Comment se protéger des messages électroniques non sollicités et comment réagir en cas d'incident ?

Si cet e-mail ne s’affiche pas correctement, cliquez ici

header

Alerte CAPSSIS

31 MARS 2016

Alsace e-santé vous informe de l'actualité brulante ou à ne pas manquer, dans le domaine
de la sécurité des systèmes d'information.

Vigilance concernant les messages électroniques non sollicités

Depuis le début du mois de décembre 2015, et plus massivement depuis la mi-décembre 2015, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion de rançongiciel de type chiffreur.

Un rançongiciel est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas présent, par une action de l'utilisateur. La victime est ensuite invitée à verser de l'argent afin que l'attaquant déchiffre les fichiers ciblés.

Bien que classique, cette campagne de rançongiciel ou ransoware mise une nouvelle fois sur la méconnaissance des utilisateurs et leur manque de vigilance.

Comment se prémunir ?

Il convient, comme rappelé régulièrement, de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l'ouverture de pièces jointes indésirables ou de cliquer sur des liens malveillants :

  • Tout mail de provenance douteuse doit être aussitôt supprimé sans être ouvert ;
  • Ne pas ouvrir systématiquement toutes les pièces jointes ou cliquer sur des liens surtout lorsque que l’expéditeur est inconnu ou qu’aucun message n’en est attendu ;
  • Ne pas transmettre à ses collègues un courriel dont on n’arrive pas à ouvrir la pièce jointe ;
  • Vérifier la présence et le bon fonctionnement de l'antivirus ;
  • Avertir immédiatement son service informatique en cas de doute ou de comportement anormal du poste de travail.

Certains signaux faibles dont la prise en compte peut limiter ou éviter la compromission d’une machine via un document piégé :

  • Arrêt inopiné de l’application ;
  • Apparition de fenêtre(s) (notamment d’invite de commandes) ;
  • Fermeture puis réouverture de l’application en charge de la lecture du document.

Les bonnes pratiques concernant l’utilisation de la messagerie électronique sont rappelées dans la note d’information du CERT-FR :

Télécharger la note d’information du CERT-FR


Dans le cadre de la politique de sécurité du SI, il convient de définir une politique de gestion des accès :

On accorde traditionnellement des droits d'administration à tout utilisateur chargé d'une ou plusieurs tâches d'administration informatique. Selon le système d'exploitation, le niveau d'accès peut varier d'un contrôle total sur tout le système à des niveaux plus granulaires où seuls certains composants peuvent être contrôlés. Ce dernier modèle est appelé contrôle d'accès à base de rôles.

Même le contrôle d'accès à base de rôles fournit plus de droits que nécessaire, ce qui entraîne une surface d'attaque trop importante sur le système. Ce problème n'est pas récent et va de pair avec le principe de moindre privilège : les permissions associées à un compte utilisateur devraient être exactement celles nécessaires à l'accomplissement de la tâche :


Télécharger le modèle de la politique thématique HABILITATION


Quelles préventions techniques ?

Effectuer des sauvegardes régulières, vérifier qu'elles se sont déroulées correctement et s'assurer de leur viabilité par des tests de restauration :

  • Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l'entité. Celles-ci doivent être stockées sur des supports de données isolés du réseau en production.

Désactiver les macros exécutables automatiquement dans les applications et lors de l'insertion de périphériques USB.

Installer et mettre à jour régulièrement antivirus, parefeu et autre antimaliciel (malware).

Mettre en place une veille pour anticiper et s'adapter aux nouvelles menaces :

Campagne de messages électroniques non sollicités de type Locky : télécharger la note d’information du CERT-FR

Campagne de messages électroniques non sollicités de type TeslaCrypt : télécharger la note d’information du CERT-FR

Comment créer un vaccin contre le ransomware Locky : cliquer ici pour en savoir plus

Petya – Un nouveau ransomware qui verrouille totalement votre ordinateur : cliquer ici pour en savoir plus

Le site stopransomware.fr regroupe un ensemble d’informations pour sensibiliser les usagers et aider les victimes à se protéger contre ces risques, voire à nettoyer leurs ordinateurs lorsqu’un tel virus les a touchés.


Conduite à tenir en cas d'incident de sécurité sur votre système d'information

Dès lors que la compromission est découverte en interne ou signalée par une entité extérieure, plusieurs actions sont à entreprendre.

Isoler immédiatement l'ordinateur compromis en le déconnectant du réseau. L'objectif est d'éviter toute propagation du chiffrement et la destruction des dossiers partagés.

Conservation des traces

Une copie de l’état compromis par copie écran ou photo des écrans doit être réalisée (courriel frauduleux et ses pièces jointes). Cette copie sera utile pour l’analyse technique de la compromission, ou pour alimenter un dossier de dépôt de plainte. Lorsqu’elles existent, les traces des actions environnantes (pare-feux, serveurs mandataires, etc.) doivent également être consignées.

L’analyse de la compromission est nécessaire pour trouver quelle vulnérabilité a été utilisée par l’attaquant. Il sera alors possible de combler cette vulnérabilité. La simple restauration des éléments infectés dans un état « sain » ne bloquera pas la faille utilisée par l’attaquant, qui pourra rapidement compromettre le système d'information à nouveau.

Il convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier.

Limiter la propagation

Bloquer sur le serveur mandataire l'accès aux domaines ou URLs identifiés dans le message malveillant.

Rechercher et supprimer les messages malveillants similaires dans les boîtes de messagerie des utilisateurs.

Dans le cadre de l'utilisation de profils itinérants, il convient de supprimer la copie serveur du profil afin de prévenir la propagation des codes malveillants par ce biais.

Reconstruction

Réinstaller le poste de l'utilisateur (s'il ne peut être conservé en l'état à des fins d'investigation, sinon le remplacer) et restaurer une sauvegarde réputée saine des données de l'utilisateur.


Alerter la chaîne de cybersécurité

Pour les établissements publics, il est obligatoire de déclarer les incidents de sécurité sur les systèmes d'information (Politique de sécurité des systèmes d'information de l'Etat). Pour les établissements privés, ils sont cordialement invités à le faire.

Envoyer une déclaration à ssi@sg.social.gouv.fr

La plainte déposée a pour but de décrire l'attaque, sa réussite ou son échec, les éventuels dommages qui peuvent en résulter, ainsi que toutes les autres conséquences (perte de temps pour vérification de l'intégrité des données, pertes d'argent, perte de données, etc...). La police envoie ensuite votre dossier au parquet qui décidera ou non de l'instruire.

Dépôt de plainte

Vous pouvez déposer une plainte pour atteinte à un traitement automatisé de données (appellation juridique du piratage) prévu et puni par les articles 323-1 et suivants du code pénal.

Cette plainte peut-être recueillie par :

  • votre Service Régional de Police Judiciaire. Votre commissariat de police ou votre gendarmerie devraient vous donner sans difficulté leurs coordonnées... Une fois en contact avec votre S.R.P.J. il faut demander à parler à un « Investigateur en cybercriminalité », autrement dit un I.C.C qui pourra enregistrer votre plainte;
  • ou adresser directement un courrier au Procureur de la République du Tribunal de Grande Instance dont relève votre établissement.

 

2 rue Seyboth - CS 90031 - 67082 Strasbourg Cedex

www.alsace-esante.fr  S'abonner à toutes nos newsletter  @Alsace_esante

Pour vous désabonner de nos newsletters, cliquez ici