Le ransomware est devenu la menace informatique numéro un pour les entreprises et les particuliers. Parfois appelé rançongiciel ou logiciel de rançon, il s'agit d'un logiciel malveillant qui dérobe des données puis demande à leur propriétaire de l'argent pour pouvoir les récupérer. D'après le spécialiste de la sécurité Herjavec Group, les ransomwares pourraient causer un milliard de dollars de dommages aux entreprises en 2016. Il existe pourtant des outils pour s'en protéger.

Anthony-Geraldo Le ransomware, comment ça marche ? Le ransomware est souvent diffusé par e-mail et se cache la plupart du temps sous forme de fichiers en pièce jointe : .zip, .pdf, .doc, .exe, .js, etc. Il représente une attaque difficile à identifier, et se propage seul une fois sur le réseau. S'il est de dernière génération, un ransomware peut ne pas être détecté par certains antivirus classiques.

Il existe une catégorie particulièrement redoutée : le locker. Il s'agit d'un ransomware dit à chiffrement (Cryptolocker, CTB Locker, TeslaCrypt et d'autres) qui chiffre les fichiers trouvés sur les disques locaux, disques amovibles, disques en réseau et même les mappages Dropbox. Un locker utilise un chiffrement asymétrique, ou une méthode de chiffrement plus avancée, qui peut être difficile (voire impossible) à casser localement. Les victimes sont alors forcées de payer (généralement par des méthodes non traçables) pour restaurer leurs fichiers, sans quoi ils devront se résoudre à les perdre définitivement.

Oui, un NAS pour sauver ses fichiers. Avoir à disposition des sauvegardes à jour et stockées sur un site distant est un moyen simple et efficace de réduire la menace des ransomwares. Le NAS est un centre de stockage idéal fonctionnant sous un " OS maison " peu sujet aux attaques de ce type. Il comprend des fonctionnalités complètes de sauvegarde et prend en charge les snapshots ponctuels pour aider les particuliers et les organisations à protéger leurs données importantes, restaurer leurs fichiers et éviter les temps d'arrêt.

Qu'est-ce qu'un snapshot ? Un snapshot enregistre les métadonnées des fichiers en dehors du système à un instant T et permet aux utilisateurs de conserver et restaurer de multiples versions du même document, dossier ou volume tout entier. Si une attaque par ransomware ou une défaillance imprévue affecte un système, il est possible de restaurer rapidement et facilement son état précédent enregistré dans le snapshot.

Les snapshots possèdent trois qualités principales :

  • La récupération de données par les snapshots ne prend que quelques minutes. Comme ils sont séparés du système de fichiers, les snapshots permettent aux utilisateurs de restaurer les fichiers originaux, non chiffrés bien évidemment, dans l'hypothèse où le volume est infecté par un ransomware.
  • Les snapshots basés sur des blocs prennent en charge la sauvegarde incrémentale pour économiser de l'espace de stockage. Ainsi, seules les modifications effectuées sont sauvegardées grâce aux snapshots : cela représente un réel gain de temps, à la fois dans la sauvegarde mais également lors d'une restauration.
  • Après avoir créé des snapshots, il est facile de les copier rapidement vers un autre NAS, généralement conservé au sein d'autres locaux, pour doubler la protection de ses données.

En amont de l'utilisation d'un NAS pour la protection et la sauvegarde de ses données, il est conseillé de faire preuve de prudence à l'égard de ces dernières. Ainsi, il est préférable de vérifier ses sauvegardes régulièrement : cela permet de ne pas avoir de mauvaise surprise en cas d'attaque. Les ransomwares intervenant le plus souvent via un email frauduleux, il faut également se montrer vigilant face aux emails suspicieux.

Quelques conseils d'usage… Les spécialistes en sécurité le savent : l'option « autoriser l'affichage des extensions de fichiers » est à activer impérativement, sous peine de passer à côté d'une menace masquée. Mettre à jour son système d'exploitation est un conseil classique de sécurité, mais il reste d'actualité en 2016. De même, l'utilisation d'un antivirus de qualité est fortement conseillée, particulièrement dans le cadre d'activités professionnelles.

Quelle réaction adopter en cas d'attaque par un ransomware ? Globalement, en cas de découverte d'un programme indésirable ou un processus inconnu sur un ordinateur, la première réaction est de couper la connexion Internet. Si le ransomware n'a pas réussi à effacer la clé de chiffrement de l'ordinateur, la restauration de fichiers reste envisageable.

Ne pas payer la rançon. En cas d'infection par un ransomware, les spécialistes en sécurité recommandent de ne pas payer la rançon : cela contribue au développement de ce type d'attaques, qui prospérera tant que les victimes paieront. Il faut essayer de trouver le nom du malware qui a été utilisé pour l'attaque : s'il s'agit d'une version ancienne, un correctif a pu être publié et récupérer ses données sera alors possible. Mais tout le monde n'est pas expert en la matière… Le plus prudent est donc de faire appel à la police ou aux experts en cybersécurité qui collaborent régulièrement pour tenter de décrypter les fichiers sans payer de rançon.

Tous ces conseils pourraient rapidement devenir obsolètes dans le cas d'une adoption généralisée d'un système comme le NAS : sauvegarder ses fichiers, les protéger et s'assurer qu'ils pourront être récupérés facilement en gérant plusieurs copies de sauvegarde indépendantes reste la meilleure protection contre les ransomwares.