diff --git a/chapitres/chapitre_01.md b/chapitres/chapitre_01.md index 9d8b6f0..ffc1a6f 100644 --- a/chapitres/chapitre_01.md +++ b/chapitres/chapitre_01.md @@ -1,35 +1,37 @@ # Attaque par rançongiciel -L'attaque par rançongiciel est une prise d'orage de données personnelles. Pour ce faire, le logiciel va chiffrer les données d'un système et ensuite afficher un message demandant une rançon pour déchiffrer les données. La rançon sera habituellement exigée sous la forme de cryptomonnaie. Dans tous les cas, il n'est jamais recommandé de payer la rançon. +L'attaque par rançongiciel, c'est une prise d'otage de données personnelles. Pour ce faire, le logiciel va chiffrer les données d'un système et ensuite afficher un message demandant une rançon pour déchiffrer les données. La rançon sera habituellement exigée sous la forme de cryptomonnaie. Dans tous les cas, les autorités recommendent de ne jamais payer la rançon. -## Comment éviter cette histoire d'horreur. +## Comment éviter cette histoire d'horreur? -### Avoir une stratégie de sauvegarde efficace +### Développer une stratégie de sauvegarde efficace -Un système qui a été infecté par un rançongiciel est jugé irrécupérable et devra être entièrement formaté. C'est pourquoi il est important d'avoir des sauvegardes de nos fichiers sur au moins deux supports différents: +Un système qui a été infecté par un rançongiciel est souvent cassé et devra être entièrement formaté. C'est pourquoi il est important de sauvegarder nos fichiers sur au moins deux supports différents : -- Une sauvegarde en ligne sur un service infonuagique protégée par la cryptographie. Le système de sauvegarde en ligne [Borg](https://borgbackup.readthedocs.io/en/stable/) permet d'appliquer cette stratégie +- Une sauvegarde en ligne sur un service infonuagique protégée par la cryptographie. Le système de sauvegarde en ligne [Borg](https://borgbackup.readthedocs.io/en/stable/) permet d'appliquer cette stratégie. - Une sauvegarde physique sur un appareil de stockage tel qu'un disque dur portatif, une clé USB ou un autre ordinateur. -Pour faciliter cette tâche, le logiciel rsync est tout indiqué. Pour avoir un aperçu de son utilisation, notre guide de juillet 2021, Partir en vacances l’esprit tranquille, propose un survol de cet outil. Il est disponible à cette adresse: [https://jevalide.ca/2021/07/27/guide-pratique-partir-en-vacances-lesprit-tranquille/](https://jevalide.ca/2021/07/27/guide-pratique-partir-en-vacances-lesprit-tranquille/) +Pour faciliter cette tâche, nous recommandons le logiciel rsync. Pour avoir un aperçu de son utilisation, notre guide de juillet 2021, Partir en vacances l’esprit tranquille, propose un survol de cet outil. Il est disponible à cette adresse : [https://jevalide.ca/2021/07/27/guide-pratique-partir-en-vacances-lesprit-tranquille/](https://jevalide.ca/2021/07/27/guide-pratique-partir-en-vacances-lesprit-tranquille/) -De plus, afin de contrer le fait qu'une sauvegarde puisse avoir été contaminée par un rançongiciel détecté tardivement, il est recommandé d'avoir, en complément, un mode de sauvegarde incrémental qui garde des copies des versions antérieures des fichiers. +Une sauvegarde peut avoir été contaminée par un rançongiciel détecté tardivement. Pour contrer ce risque, il est recommandé d'avoir, en complément, un mode de sauvegarde incrémental. Ce dernier conserve automatiquement une copie des versions antérieures des fichiers. -Un outil de collaboration basé sur des fichiers, comme Nextcloud ou SharePoint, permet de conserver facilement plusieurs versions des fichiers de manière transparente pour l'utilisateur. +Assurez-vous de vous exercer régulièrement à la restauration de sauvegarde et de mettre en place une procédure simple à suivre. Si un incident survient, vous aurez bien d'autres soucis que vous remémorer cette procédure! -Afin de limiter l'exposition à des données personnelles, essayez de les conserver le moins longtemps possible sur votre ordinateur de travail. Préférez toujours un support hors-ligne pour celles-ci. +Un outil de collaboration basé sur des fichiers, comme Nextcloud ou SharePoint, permet de conserver facilement plusieurs versions des fichiers de manière transparente. -Pour avoir plus de détails sur les différentes stratégies de sauvegarde, nous vous invitons à consulter notre guide intitulé **Les 3 types de sauvegardes** publié en août 2021 à cette adresse: [https://jevalide.ca/2021/08/09/les-3-types-de-sauvegardes-guide-pdf-aout-2021/](https://jevalide.ca/2021/08/09/les-3-types-de-sauvegardes-guide-pdf-aout-2021/) +Afin de limiter l'exposition à des données personnelles, essayez de les conserver le moins longtemps possible sur votre ordinateur de travail. Préférez toujours une sauvegarde sur un support déconnecté pour celles-ci. -### Éviter les fichiers exécutables et les liens suspects par courriel +Pour avoir plus de détails sur les différentes stratégies de sauvegarde, nous vous invitons à consulter notre guide intitulé **Les 3 types de sauvegardes** publié en août 2021 à cette adresse : [https://jevalide.ca/2021/08/09/les-3-types-de-sauvegardes-guide-pdf-aout-2021/](https://jevalide.ca/2021/08/09/les-3-types-de-sauvegardes-guide-pdf-aout-2021/) -Privilégiez, dans vos communications avec les clients et les entreprises, des courriels simples, en texte seulement, et évitez les pièces jointes qui peuvent contenir du contenu exécutable. +### Éviter les fichiers exécutables et les liens suspects par courriel ou sur des sites web peu recommandables + +Privilégiez, dans vos communications avec la clientèle et les entreprises, des courriels simples, en texte seulement, et évitez les pièces jointes qui peuvent contenir du contenu exécutable. Dans tous les cas, n'ouvrez jamais de fichiers exécutables provenant d'une source externe non certifiée, même si c'est un de vos contacts. Tous les fichiers de type Office peuvent contenir du contenu exécutable, alors limitez vos pièces jointes à des fichiers de texte simple ou des fichiers PDF. ### Valider l'authenticité et l'intégrité des fichiers exécutables téléchargés -Lorsque vous devez exécuter un fichier exécutable provenant de l'externe, assurez-vous de valider les sommes de contrôle de ces fichiers avec l'utilitaire `shasum` sur Linux et MacOS, depuis le terminal. +Lorsque vous devez exécuter un fichier exécutable provenant de l'externe, assurez-vous de valider les sommes de contrôle de ces fichiers. Ceci peut être réalisé avec l'utilitaire `shasum`, sur Linux et macOS, depuis le terminal. ```{bash} shasum -a 1 @@ -43,30 +45,87 @@ certutil -hashfile SHA1 ### Effectuer la mise à jour périodique de tous ses logiciels et appareils -Nous ne pourrons jamais autant le répéter ! Un des meilleurs moyens de garder son système en sécurité est de faire ses mises à jour le plus fréquemment possible. Dans le meilleur des cas, celles-ci sont effectuées quotidiennement. Dans le pire des cas, mensuellement. +Nous ne pourrons jamais autant le répéter! Un des meilleurs moyens de garder son système en sécurité, c'est de se mettre à jour le plus fréquemment possible. Dans le meilleur des cas, celles-ci sont effectuées tous les jours. Dans le pire des cas, mensuellement. -Aucun système qui n'a pas été mis à jour depuis plus d'un mois ne devrait pouvoir se connecter à Internet. Point ! +Aucun système qui n'a pas été mis à jour depuis plus d'un mois ne devrait pouvoir se connecter à Internet. Point! -Sur Windows, en plus des mises à jour du système, avec Windows Update, il faut mettre à jour individuellement chacun des logiciels installés. Heureusement, de plus en plus de logiciels proposent de vérifier la présence de nouvelles versions lors de leur ouverture. Si cette option est disponible pour vos logiciels couramment utilisés, activez-là ! +Sur Windows, en plus des mises à jour du système, avec Windows Update, il faut mettre à jour à part chacun des logiciels installés. Heureusement, de plus en plus de logiciels proposent de vérifier la présence de nouvelles versions lors de leur ouverture. Si cette option est disponible pour vos logiciels couramment utilisés, activez-là! ### Utiliser des mots de passe robustes et uniques Un mot de passe robuste est un mot de passe qui n'est pas composé de mots du dictionnaire et de chiffres. Il est unique et ne devrait être utilisé qu'une seule fois, pour un seul compte. Il peut être difficile de retenir plusieurs mots de passe au lieu d'un seul. -Cependant, il existe maintenant des logiciels qui s'occupent de gérer les nombreux mots de passe à notre place. Ils permettent même d'en générer des nouveaux. Un de ces logiciels est [Bitwarden](https://bitwarden.com/), un logiciel libre qui offre aussi un service gratuit en ligne. Ce logiciel offre des applications client sur toutes les plateformes et il est très convivial à utiliser. +Cependant, il existe maintenant des logiciels qui s'occupent de gérer les nombreux mots de passe à notre place. Ils permettent même d'en générer des nouveaux. Un de ces logiciels est [Bitwarden](https://bitwarden.com/), un logiciel libre qui offre aussi un service gratuit en ligne. Ce logiciel offre des applications client sur toutes les plateformes et il est très convivial. ### Utiliser l'authentification à facteurs multiples L'authentification à facteurs multiples permet d'éviter à quelqu'un qui aurait accès à votre mot de passe de se connecter sans pouvoir vérifier un autre élément. Il faut la privilégier sur tous les comptes en ligne où cette option est disponible. -Cette véficfication peut être biométrique, avec une empreinte digitale, par un SMS ou avec une application mobile de génération de mots de passe à usage unique basés sur le temps (Time-base one time password, ou TOTP). L'application libre [FreeOTP+](https://f-droid.org/en/packages/org.liberty.android.freeotpplus/) pour Android facilite cette tâche. De plus, il est possible d'effectuer une sauvegarde de celle-ci facilement. +Cette vérification peut être biométrique, avec une empreinte digitale, par un SMS ou avec une application mobile de génération de mots de passe à usage unique basés sur le temps (Time-based one-time password, TOTP). L'application libre [FreeOTP+](https://f-droid.org/en/packages/org.liberty.android.freeotpplus/) pour Android facilite cette tâche. De plus, il est possible d'effectuer une sauvegarde de celle-ci facilement. Sur iOS, l'application [FreeOTP Authenticator](https://apps.apple.com/in/app/freeotp-authenticator/id872559395), une version antérieure, effectue un travail similaire. -Il existe aussi des clés physiques telles que la [Yubikey](https://www.yubico.com/?lang=fr) qui permettent d'avoir une authentification plus sécurisée. +Il existe aussi des clés physiques, telles que la [Yubikey](https://www.yubico.com/?lang=fr), qui permettent d'augmenter la fluidité de l'expérience utilisateur. ### Activer le pare-feu de son ordinateur et de son routeur +Le pare-feu est un système qui permet d'ouvrir et de fermer des ports, c'est à dire des adresses pour faire entrer ou sortir de l'information entre votre ordinateur et un réseau informatique. Plus il y a de ports ouverts, plus il y a d’occasions pour faire entrer un logiciel malveillant dans votre ordinateur. C'est donc une bonne pratique de laisser ouvert seulement ce qui est absolument requis. + +Sur Windows, on peut accéder aux paramètres du pare-feu Defender en utilisant la commande suivante dans le navigateur Edge + +``` +ms-settings:windowsdefender +``` + +Windows vous suggèrera fortement d'ouvrir un compte OneDrive pour augmenter la sécurité. Mais, sachez que vous pouvez tout autant utiliser Nextcloud sur notre propre serveur privé sans avoir à en décaisser autant. Vérifiez que les autres options sont activées. + +Windows est un système intrusif, donc beaucoup de ports sont ouverts par défaut, et il peut être difficile de savoir lesquels peuvent être fermés sans une expertise en administration Windows. Vous pouvez tout de même obtenir un aperçu en cliquant sur **Paramètres avancés** dans la fenêtre du pare-feu. + +![](images/chapitre-01-parefeu-windows.png) + +Sur macOS, le système inclut son propre pare-feu configurable depuis une interface graphique. Depuis les options, il est possible de bloquer toutes les connexions entrantes. + +![](images/chapitre-01-parefeu-macos.png) + +Sur Linux, le pare-feu par défaut est `iptables`. Il requiert une certaine expertise pour être configuré adéquatement. Heureusement, le logiciel `ufw` (Uncomplicated firewall) permet de simplifier la tâche. Pour l'activer, il suffit généralement d'exécuter cette commande : + +```bash +sudo systemctl enable ufw +``` + +Pour s'assurer qu'il est activé, on consulte le statut détaillé + +```bash +sudo ufw status verbose +``` + +Ce qui devrait produire une sortie comme suit : + +```plain +Status: active +Logging: on (low) +Default: deny (incoming), allow (outgoing), disabled (routed) +New profiles: skip +``` + +Ensuite, pour ouvrir les ports, on peut utiliser le numéro du port ou le nom du service, tel que listé dans le fichier `/etc/services`. -## Trop tard ... On fait quoi maintenant + +## Trop tard... Quoi faire, maintenant ? + +### Couper l'accès au réseau + +La première chose à faire, lors de toute détection d'attaque par rançongiciel ou de comportement suspect, comme la disparition de fichiers, est de couper l'accès au réseau. Commencez par déconnecter le câble réseau et couper le réseau sans fil en éteignant le routeur. Sinon, il faut fermer le réseau depuis l'interface graphique du routeur, ce qui peut être ardu sur un réseau d'entreprise. + +### Aviser les autorités + +Si vous recevez une demande de rançon, prenez-la en photo avec votre appareil mobile ou un appareil photo. Ne payez rien. Communiquez avec la police et une ou un spécialiste en cybersécurité. Ces derniers voudront probablement accéder à vos systèmes pour effectuer une analyse en criminalistique numérique. Il sera possible de restaurer les fichiers chiffrés, si le rançongiciel utilisé a été décodé. + +### Formater le système infecté + +Une fois qu'un système infecté a été désamorcé, il sera possible de le réinstaller. Dans ce cas, il est préférable de formater les disques avec une méthode aléatoire, puis de tout réinstaller. Il faut tout de même s'assurer que le rançongiciel ne s'est pas installé dans une des parties critiques du système, tel que le gestionnaire d'amorçage. Pour ce faire, il faudra attendre les résultats de l'enquête en criminalistique numérique. + +### Effectuer une restauration + +Localisez votre sauvegarde la plus récente et planifiez une restauration de celle-ci sur un autre réseau informatique que celui qui a été infecté, afin de, par exemple, remettre en ligne un site web le plus rapidement possible. Ce peut être l'occasion de louer un serveur infonuagique temporaire pour se remettre rapidement sur pied.