en fin octobre 2020, l'une des plus grandes entreprises du Québec, la STM annonce au public avoir été visée par une attaque de rançongiciel. Quelques 1000 de ses 1600 serveurs ont été ciblés par l’attaque. Le pirate informatique avait exigé une rançon de 2,8 millions de dollars américains, mais grâce au travail acharné de ses équipes TI et cybersécurité, il semblerait que les dommages ont pu être limité. Un courriel malicieux semble-t-il était à l’origine de l’attaque.

Les ransomwares sont l'un des types de cyber-attaques les plus redoutées. Le logiciel malveillant crypte les fichiers et les documents et facilite souvent l'exfiltration, empêchant le travail, bloquant les informations vitales et fournissant une voie d'accès. Une rançon, souvent de plusieurs dizaines de milliers de dollars ou plus, est nécessaire pour obtenir une clé de déchiffrement. Les rançongiciels sont l'un des types de cyber-attaques les plus répandus et les plus efficaces. En 2020, selon un rapport de Sophos, plus de la moitié des personnes interrogées avaient été victimes d'une attaque de ransomware.

Le Québec n’est pas toujours inclus dans les rapports d'attaques de ransomwares. Cependant, la région est tout aussi menacée que partout ailleurs dans le monde.

Les rançongiciels ne se limitent pas qu’au Québec

Les rançongiciels sont un problème mondial. L'attaque du ransomware WannaCry de 2017 était la preuve que ces types de cyber-attaques sont d'importance mondiale. À son apogée, WannaCry a infecté des organisations dans plus de 150 pays, dont le Canada. Les pirates informatiques ont mené environ 2 millions d'attaques en 2018 dans le monde, dont le coût total a dépassé 45 milliards de dollars. Selon l’Alliance pour la confiance en ligne de la société Internet, qui a compilé des données provenant du monde entier, les rançongiciels auraient coûté 8 milliards cette année-là.

Les attaques de ransomwares sont motivées financièrement. Mais les fraudeurs à l'origine du crime recherchent également des « fruits à portée de main », c'est-à-dire des entreprises qui sont les moins placées pour empêcher ou gérer une telle attaque. Les cybercriminels derrière les ransomwares recherchent également des entreprises qui ne prennent tout simplement pas de précautions. De nombreuses cibles récentes de ransomwares ont inclus le gouvernement local avec des victimes américaines de premier plan. Un rapport de Barracuda a constaté que 60% de toutes les attaques de rançongiciels aux États-Unis ciblaient le gouvernement local ou national. L'un de ceux touchés par les ransomwares, Florida City, a fini par payer plus de 600 000 dollars de rançon. Des menaces similaires pour les entreprises et hôpitaux québécois ont été captées récemment.

D’autres exemples de menaces de ransomware aujourd'hui

En octobre 2020, Trinidad and Tobago Cyber Security Incident Response Team (TT-CSIRT) a publié un avis consultatif indiquant qu'une augmentation significative des attaques de ransomwares ciblant les organisations caribéennes a été identifiée.

L'avis demandait aux entreprises locales d'être diligentes et conscientes du niveau de menace. L'avis décrivait également un certain nombre de mesures préventives clés contre les principaux vecteurs utilisés pour cibler les entreprises des Caraïbes, à savoir:

• Exploiter les vulnérabilités du système (en particulier les périphériques de pare-feu obsolètes et le protocole de bureau à distance exposé)
• Courriels de phishing contenant des pièces jointes ou des liens infectés
• Compromettre les informations d'identification des utilisateurs

Ces trois vecteurs sont des méthodes bien connues utilisées pour infecter les réseaux d'entreprise avec des ransomwares. Le phishing, par exemple, reste le principal moyen par lequel les logiciels malveillants se retrouvent sur un appareil. Causes du phishing 90% des violations de données et 1 employé sur 3 a cliqué sur le lien malveillant dans un e-mail de phishing. Le phishing est à l'origine du vol d'informations d'identification et de l'infection par des logiciels malveillants perte d'informations d'identification en raison du phishing en augmentation de plus de 280% depuis 2016. Les renseignements recueillis par (TT-CSIRT) est essentielle pour aider les entreprises des Caraïbes à atténuer ces types d'attaques.

Moyens pour les entreprises québécoises d'atténuer une attaque de ransomware

Les entreprises québécoises doivent être vigilantes face à l'impact des ransomwares. Pour ce faire, une organisation doit s'assurer que certaines mesures sont utilisées:

Protection contre les exploits de vulnérabilité

• Assurez-vous que tous les appareils, y compris ceux utilisés par les travailleurs à distance  ont installés les correctifs nécessaires et que les logiciels sont à jour. Les vulnérabilités du système offrent une cible de choix pour les ransomwares, permettant à l'infection de s'installer et de se propager dans tout le réseau d'entreprise et dans les référentiels cloud.
• Si possible, désactivez le bureau à distance. Cela peut être plus difficile car le télétravail est de plus en plus commun. Si votre organisation doit utiliser un poste de travail distant, envisagez un accès via un VPN ou implémentez une passerelle de bureau à distance.

Prévention du phishing

• Utilisez l'analyse des courriels pour empêcher la livraison des courriels de hameçonnage et / ou empêcher toute pièce jointe malveillante d'atteindre les utilisateurs finaux.
• L'analyse des courriels doit être renforcée avec une formation envers la sensibilisation à la sécurité pour tout le personnel. Dans le cadre de cette formation, des exercices de simulation de phishing qui apprennent aux employés à détecter ce genre de courriels peuvent être utilisés.
• Une autre mesure utile consiste à authentifier les courriels entrants à l'aide de politiques et de protocoles spécifiques tels que DMARC.

Autres mesures d'atténuation des rançongiciels

• Si votre organisation a la malchance d'être victime d'une infection par ransomware, une sauvegarde peut garantir que votre entreprise continue de fonctionner. Les sauvegardes doivent être effectuées régulièrement et être à l'épreuve des rançongiciels, c'est-à-dire être isolées du réseau principal pour se protéger contre les cyberattaques.
• Le filtrage du contenu Web est une mesure qui empêche les utilisateurs d'accéder à un site Web malveillant même s'ils cliquent sur un lien dans un courriel de phishing.
• Implémentez l'authentification par deuxième facteur. Cela permet d'éviter les attaques reposant sur l'utilisation d'informations d'identification volées.

Un avenir sans rançongiciels pour le Québec?

Le Québec n’est pas la plus grande région au monde, d’un point de vue de population, mais c’est une terre très fertile pour les cybercriminels. Ceux-ci ne font aucune distinction, que votre entreprise soit petite, moyenne ou grande, n’importe quel gouvernement, entreprise, organisation ou personne, peut être la cible d’un rançongiciel. En mettant en place certaines mesures clés, la probabilité d'une attaque réussie par ransomware est considérablement réduite.