Secu
Les leçons de l’attaque de Norsk Hydro
Par Laurent Delattre, publié le 27 mars 2019
L’industriel norvégien a connu la semaine dernière une attaque massive par ransomware, l’obligeant à basculer son fonctionnement en mode manuel pendant plusieurs jours. Voici les enseignements à tirer d’une telle attaque.
L’industriel Norvégien Norsk Hydro ASA, l’un des plus grands producteurs d’aluminium au monde, a été victime mi-mars d’une attaque majeure par un ransomware connu sous le nom de LockerGoga. Ce dernier n’est pas inconnu. Il avait déjà partiellement paralysé l’activité du français Altran fin janvier. Plusieurs des usines Norsk Hydro ont dû interrompre leur production et basculer en mode manuel après que le ransomware ait non seulement chiffré les informations stockées mais également changé les mots de passe de la plupart des PC de bureautique et des systèmes de contrôle industriels (ICS). Selon une première évaluation, cette attaque aurait déjà coûté 35 millions de dollars à l’entreprise en une semaine.
Cette attaque doit attirer l’attention des RSSI et des DSI parce qu’elle est symptomatique des cybermenaces actuelles. Depuis l’attaque de Norsk Hydro, deux autres industriels, Hexion et Momentive, ont eux aussi été victimes du même ransomware. Voici 7 leçons à retenir de cette attaque par ransomware :
1- Les ransomwares restent un danger pour les entreprises
Bien des rapports sur la sécurité Internet annonçaient une décrue des attaques par ransomwares depuis quelques mois. Mais cette décrue ne concernait que le grand public. Les experts s’accordaient à reconnaître que les entreprises seraient au contraire davantage ciblées par ces malwares.
2- La sauvegarde traditionnelle est la seule vraie parade face aux ransomwares
Bien des entreprises considèrent les synchronisations cloud (OneDrive, GDrive, Box, Dropbox) comme une protection suffisante pour les fichiers des utilisateurs non centralisés sur les serveurs. C’est une erreur, le chiffrement se propageant aux emplacements cloud ainsi qu’aux emplacements réseau partagés. Face à une attaque par ransomware, la solution la plus immédiate consiste à restaurer les fichiers depuis une sauvegarde pratiquée à l’ancienne. Encore faut-il en avoir.
Depuis la recrudescence des ransomwares, certaines entreprises ont remis en place les sauvegardes sur bande qu’elles avaient plutôt abandonnées ces dernières années. C’est une bonne pratique à conserver…
3- Votre Active Directory est votre Talon d’Achille
Contrairement à d’autres ransomwares (tels que WannaCry ou NotPetya), LockerGoga n’embarque aucun processus d’auto-propagation. Pour le répandre sur l’infrastructure de Norsk Hydro, les attaquants ont compromis l’Active Directory afin de diffuser le malware aussi largement et rapidement que possible. Ce qui suppose qu’ils avaient préalablement compromis un profil administrateur afin d’accéder à l’Active Directory. Cet incident met donc en lumière la nécessité de renforcer la surveillance des comptes à privilège et de mettre en place une politique « Zero Trust » afin de n’accorder que des privilèges moindres dynamiquement alloués en fonction des contextes.
4- Les vulnérabilités ne sont pas les seules brèches
Une autre leçon à retenir de LockerGoga et de son absence de méthode d’auto-propagation, c’est que les ransomwares n’ont pas toujours besoin d’exploiter des vulnérabilités système pour réaliser leurs méfaits. Autrement dit, focaliser sa sécurité sur les seules vulnérabilités du SI ne suffit pas à se protéger.
5- Les antivirus restent peu efficients sur les attaques ciblées
Les boucliers comportementaux intégrés aux antivirus sont largement inefficients face aux ransomwares notamment parce que ces derniers n’ont pas besoin de droits administrateur pour chiffrer les documents de l’utilisateur connecté et que les menaces ne cessent de se complexifier. Typiquement LockerGoga lance un processus nouveau pour chaque chiffrement de fichiers afin de contourner les défenses qui surveillent et bloquent les processus se montrant anormalement actif sur un nombre conséquent de fichiers. En outre, nombre d’antivirus « entreprise » n’ont pas de fonctions de filtrage des processus ayant accès aux dossiers de documents, contrairement aux éditions « grand public ». Et quand ils en ont, elles sont rarement activées par les entreprises car leur paramétrage est trop complexe. La meilleure illustration est la fonction « Protection contre les ransomwares » intégrée à Windows 10 : trop contraignante et peu conviviale elle n’est généralement pas activée sur les postes bureautiques et n’est principalement utilisée que sur les systèmes n’exécutant qu’un jeu restreint d’applications comme les ICS (malheureusement la plupart d’entre eux ne sont justement pas sous Windows 10 mais sous Windows 7 ou XP).
Pour contrer une menace comme LockerGoga, les antivirus s’appuient donc principalement sur leurs mécanismes de signatures. Mais comme la menace est ciblée pour une entreprise donnée, elle reste sous les radars et n’a pas de signature connue avant d’accomplir ses méfaits.
6- Les systèmes industriels doivent rester isolés
Les systèmes de contrôle industriels (ICS) sont généralement animés par des systèmes anciens dépourvus de patchs de sécurité. De plus, ils n’intègrent souvent aucun mécanisme de sauvegarde ce qui complexifie d’autant leur redémarrage en cas d’attaques par ransomware. D’où l’importance de garder les systèmes critiques isolés les uns des autres, de travailler la micro-segmentation du réseau, et de revenir sans cesse sur les risques et les scénarios d’infection à même de rendre ces machines inopérantes.
7- La transparence ne fait pas de mal
Une fois n’est pas coutume, nous saluerons ici la transparence dont a fait preuve la société Norsk Hydro. L’attaque a été immédiatement rendue publique et l’entreprise a fait des conférences de presse quotidiennes pour expliquer l’évolution de la situation et les mesures prises pour y remédier. On est très loin de l’omerta systématiquement pratiquée par les entreprises françaises dès que l’on doit évoquer les sujets de sécurité.
