01 70 00 43 39 support@gsri.fr
4 mesures de prévention contre le ransomware Locky

4 mesures de prévention contre le ransomware Locky

Le ransomware Locky est un cheval de Troie qui refait son apparition en France depuis fin juillet. Notre expert en cybersécurité préconise une procédure simple pour limiter la destruction des données et 4 mesures de prévention efficaces.

Le ransomware Locky a débuté ses activités en février 2016 par l’attaque d’un centre médical américain. Il a chiffré les données du réseau informatique empêchant les utilisateurs d’y avoir accès. Elles ont été restituées après le paiement d’une rançon de 17 000 $.

Depuis, des campagnes successives ont touché le monde entier. Chacune est légèrement différente de la précédente. Ça laisse penser que le malware évolue régulièrement et s’adapte aux failles des systèmes d’exploitation et aux antivirus. Depuis fin juillet 2018, la France est la cible d’une nouvelle campagne.

Le fonctionnement du ransomware

Le ransomware arrive par mail dans un fichier. Le mail, plutôt bien rédigé, annonce une facture jointe au format .zip. Ce document contient le virus. Lorsqu’on l’ouvre, une extension .locky verrouille les fichiers de l’ordinateur puis du réseau. Une clé crypte désormais les documents. Locky réclame alors une rançon en échange de la clé.

Il est donc recommandé de ne pas ouvrir de mails ou de fichiers de provenance inconnue sans vérification préalable et de les détruire en cas de doute.

Le cryptage a commencé

Si malgré toutes les précautions, le fichier a été ouvert, il faut IMMEDIATEMENT déconnecter l’ordinateur en cause, d’internet. Il suffit de couper le Wifi ou de débrancher le câble. Le ransomware utilise internet pour se propager.

Si l’ordinateur de départ se trouve dans un réseau et n’est pas identifié, il faut éteindre le switch afin d’isoler chaque machine puis couper le réseau internet. Cette procédure a pour effet de limiter la propagation du chiffrement et de permettre aux utilisateurs de continuer à travailler localement, le temps que les informaticiens interviennent.

Les fichiers cryptés sont perdus. Toutefois, le Centre Gouvernemental de Veille, d’Alerte et de Réponses aux Attaques Informatiques recommande de les conserver dans l’hypothèse où « un moyen de recouvrement des données originales » serait découvert dans le futur.

Les 4 moyens de prévention simples à mettre en œuvre

Des mesures simples, peu couteuses et combinées entre elles offrent une protection du réseau informatique et des données efficaces :

– Sensibiliser et former les utilisateurs à la cybersécurité : les ransomwares ne sont actifs que suite à une intervention humaine. S’ils parviennent à passer les barrières de la messagerie et de l’antivirus, une manipulation est encore nécessaire pour exécuter le logiciel et crypter les données.

– Maintenir à jour le système d’exploitation et les applications exposées à internet (navigateurs, messagerie, lecteur PDF,…) : les malwares, virus,… exploitent les failles de sécurité. Les mises à jour permettent de corriger ces failles.

– Equiper les postes d’antivirus et les maintenir à jour : comme pour les systèmes d’exploitation et les applications, les malwares profitent des failles de sécurité. Cependant, il faut savoir qu’un antivirus n’est jamais sûr à 100 %. Toutefois, les mises à jour maintiennent un niveau de protection important. Notre expert a une préférence pour Eset mais d’autres marques peuvent répondre aux mêmes besoins.

– Effectuer des sauvegardes régulières et isolées du réseau à protéger : le sujet est vaste. Il faut distinguer les sauvegardes quotidiennes sur un disque dur sur le lieu de l’activité et les sauvegardes plus lourdes chez un hébergeur. Dans le premier cas, il s’agit de récupérer un dossier détruit par erreur par exemple. Dans le second cas, la sauvegarde permet une restauration après une destruction partielle ou totale des données. La rubrique Sécurisation de notre site résume l’utilité de la sauvegarde et un article plus détaillé lui sera bientôt consacré.