Peu de temps avant la prise d’otage

Les fêtes de fin d’année approchent à grands pas. Alexandre, qui travaille de chez lui depuis le début de la pandémie, décide de magasiner des jouets en ligne pour les cadeaux de ses enfants. Alexandre utilise son ordinateur personnel avec une connexion à distance pour accéder à son poste de bureau. Il aime la flexibilité et le côté pratique que cette solution lui apporte.

Ce soir, Alexandre navigue de lien en lien pour trouver les parfaits cadeaux de Noël. Il clique sur des liens publicitaires et trouve un site offrant de plus gros rabais que partout ailleurs sur lequel il décide de passer une commande en utilisant son courriel professionnel. Le site est lent et les pages se rechargent plusieurs fois par elles-mêmes sans raison, et finalement Alexandre laisse tomber.

Quelques heures plus tard, Alexandre reçoit un message dans sa boîte Outlook. Le message semble provenir de sa propre compagnie et lui demande de changer son mot de passe Active Directory. Alexandre est habitué à ce type de procédure. Il clique sur le lien inclus dans le courriel et change son mot de passe. Il prépare ensuite sa journée du lendemain, puis se lève de son bureau en ayant fini sa journée de travail.

La prise d’otage

Le lendemain, Alexandre est de retour au bureau. Il salue ses rares collègues présents, et échange brièvement avec eux.

Puis il se prépare un café, et il s’installe devant son ordinateur qui est resté allumé depuis plusieurs mois, et ouvre ses applications usuelles.

Ce matin, Alexandre n’est pas en mesure d’accéder à ses courriels et ses identifiants ne semblent pas fonctionner.  Il décide donc d’accéder à sa base de données SAP B1, mais aucune information n’apparaît ici non plus. Alexandre demande à une collègue du département de comptabilité si elle a accès à ses documents, mais sa collègue n'a pas plus de succès que lui. Bientôt, c’est tout un petit groupe qui se retrouve dans les couloirs du bureau et s’interroge sur la situation. Alexandre a une rencontre client dans moins d’une heure et a besoin de documents importants pour sa présentation.

Heureusement, Alexandre a pris soin de sauvegarder ses informations les plus sensibles dans le nuage. Il se connecte donc à l’application qui lui permet de stocker ses données en lignes, mais là encore, se retrouve face à un écran vide. Alexandre est bloqué dans son travail. Qu’en est-il du rapport de trente pages qui lui a pris si longtemps à trier la semaine dernière? Quid de son dossier de fichiers clients avec toutes les informations confidentielles sur leurs habitudes d’achat? Comment travailler sans son historique de conversations?

Le département d’administration de la compagnie, qui vient d’engager trois nouveaux employés, doit faire des appels à la banque pour s’assurer que leurs paies soient déposées manuellement, l’application utilisée habituellement n’étant pas fonctionnelle.

Les ventes déplacent des réunions et mettent des commandes en attente, sans pouvoir donner de suivis aux clients.

Jean-Philippe est administrateur système dans la compagnie d’Alexandre. Ce matin, Jean-Philippe est en panique. Le premier usager qui lui a fait part de son impossibilité d’accéder à ses fichiers l’a appelé il y a une heure environ. Jean-Philippe a d’abord cru à une mauvaise manipulation, mais d’autres usagers l’ont contacté. Et d’autres. Et encore d’autres.

Jean-Philippe fait le tour de son environnement, virtuel et physique. Il vérifie son pare-feu, son anti-malware, le statut des antivirus ainsi que le statut individuel de chaque poste usager. Il sait que certains de ses mots de passes sont identiques, car l’ancien administrateur système avait des difficultés à les retenir. Il sait que l’authentification à deux facteurs est désactivée sur la plupart des applications de la compagnie parce que certains usagers haut placés trouvaient la fonction trop peu pratique. Il a même entendu parler de certains usagers ayant reçu des appels téléphoniques de personnes prétendant avoir besoin d'accès au réseau d'entreprise pour y appliquer des mises à jour système – une manœuvre d'ingénierie sociale relativement commune.

Jean-Philippe fait des recherches manuelles dans les différentes bases de données de l’entreprise. Des messages d’erreur surgissent aussitôt sur son écran. "Unknown file type." "Windows ne peut pas ouvrir ce fichier." Il essaye sur son MacBook personnel. "There is no application set to open this document." Il tente d'accéder à ses sauvegardes hebdomadaires. Rien. Il tente d'accéder à ses sauvegardes mensuelles. Rien.

Puis, juste avant ce qui aurait été en temps normal le moment de sa pause-café, Jean-Philippe découvre plusieurs processus qu'il ne reconnaît pas dans son moniteur d'activité. Parmi eux, une application nommée Mimikatz.

La demande de rançon

Presque au même moment, une fenêtre s'ouvre sur son écran et un texte apparaît.

"Vos fichiers sont encryptés. Si vous souhaitez les restaurer, écrivez-nous à l'adresse courriel ci-dessous pour payer votre rançon. N'essayez pas de renommer vos fichiers. N'essayez pas de décrypter vos données en utilisant un logiciel de tierce partie – ceci pourrait causer une perte permanente de vos informations. Si vous tentez de décrypter vous-mêmes vos données, la rançon augmentera."

Jean-Philippe sent une boule dans son estomac. Il sait que les rapports d'attaques par ransomware ont augmenté de 715% seulement dans la première moitié de 2020.  Il a également entendu parler de plusieurs attaques qui se sont produites tout prêt de lui. 

Jean-Philippe sait qu'une fois son réseau infecté, la victime de ransomware est trop souvent obligée de payer les frais demandés pour retrouver l'accès à ses données.

Robert est le président de la compagnie pour laquelle Alexandre et Jean-Philippe travaillent.

Il a récemment lu que les coûts des attaques liées aux ransomware atteindraient $20 milliards US en 2021. Mais la compagnie de Robert est relativement modeste avec seulement une quarantaine d'employés et sous-traitants au total, et il se croyait à l’abri de ce type de situation.

Aujourd’hui, le plus important pour lui est de protéger le travail de sa vie, ses clients, ses employés, et la compagnie qu'il a passé près de trente ans à faire croître.

Robert écoute Jean-Philippe lui expliquer que le risque de tout perdre est très réel.

• L'attaque a probablement commencé il y a des mois.
• Peut-être les pirates ont-ils pénétré dans l'ordinateur d'un usager en se servant de la connexion à distance.
• Peut-être ont-ils envoyé un lien d’hameçonnage.
• Peut-être un ex-employé en colère a-t-il vendu ses anciens codes d'accès à des personnes mal intentionnées.
• Peut-être un pirate a-t-il contacté quelqu'un au sein de la compagnie en se faisant passer pour un fournisseur de service afin de récupérer les précieux accès.

Si les causes pouvaient être nombreuses, les effets, eux, sont catastrophiques.

Robert, comme d’autres, a vu le message apparaître sur ses écrans. La rançon demandée est de près de $150,000 CAD. Après les baisses de revenus dus à la COVID19, Robert est conscient de la charge qu'un tel montant représente pour son entreprise. Il décide de prévenir les autorités fédérales, qui lui indiquent que le groupe de pirates qui tient ses données en otage a frappé deux autres PME durant les deux dernières semaines. Les deux autres victimes n'ont eu d'autre choix que de payer la rançon. Elles aussi avaient tout perdu, y compris leurs copies de sécurité.

La recherche de solutions

Robert décide d’appeler sur-le-champ une compagnie informatique qui lui a été chaudement recommandée et dont il se souvient d’avoir lu un blogue intitulé : dites adieu aux ransomwares et au paiement de la rançon.

La suite au prochain épisode...