Module 3, Unité 2 du cours SecNum Académie proposé par l'ANSSI.

Outre les informations consultés en ligne, Internet reste un bon moyen de partage de données numériques généralement sous la forme de fichiers. Ces fichiers peuvent être de nature très variée et nous associons souvent par abus de langage leurs extensions et leurs formats.

Pour récupérer un fichier en provenance d'Internet nous utilisons principalement 2 moyens:

• Téléchargement avec un navigateur;
• Téléchargement en pièce jointe dans une courrier électronique.

Avant de revenir en détail sur ces deux usages dans les prochaines unités de ce module, il est important de comprendre les menaces qui peuvent peser sur les fichiers en provenance d'Internet.

Parce que les attaques les plus efficaces sont aussi les plus discrètes, les attaquants utilisent les fichiers d'usage courant pour transmettre du code malveillant et ceci toujours à votre insu.

Les risques pesant sur les fichiers en provenance d'Internet sont alors similaires à ceux de fichiers en provenance de supports externes (traité dans l'unité du module 4 consacré aux périphériques amovibles).

Une fois le fichier malveillant téléchargé, plusieurs dangers menacent votre ordinateur:

• prise de contrôle de votre poste;
• exfiltration des données;
• Demande de rançon…

Autant d'attaques auxquelles on s'expose en téléchargeant sans s'en rendre compte des fichiers malveillants.

Les cyberattaques de type ransomware qui ont fait l'actualité (Locki, Wanacry, Notpetya) utilisent entre autre cette technique pour infecter un ordinateur et se propager. La demande de rançon pour obtenir la clé qui permettra de déchiffre les données s'affiche et le virus se propage ensuite à tous les ordinateurs en réseau. Un code malveillant chiffre les données de l’ordinateur et les rend inexploitables.

Nous abordons ici comment se protéger de ce phénomène de rasomware et quelles pratiques adopter pour limiter le risque de télécharger à son insu des codes malveillants. Notons que l'Antivirus bien que nécessaire n'est pas suffisant.

les risques pesant sur les fichiers que nous téléchargeons et partageons sur Internet sont à l’origine de nombreuses cyberattaques.

Commençons par introduire la différence entre format et extension d'un fichier.

Un fichier n'est fondamentalement qu'une suite de 0 et de 1 compréhensibles par l'ordinateur.

Chaque fichier a un format (une convention d'écriture en quelque sorte), qui lui confère des propriétés et lui permet d'être interprété par des logiciels.

L'extension, c'est le suffixe du nom du fichier, qui lui est renseigné par le créateur du fichier (exemple : logo-anssi.jpg pour une image représentant le logo de l’ANSSI).

La convention veut que l'extension du fichier corresponde à son format, cela permet non seulement d'identifier rapidement le format du fichier mais aussi de lui associer un logiciel par défaut (c’est-à-dire le logiciel automatiquement choisi pour l’ouvrir).

Quelqu'un de malveillant tentera d'exploiter des formats et des extensions courants pour inciter l'utilisateur à double-cliquer innocemment pour ouvrir un fichier.

Ainsi, il pourra exécuter du code malveillant au sein de l'application configurée par défaut pour l'ouverture.

Vous voici potentiellement contaminé et souvent sans comprendre pourquoi vous ne parvenez pas à ouvrir le fichier.

• Désactivez l’exécution automatique de périphériques amovibles
• Afficher systématiquement l’extension des fichiers

Retenons tout d'abord que le risque zéro n’existe pour aucun format.

Les formats les plus exploités par les pirates restent sûrement ceux des fichiers texte formatés comme PDF ou DOC(X)/XLS(X) de Microsoft.

Et cela pour deux raisons principales:

• Premièrement, les logiciels associés pour interpréter ces formats (respectivement Acrobat Reader et Microsoft Word ou Excel), en tant que solutions très utilisées, font l'objet de recherches et découvertes de vulnérabilités récurrentes.
• Deuxièmement, ces formats de fichiers sont intrinsèquement plus complexes et donc plus vulnérables que des fichiers textes bruts, car ils peuvent par exemple contenir des codes interprétables (Javascript pour PDF, Macro Visual Basic pour Office).

Ce n’est pas qu'ils soient moins bien conçus que les autres logiciels (cela reste des millions de lignes de code rédigées par des humains) mais la découverte et l'exploitation de leurs vulnérabilités assurent une large cible au pirate, ils sont donc étudiés de près par les chercheurs de vulnérabilités.

Le format de fichier exécutable (extension .exe la plus courante) est aussi un bon vecteur de code malveillant.

Que faire alors? Ne plus ouvrir ces fichiers? Non, ce n'est pas une pratique envisageable. D’autres mesures doivent donc être prises pour pouvoir se défendre.

Celles-ci, présentées plus en détail dans le module dédié à la sécurisation du poste de travail, consistent entre autres à :

• Maintenir ses logiciels à jour, ce qui est très important pour s'assurer que toutes les vulnérabilités récentes qu'un pirate tenterait d'exploiter sont corrigées grâce aux mises à jour de sécurité.
• Disposer d'un antivirus à jour et lancer une analyse sur les fichiers. Si le code malveillant est assez répandu, il sera a priori détecté.
• Ne pas ouvrir des fichiers qui proviennent de sources non fiables (expéditeur inconnu, courriel suspect, site Web peu fiable, etc.).
• Soyez particulièrement vigilant sur les fichiers exécutables (.exe, .msi, .dmg) qui peuvent embarquer des malveillances et surveillez les messages d’avertissement de votre ordinateur lorsqu’il vous demande l’obtention de privilèges Administrateur.

Outre la démarche de sécurisation, rappelons qu'il est important de bien réagir en cas de problème. Comme indiqué dans l'unité précédente, en contexte professionnel le bon réflexe consiste à contacter les référents en sécurité des systèmes d'informations (DSI, OSSI, RSSI, supérieur hiérarchique… en fonction de votre entité).

Définitivement oui! Un logiciel (gratuit ou payant) se télécharge depuis le site de son éditeur.

N'utilisez pas de plateforme de téléchargements « fourre-tout », c'est le meilleur moyen de télécharger une version remodelée du programme intégrant dans le meilleur des cas une publicité ou une extension inutile pour votre navigateur, ou pire un code malveillant.

Qui plus est, penser qu'aujourd'hui encore des pirates « éthiques » crackent des logiciels payants (en désactivant la saisie d'un code de licence par exemple) pour les mettre gracieusement à la disposition de la communauté est une illusion !

Un logiciel payant qui est cracké, rappelons tout d'abord que c'est illégal… mais c'est aussi un moyen pour le pirate d'installer (ou plutôt de faire installer par l'utilisateur) un code malveillant qui lui rapportera in fine de l'argent.

De la même manière, un film s'achète en DVD (ou Blu-ray si vous préférez !) ou se télécharge sur une plateforme de vidéo à la demande !

Se rendre sur un site de téléchargement (« direct download » ou « DD ») illégal est synonyme de prise de risques, certes avec les droits d'auteur, mais surtout pour l'intégrité de son ordinateur.

Le fichier téléchargé ou les sites web visités peuvent contenir du code malveillant.

Nous reviendrons sur ce thème lors de l’unité dédiée à la navigation Web.

Par ailleurs considérer qu'un proche est une source sûre est une bonne chose… dans le monde réel, mais comme vous le verrez dans l'unité sur la messagerie, le nom d'expéditeur de messages électroniques est falsifiable sur Internet.

Un ami, un collègue vous envoie un lien ou une pièce jointe en écrivant simplement « c'est super, regarde ça ! ». Est-ce bien son genre ?

Le nom du fichier joint ou le lien Web ont-ils un point commun avec vos sujets habituels ?

Sa messagerie électronique a peut-être été compromise et un pirate aura récupéré sa liste de contacts…

En cas de doute, un coup de téléphone pour vérifier s'impose !

Et quand bien même votre interlocuteur est bien l'expéditeur, se porte-t-il garant du contenu ou s'est-il contenté de transférer un contenu de source inconnue?

Vous avez déjà eu recours à l’une des pratiques que nous venons d’évoquer et pourtant rien de suspect ne s'est jamais passé sur votre ordinateur ?

• Soit vous faites partie de la fraction de personnes, statistiquement faible, que la chance aura épargnée (jusqu'à maintenant… );
• Soit, et c'est très probable, un code malveillant a été exécuté mais sans effet visible de votre point de vue. Alors quel est le véritable problème de ce code malveillant, pas si dérangeant finalement ? Comme cela a été présenté dans l'unité précédente, votre ordinateur est peut-être devenu une machine « zombie », impliquée dans un déni de service distribué ou dans un envoi massif de courriers indésirables.
• Ou bien une autre attaque encore plus discrète a été opérée: l'exfiltration de données. L’attaquant peut par exemple enregistrer vos frappes de clavier (et donc la saisie de vos identifiants/mots de passe ou de votre numéro de carte bancaire…), ou vous filmer à votre insu via votre webcam…

Par ces actions, il a la possibilité de récolter vos données sans effet visible sur vos activités quotidiennes.

Les conséquences peuvent alors être sérieuses : utilisation frauduleuse de votre carte bancaire, de votre identité, chantage de diffusion d’une vidéo compromettante…

Les attaques les plus efficaces sont aussi les plus discrètes. De plus certaines de ces attaques dites persistantes sont spécifiquement conçues pour durer.

Il est primordial de ne pas penser être plus à l'abri que les autres!

Cela a été présenté dans l'unité précédente, le « phénomène » de ransomware (ou rançongiciel en français) qui consiste à rendre illisible toutes vos données et à vous demander une rançon pour les déchiffrer est très courant.

Quelles sont les solutions pour vous prémunir de ces attaques ?

Pour commencer, disposer d'une sauvegarde de ses données précieuses sur un support externe est une bonne pratique à plus d'un titre (panne matérielle…) et constitue une bonne contre-mesure à ce type de maliciel.

Une précision quant à la sauvegarde des fichiers importants sur des supports amovibles isolés :

Les sauvegardes n’étant que des copies de fichiers, ces fichiers peuvent être infectés, c’est pourquoi il est important d’avoir plusieurs versions de vos sauvegardes.

Une stratégie classique consiste à garder une sauvegarde par an, ainsi que les sauvegardes des différents mois de l’année courante, et des différentes semaines du mois en cours.

En entreprise, ce genre de stratégie est étudié dans les plans de continuité d’activité.

Assurez-vous que votre sauvegarde, qu’elle soit manuelle (par copier-coller) ou automatique (programmée selon un plan), fonctionne.

Les sauvegardes réalisées par copier-coller peuvent être facilement vérifiées puisqu’il suffit de vérifier que les fichiers sur le disque sont bien fonctionnels.

À l’inverse, les sauvegardes automatisées qui sont réalisées à l’aide de solutions logicielles sont plus difficiles à contrôler mais il est indispensable de vérifier régulièrement que la configuration permet bien de récupérer les informations sauvegardées.

Retenez également qu’il est important de bien tester vos procédures de restauration.

En effet, la restauration est l’étape inverse de la sauvegarde, elle consiste à remplacer les données « courantes » par les données sauvegardées.

Notez bien que votre sauvegarde doit être réalisée lorsque l’ordinateur est déconnecté du système de sauvegarde afin qu’elle ne soit pas affectée par le rançongiciel.

Le rançongiciel, et plus généralement les contenus malveillants, utilisent des failles de logiciels ou systèmes pour se diffuser.

Un moyen efficace de contrer cette utilisation des failles, est la mise à jour de ces logiciels et systèmes qui corrigent ces failles.

Tous les ordinateurs visés par la cyberattaque Wannacry en mai 2017 dont le système Windows était à jour, ont évité l’attaque.

Pour vous prémunir du rançongiciel, tenez donc à jour vos systèmes Windows, Mac, Android, iOS ou autres et vérifiez également les mises à jour de vos logiciels favoris (navigateurs, logiciel de messagerie, de traitement de texte, etc.).

Si votre système d’exploitation ne reçoit plus de mises à jour (c’est le cas de Windows XP par exemple), pensez à le changer ou à installer un système d’exploitation (libre), plus à jour !

Et si votre ordinateur ou votre logiciel vous demande votre autorisation pour lancer la mise à jour, ne tardez pas à le faire !

Les attaques de rançongiciels commencent bien souvent par l’ouverture d’une pièce jointe ou d’un lien frauduleux dans un mail de phishing.

Pour vous prémunir, il est donc nécessaire que vous appreniez à repérer les courriels frauduleux et développiez de la prudence dans l’utilisation de votre messagerie.

Nous aurons l’occasion de vous accompagner sur ce chemin lors de l’unité de ce module dédiée à l’utilisation de la messagerie.

• Ne payez pas la rançon! Rien ne vous garantit qu'une fois la rançon payée le pirate tiendra sa promesse et débloquera effectivement vos fichiers ou votre ordinateur.
• Déconnecter immédiatement du réseau les équipements identifiés comme compromis. Cela permettra de bloquer la propagation du rançongiciel.

Dans tous les cas, et comme pour tout délit lié aux systèmes d’information, si vous êtes victime de rançongiciel en tant que particulier : déposer plainte auprès des services de police ou de gendarmerie compétents en la matière est important pour pouvoir contribuer à l'enquête sur le démantèlement du groupe de pirates.

En contexte professionnel, le bon réflexe consiste à contacter les référents en sécurité des systèmes d'information (DSI, OSSI, RSSI, ou votre supérieur hiérarchique… en fonction de votre entité).

Signalez l’attaque immédiatement!

Conservez également de côté le disque chiffré ou les fichiers chiffrés, il est déjà arrivé qu'un pirate mette à disposition au bout d'un certain temps la clé de déchiffrement ou que la police récupère après enquête la clé de déchiffrement et la communique officiellement. Vous pourriez alors retrouver l'accès à vos données.

Pour résumer, restez prudent sur vos téléchargements et surtout sur l'ouverture des fichiers en provenance d'Internet ou de supports externes tel les clés USB ou les disques durs externes, que vous soyez à l'initiative du téléchargement ou qu'un expéditeur vous l'adresse en pièce jointe par messagerie.

De très nombreuses affaires de cyber-attaque démarrent par un double-clic innocent, sur un simple fichier de tableur par exemple !

Installez un antivirus (lui-même obtenu sur un site d'éditeur de confiance !) pour assurer un scan ponctuel des fichiers téléchargés.

De plus un scan régulier de l'ensemble du disque est indispensable pour s'assurer qu'une propagation n'est pas en cours sur votre poste ou y remédier le cas échéant.

En contexte professionnel, ces manipulations sont du ressort des équipes de Direction des Systèmes d'Information s'il y en a une.

Le module 4 de ce MOOC sera consacré à la sécurisation du poste de travail.

En attendant, nous allons revenir plus en détails sur les bonnes pratiques à adopter lorsque vous naviguez sur Internet ou utilisez votre messagerie électronique.