Ransomware: rapport d’une entreprise piratée

Dans la pratique

Voici comment survivre aux raçongiciels – une entreprise concernée raconte


Le rançongiciel «WannaCry» fait la une dans les médias du monde entier. Mais d’autres logiciels malveillants sont tout aussi dangereux. Un directeur de entreprise concerné raconte comment il a reçu un document Word contaminé en réponse à une annonce d’emploi et échappé de peu à la catastrophe.


Urs Binder, mai 2017




A peine la pièce jointe ouverte, plus rien ne fonctionnait. C’est ce qui est arrivé à Philipp Zollinger, le directeur de TSM Grindel AG de Basserdorf, qui gère des salles de tennis, squash, minigolf et badminton. «J’avais passé une annonce d’emploi pour un nouveau concierge et, le jour même, j’ai reçu une candidature par e-mail avec une pièce jointe PDF.» Zollinger a d’abord ouvert le document sur le PC de l’accueil, puis sur son ordinateur personnel. Il n’y avait aucun dossier de candidature; en revanche, le système a été immédiatement bloqué sur les deux appareils. «Et ce, malgré l’activation de Microsoft Security Essentials sur nos PC. Cela n’a apparemment servi à rien, mais je sais que d’autres logiciels de protection contre les programmes malveillants auraient aussi failli ici.»


Le pire a été évité

Zollinger s’y connait bien en informatique: il a immédiatement réagi et déconnecté les PC du réseau. Ainsi, le logiciel malveillant n’a pas pu se propager et l’archivage centralisé des données sur le serveur NAS a été épargné. Toutes les données ont toutefois été cryptées sur les deux PC – une attaque de rançongiciel typique, la forme moderne du chantage numérique. Actuellement, c’est surtout le logiciel malveillant «WannaCry» qui fait la une de l’actualité. Ce n’est qu’en payant une rançon de 2000 dollars en Bitcoins que Zollinger aurait obtenu le code de déverrouillage. Cette demande de rançon s’est affichée à chaque fois qu’il a voulu ouvrir un fichier. «Je n’ai pas cédé à ce chantage – on ne peut jamais être vraiment sûr qu’on recevra la clé ou que l’argent ne disparaîtra pas dans la nature. Cela ne marche pas avec moi», déclare Philipp Zollinger.


Parmi les données concernées, il y a la comptabilité gérée par Zollinger sur son PC personnel. Heureusement, il sauvegarde régulièrement ses données ainsi que la base de données comptables sur un support de données externe, qu’il emporte chez lui le soir. «J’ai ainsi pu récupérer des données relativement récentes.»


Récupération compliquée

Mais il a d’abord fallu restaurer entièrement le PC, comme l’ont confirmé des spécialistes à Zollinger: «Le mot d’ordre: Tout effacer et réinstaller, il n’y a pas d’autre solution». Il a pu effectuer seul la restauration proprement dite ainsi que le rapatriement des données centralisées et mobiles, grâce à ses bonnes connaissances des bases de données. Il estime y avoir passé 40 heures, sans compter tous les tracas. Et il a payé près de 2000 francs pour faire appel à des spécialistes externes. Chez TSM Grindel, les mesures de sécurité ont par ailleurs été améliorées grâce à un nouveau pare-feu. Zollinger a automatisé la sauvegarde des données sur le système NAS. Il a aussi rappelé à la comptable extérieure qu’elle devait effectuer des sauvegardes régulières. «Dans tous les cas, il doit y avoir une sauvegarde séparée à l’extérieur de la société. Ne serait-ce que parce que lors d’une telle attaque, la sauvegarde sur le NAS pourrait elle aussi être cryptée».


Encore plus prudent à l’avenir

Outre les dépenses, l’attaque n’a pas eu de conséquences graves pour TSM Grindel. Selon le directeur, l’échange d’e-mails a été interrompu pendant quelques jours et Zollinger a dû retrouver divers documents dans un premier temps. Les e-mails individuels n’ont pas été récupérés à ce jour. Mais aucun client n’a été perdu. «Le plus difficile dans tout cela, ce sont tous les tracas qui ont été engendrés. Si la société avait été plus dépendante de l’informatique pour les affaires courantes, elle aurait pu être affectée beaucoup plus durement», résume Philipp Zollinger. Il ne peut toutefois exclure qu’une telle attaque se produise à nouveau à l’avenir – notamment via WannaCry. Aujourd’hui, il est plus prudent que jamais lorsqu’il ouvre un fichier. Par exemple, il n’ouvre plus de document Word reçu par mail.








Mail Security

Protège vos utilisateurs de façon fiable et complète contre les spams, les virus, les spyware et le phishing. La solution cloud simple pour tous les serveurs de messagerie.




En savoir plus sur ce thème