Cet article fait partie de notre guide: Ransomware, une star sans rival des menaces en 2020

Ransomware : les premiers enjeux de la reconstruction

Les équipes de Wavestone ont été amenées à intervenir sur plusieurs situations de crise provoquées par des infections de rançongiciel. Gérôme Billois partage son expérience avec la rédaction.

L’industriel Norsk Hydro vient d’être victime d’un ransomware. Cela n’a pas été confirmé officiellement, mais selon toute vraisemblance, il s’agit de LockerGoga, un maliciel suspecté d’avoir également été à l’œuvre chez Altran, plus tôt cette année. Ce rançongiciel n’embarque pas de capacités de réplication comme peuvent en être dotés les vers : son déploiement à grande échelle nécessite la compromission d’outils de distribution logicielle, comme par exemple l’annuaire Active Directory, ainsi que le relevait très tôt Kevin Beaumont. Dans une telle situation, quels sont les premiers enjeux du volet technique de la gestion de la crise ?

Des interdépendances contraignantes

Pour Gérôme Billois, directeur de la practice Cybersécurité de Wavestone, fort de l’expérience acquise à l’occasion de plusieurs interventions, cela commence par pouvoir accéder aux sauvegardes. Car il n’est manifestement pas si rare que « les serveurs de sauvegarde aient été eux-mêmes chiffrés ». Là, « on a les cartouches de sauvegarde, mais on n’a plus le lecteur et l’index – ou le catalogue – qui permet de savoir où sont les données sur les sauvegardes ». A ce stade, la question de savoir si l’on choisit de restaurer ou pas à partir d’elles, en fonction de l’ampleur supposée de la compromission, ne se pose donc même pas. Et pour reconstruire l’index des sauvegardes, « souvent, c’est plusieurs jours » de travail avec les outils disponibles sur site.

Mais pour ne rien gâcher, « le serveur de sauvegarde est très souvent lui-même dépendant de l’annuaire ». Alors pour Gérôme Billois, l’une des principales mesures à prendre avant un incident, consiste « à s’assurer que les procédures de restauration peuvent être lancées même dans une situation où il n’y a plus les fonctions de support classiques ». La question étant : « imaginons un cas où il n’y a plus rien ; combien de temps faut-il pour accéder à nouveau aux sauvegardes » ?

La part du doute

Mais dans un cas où l’on est amené à soupçonner une atteinte à l’intégrité de l’annuaire, la restauration apparaît bien difficile. « Dans un cas pareil, on repart d’une infrastructure de base, en réinstallant de zéro. Et on en profite pour appliquer les bonnes règles d’architecture Active Directory qui, bien souvent, ne l’étaient pas avant ». De là, il devient possible d’envisager de récupérer prudemment, en les nettoyant soigneusement si nécessaire, les données d’applications qui n’étaient pas la cible de l’attaque.

Ce qui renvoie à la question, plus que délicate, de la finalité de l’attaque : « c’est l’action 0 ou presque lorsque l’on arrive sur un incident cyber ; enquêter pour déterminer la finalité de l’attaque ». Car de celle-ci dépend la confiance que l’on pourra accorder au système d’information et aux sauvegardes.

Las, « il est très difficile d’avoir une certitude concernant la finalité de l’attaque ». Ce qui force donc à accepter une part de doute. Par exemple, il s’agit de se dire que, « à partir des éléments disponibles à date, à 70 %, c’est une attaque de tel type ». Car quoi qu’il en soit, « il faut bien que l’on avance, même en l’absence de certitude absolue ».

Des choix stratégiques pouvant aider

Dans un cas comme celui auquel a été confronté Norsk Hydro, avec potentiel destructeur massif, « la finalité est plutôt crapuleuse, motivée par le gain financier ». Là, « c’est plutôt l’infrastructure qui a été corrompue et les applications métiers ont été emportées avec le reste, sans en être la finalité ».

L’approche présente évidemment des limites, « mais on ne peut pas attendre 3 semaines d’avoir les résultats d’une enquête complète en profondeur pour commencer à travailler ».

Le groupe industriel norvégien a pu profiter de son recours à Office 365, antérieur à l’attaque, pour continuer à communiquer. Et pour Gérôme Billois, il n’y a pas de doute, « c’est vraiment un avantage » dans ce genre de situation. Et cela vaut aussi pour d’autres services cloud, dont ceux de stockage et de partage de fichiers : « c’est effectivement un véritable accélérateur de reprise ». Et ce n’est pas forcément le seul.

Il faut aussi compter avec la virtualisation : « les applications et systèmes, dont on sait qu’ils ne constituaient pas la finalité de l’attaque et pour lesquels des snapshots sont disponibles, peuvent être remontés en quelques clics ». A condition, bien sûr, que l’hyperviseur n’ait pas été touché – « c’est un point clé ».

Un ajustement progressif

Ce genre d’incident plaide fortement en faveur de systèmes de surveillance du système d’information. La visibilité, même seulement rétrospective, qu’ils peuvent apporter peut constituer une aide précieuse : « dans les premiers jours d’une gestion crise, on oscille souvent dans le flou entre deux ou trois scénarios ». Ce qui créée naturellement de l’incertitude quant aux choix effectués pour la remédiation : « par moment, on croise les doigts ».

D’où l’importance d’isoler rigoureusement les systèmes de surveillance du reste de l’infrastructure afin d’en prévenir, autant que possible, la compromission, voire la destruction, dans le cadre de l’attaque.

Ce qui toutefois ne doit pas se traduire par un excès de précaution, car la multiplication des couches de protection introduit elle aussi ses complexités pouvant nuire à la reprise d’activité. Face à cela, Gérôme Billois revient sur les perspectives des architectures dites sans confiance, ou zero trust. Las, « cela reste encore largement théorique ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)