Cyberattaque mondiale: Les conseils d’un expert marocain
mai 18, 2017
Le virus malveillant qui a touché 150 pays et environ 300.000 utilisateurs constitue une première mondiale par son ciblage et son envergure. Adil Bikarbass Azmi, directeur technique de la sécurité informatique chez MTDS, livre son diagnostic et les moyens de faire face aux menaces cybercriminelles.
Médias24: En quoi, ce virus informatique constitue-t-il une menace d’un nouveau genre?
Adil Bikarbass Azmi: Les cyber-attaques avec demande de rançon existaient avant cette opération mais ce Wannacry a ciblé à une échelle inédite la vulnérabilité du système d’exploitation Windows.
La nouveauté de cette attaque provient de son envergure internationale et d’un ciblage qui a paralysé des organismes gouvernementaux, des entreprises cotées en bourse, des particuliers …
Les pirates ont utilisé une faille du système et envoyé des mails et des liens à leurs victimes potentielles pour les piéger en les incitants à cliquer dessus ou à les télécharger.
Faut-il craindre d'autres attaques d’envergure mondiale ?
Chaque fois que les pirates trouveront une brèche, ils essayeront de s’introduire dans un maximum d’ordinateurs pour crypter leurs données et demander une rançon pour les décrypter.
Quand on voit que des puissances mondiales (USA, Russie, Chine, France ..) ont été victimes simultanément de ce virus, on se rend compte que tout est possible et que plus personne n’est à l’abri.
Le Maroc n’a d’ailleurs pas été épargné car lui aussi a fait les frais de cette attaque mondiale.
L’usine Renault de Tanger a dû arrêter sa production 24 heures en perdant 1000 véhicules...
Renault Maroc n’est qu’une victime collatérale de cette attaque.
Pourquoi collatérale ?
Simplement parce qu’elle a des connexions informatiques avec le siège français de la maison mère.
La particularité de Wannacry est qu’après avoir infecté un premier ordinateur en Europe, il s’est ensuite attaqué aux postes reliés ailleurs par réseau. C’est donc l’effet domino qui a joué au Maroc.
Comme la maison Renault est interconnectée mondialement, le Maroc a été atteint par ricochet.
D’autres entreprises ou organismes publics marocains ont-ils été touchés?
Il est trop tôt pour recenser toutes les victimes marocaines mais il est certain qu’il y a de nombreuses entreprises qui ont pâti de cette attaque mondiale au Maroc.
Les victimes marocaines vont-elles devoir payer pour récupérer leurs données ?
Je ne pense pas car la rançon sous forme de bitcoins n’est pas facile à mettre en œuvre à partir du Maroc. Ce n’est pas impossible mais ce mode de paiement n’est pas encore entré dans nos mœurs.
En cas de non-paiement, quelles sont les alternatives ?
La tendance générale des petites entreprises sera de reformater les ordinateurs infectés même si cela implique la perte de toutes les données contenues dans les disques durs. Quand cela touche des organismes sensibles, ces derniers seront tentés de payer la rançon car ils ont gros à perdre.
Il n’est donc pas exclu que les gros organismes s’acquittent de la rançon demandée ?
Sûrement mais il faut savoir que même en payant, il n’y a aucune garantie d’obtenir la clé de décryptage des données. Pour maintenir la pression, les ravisseurs ont réclamé 300 dollars à chaque victime, le double au bout de 3 jours et menacé de détruire les données au bout d’une semaine.
Comment anticiper ce genre d’attaque cybercriminelle ?
Pour prévenir ce phénomène, il est essentiel de faire régulièrement des sauvegardes de toutes les données sur des supports externes (disques durs, clés sécurisées) qui ne soient pas reliés au réseau.
D’autre part, il ne faut pas ouvrir systématiquement des fichiers joints à des emails suspects même s’ils proviennent de contacts réguliers car les pirates se font passer pour vos interlocuteurs habituels.
Désormais, on doit donc se méfier de tout le monde, y compris de ses amis ?
Ces précautions sont valables partout mais elles ont plus de sens au Maroc qui communique le plus souvent en français ou en arabe dans les mails échangés alors que les attaques ciblées comme Wannacry sont rédigées en anglais.
La langue d’envoi est donc un facteur d’alerte pour les Marocains ?
Quand on reçoit un courriel rédigé en anglais alors que notre interlocuteur habituel communique avec nous en arabe ou en français, il y a lieu de s’inquiéter et de ne pas ouvrir le contenu du mail.
Afin de se prémunir, il faut aussi s’équiper d’anti-virus et surtout de logiciel anti-malware qui détecte les virus malveillants. Ces derniers détectent le moment où les virus commencent à crypter vos données puis arrêtent le processus avant de sauvegarder une version saine des fichiers attaqués.
Certains systèmes d’exploitation sont-ils plus touchés que d’autres ?
C’est le cas de Windows qui doit absolument faire l’objet de mises à jour régulières de sécurité.
La réputation des Mac en matière de sécurité n’est donc pas usurpée ?
Wannacry a rappelé que leur système d’exploitation (des Mac) les a prémunis contre le cryptage des données.
Comment expliquer ce phénomène ?
Depuis toujours, on sait que le logiciel qui gère la sécurité des Mac est plus fiable que celui de Microsoft qui équipe les PC.
Certains se demandent d’ailleurs si Microsoft ne conserve pas des failles pour monnayer ensuite la vente d’anti-virus. Cette hypothèse n’est pas à exclure car les constructeurs de software sont soumis à de gros intérêts financiers et à des pressions de gouvernements qui leur demandent de laisser des brèches pour surveiller certains utilisateurs.
Que faire après avoir été victime d’une attaque cybercriminelle ?
Le premier réflexe est de s’adresser à un professionnel de la sécurité pour essayer de minimiser les dégâts mais si les données cryptées n’ont pas fait l’objet de sauvegardes externes, il n’y a rien à faire.
Pour pouvoir réutiliser votre ordinateur, il faut réinstaller le système et qui dit réinitialiser, dit perdre tout le contenu précédent.
Avec une unité infectée, il n’y a plus rien à espérer mais si elle est connectée au réseau, il faut très rapidement s’en déconnecter pour éviter la contamination qui menace le reste des ordinateurs.
Au final, il y a peu de marge de manœuvre car il n’existe pas encore de logiciel standardisé qui permette de décrypter les multiples clés utilisées par les pirates. Chacune d’entre elle est unique à l’image d’une clé de coffre-fort.
Y a-t-il des chances que les auteurs de l’attaque soient identifiés pour débloquer les ordinateurs ?
Ce n’est pas impossible mais avec tous les mécanismes permettant de masquer leur identité, ça va être très compliqué. Ils peuvent initier une attaque à partir du Maroc vers les USA et passer par une centaine de pays pour brouiller les pistes.
C’est un travail de fourmi qui nécessite la collaboration des opérateurs du net, des gouvernements …
Existe-t-il des moyens de prévenir des attaques d’une telle envergure internationale ?
La simultanéité suspecte de connexions vers un pays donné doit alerter sur le risque mais pour le prévenir, les opérateurs de plusieurs pays doivent se communiquer en temps réel leurs informations.
Faut-il craindre à l’avenir un cyber-chaos avec une banalisation des attaques informatiques ?
Peut-être pas mais il est certain que la cybercriminalité a de beaux jours devant elle et ira certainement en s’amplifiant.
Toute la difficulté est de mettre en œuvre des outils de veille sécuritaire pour prévenir les attaques mais comme les systèmes informatiques ne sont fiables qu’à 90%, il y aura toujours des attaques avec des pirates qui exploitent les 10% de failles non sécurisées.
Source: Media24