Recoveo : ces mécanos du disque à la rescousse des victimes de ransomwares

Le prestataire expert dans la récupération des supports physiquement détruits parvient à restaurer les fichiers dans 70 à 80 % des cyberattaques. Non pas en les déchiffrant, mais en regardant autour.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : STORAGE: Storage 26 : La recherche contre le Covid-19 bascule sur des NAS élastiques

Et si le recours après une attaque de ransomware venait des experts de la récupération des supports de stockage ? Telle est l’idée que défend l’un d’eux, la société Recoveo. Spécialisée depuis 2002 dans le recouvrement d’informations à partir de disques durs détruits, de clés USB effacées, de bandes magnétiques déchirées ou de SSD tout simplement en panne, elle propose depuis trois ans de mettre ses méthodes d’extraction archéologiques, effectuées avec gants et équipements de pointe dans ses labos stérilisés, au service des entreprises dont les données ont été chiffrées lors d’une cyberattaque.

« Nous ne sommes pas capables de déchiffrer les données qui ont été compromises par un ransomware. En revanche, nous savons retrouver tout autour des vestiges de ce que vous avez perdu », lance Christophe Vanypre, le directeur de Recoveo. « Parmi les cas les plus simples, nous avons ainsi pu restaurer toutes les données d’un cabinet médical après une cyberattaque, en récupérant juste une vieille copie de sauvegarde quotidienne qui avait été effacée du disque dur par une sauvegarde plus récente peu avant que le ransomware ne s’active », illustre-t-il.

« Cet exemple n’est hélas, pas le cas le plus courant. Les cyberattaquants ont mille manières de rendre vos données inaccessibles. Nous nous efforçons de retracer la méthode employée et de trouver la faille, d’aller chercher ce qu’ils n’ont pas pris le temps de détruire », ajoute l’un des ingénieurs de Recoveo, qui ne tient pas à divulguer son identité, car, dit-il, il travaille sur des dossiers sensibles.

Trouver la faille des cyberattaques

L’ingénieur explique. Lorsqu’il s’active, un ransomware doit verrouiller un maximum de données – gage d’une demande de rançon importante – le plus rapidement possible. En effet, selon la quantité d’antivirus et d’outils de protections que la victime avait mis en place, le logiciel malfaisant va déclencher par ses actions un certain nombre d’alarmes. Le temps qu’il passe à solliciter la puissance de calcul des ordinateurs de ses victimes, pour chiffrer un à un les fichiers, puis en enregistrer une nouvelle copie, est autant de minutes que les victimes pourraient mettre à profit pour débrancher les équipements avant qu’ils ne soient atteints.

« Nous ne sommes pas capables de déchiffrer les données qui ont été compromises par un ransomware. Mais, nous savons retrouver autour des vestiges de ce que vous avez perdu. »
Christophe VanypreDirecteur Recoveo

« Dans une attaque de ransomware, tout est rendu inaccessible, mais tout n’est pas chiffré. L’espace libre des disques, où demeurent d’anciennes copies qui n’étaient plus indexées dans l’arborescence du système de fichiers, est souvent laissé intact. Il en va souvent de même pour les sauvegardes stockées sur un NAS externe. Comme elles sont généralement trop longues à chiffrer, les pirates se contentent dans de nombreux cas de simplement formater les disques des NAS. Or, récupérer le contenu de disques tel qu’il était avant qu’ils soient formatés est notre spécialité », assure l’ingénieur mystère.

Il précise cependant que les techniques de récupération dans ces cas-là se sont complexifiées au fur et à mesure de l’évolution des matériels de stockage. À l’époque où les PC et les serveurs utilisaient de simples disques durs, l’effacement de fichiers ou le formatage de volumes n’était que logiciel : les données étaient toujours présentes sur la surface magnétique jusqu’à ce que la tête d’écriture vienne les remplacer par d’autres. Et de simples outils sous Windows permettaient de parcourir chaque bloc un à un pour recomposer les données disparues. Ce n’est plus aussi facile.

« Aujourd’hui, récupérer une sauvegarde sur un NAS qui a été effacé signifie parvenir à reconstruire le RAID entre les disques, parvenir à reconstruire le système de fichiers et parvenir à déterminer si des blocs ont été perdus dans une sauvegarde qui est dans un format propriétaire très complexe, comme celui de Veeam. Ensuite, il faut encore extraire les données saines de cette sauvegarde, c’est-à-dire les machines virtuelles ou les bases de données qui ont été sauvegardées avant d’avoir été corrompues, c’est un véritable travail de fourmi ! », lance l’ingénieur.

Et il y a pire. Dans certains cas, Recoveo va jusqu’à démonter des SSD pour dessouder leur contrôleur et en ressouder un autre à la place, avec un firmware de sa conception. « Notre avantage est que nous avons mis en place au fil des ans une véritable unité de R&D qui conçoit des logiciels et des équipements de récupération. Nous investissons 4 % de nos revenus dans cette cellule, pour qu’elle soit toujours à jour malgré les incessants changements de technologies chez les fabricants de stockage », dit Christophe Vanypre.

Gérer l’urgence

Recoveo parviendrait à récupérer des données dans 70 à 80 % des cas de ransomwares qui lui sont soumis, à raison de vingt à vingt-cinq demandes par mois depuis trois ans. « Précisions que ce taux de réussite concerne les données restituées non chiffrées. Après, il ne nous appartient pas de savoir si elles sont encore utilisables. Nous les rendons aux entreprises et ce sont leurs ingénieurs qui déterminent si elles sont exploitables, ou périmées, ou incomplètes parce que, dans une base SQL par exemple, la disparition de cellules intermédiaires fausse tous les calculs », indique le directeur de Recoveo.

« Dans une attaque de ransomware, tout est rendu inaccessible, mais tout n’est pas chiffré. »
Recoveo

Recoveo a parfaitement conscience que les entreprises qui font appel à ses services jouent contre la montre : elles doivent savoir quelles données elles peuvent récupérer avant que n’expire le délai imposé par les attaquants et avant que leur demande de rançon n’explose.

« Nous avons mis en place un service d’astreinte, qui fonctionne en 24/7. Par exemple, en juillet dernier, nous avons réussi à récupérer les contenus de deux serveurs de sauvegarde pour un industriel en seulement trois jours. Nous avons reçu leurs machines le vendredi soir, nous avons achevé la restauration de 25 To de fichiers dans la nuit de dimanche à lundi et les serveurs leur ont été restitués avec toutes les données récupérées dans la journée du lundi », raconte Christophe Vanypre. « Nous avons aussi restauré des serveurs en plein 31 décembre… Nous nous donnons vraiment du mal, vous savez. »

Une collaboration avec les autorités qui se fait attendre

Christophe Vanypre regrette de ne pas plus collaborer avec les autorités. « Nous récupérons essentiellement des données depuis des NAS, car les gendarmes mettent des scellés sur les serveurs de production. Eux font une enquête, ils cherchent des traces qui leur permettront de remonter à la source de l’attaque, tandis que, nous, nous basculons en cellule de crise pour restaurer des données le plus rapidement possible. Il serait utile que nous collaborions plus, car, par exemple, dans nos restaurations, nous pouvons retrouver les traces d’un ransomware avant qu’il ne se soit activé, ce qui fournirait aux autorités des indices précieux. »

« Les cas de cyberattaques commandités par un concurrent dans un seul but de vandalisme sont plus fréquents qu’on le pense. »
Christophe VanypreRecoveo

Il assure que ce rapprochement est en cours. Qu’il bataille auprès de l’ANSSI pour faire valoir les compétences de Recoveo.

Ce rapprochement permettrait par ailleurs d’éviter les cas d’entreprises qui ne veulent pas dire aux autorités qu’elles ont été victimes d’attaques et qui se mettent ainsi en infraction par rapport aux exigences du RGPD. « Un peu moins de 20 % des entreprises qui viennent nous voir nous demandent de garder l’attaque confidentielle. Nous les incitons à ne pas le faire. Beaucoup nous disent que l’attaque n’a pas donné lieu à une demande de rançon. Ce qui est tout à fait possible : les cas de cyberattaques commandités par un concurrent dans un seul but de vandalisme sont plus fréquents qu’on ne le pense », conclut Christophe Vanypre.

Pour approfondir sur Protection des données