Virus informatiques: appel à une «sage paranoïa»

MONTRÉAL — Une nouvelle cyberattaque demandant des rançons aux internautes — de type «rançongiciel» — a frappé cette semaine, faisant dire à des observateurs qu’un «modèle d’affaires» criminel s’installe progressivement et que les entreprises et les internautes devraient exercer une «sage paranoïa».

Le virus informatique, qui serait baptisé «Bad Rabbit», aurait fait apparaître sur l’écran des ordinateurs infectés une demande de rançon d’environ 300 $ à payer avec la monnaie virtuelle Bitcoin, selon la société russe spécialisée en sécurité informatique Group-IB. La cyberattaque aurait surtout touché à partir de mardi des réseaux d’entreprises en Russie.

Selon Guy Bégin, professeur au département d’informatique de l’Université du Québec à Montréal (UQAM), le mot d’ordre est «méfiance». Il souligne qu’il ne faut pas présumer que «quelque chose est bénin (…) même si cela semble venir d’une source qui serait correcte».

M. Bégin a dit croire que dans le cas de «Bad Rabbit», les mécanismes d’infection ne semblaient pas tellement sophistiqués, et qu’ils reposaient sur un truc d’ingénierie sociale, soit de convaincre les gens d’appliquer une fausse mise à jour de logiciel.

Bien sûr, le professeur a aussi rappelé qu’il valait mieux ne pas payer la rançon — même si ces groupes semblent essentiellement motivés par l’appât du gain —, car ceux-ci vont «à la pêche» et lanceront la ligne au même endroit s’ils estiment que cela mord.

Selon lui, il faut travailler sur la prévention et l’éducation — des sauvegardes de dossiers efficaces, un soin accordé aux mots de passe, etc. —, car retracer la source malveillante s’assimile presque «à retrouver une aiguille dans une botte de foin».

«La toile est tellement ramifiée, que le temps qu’il faudrait pour retrouver le premier cas d’infection, les gens sont partis depuis longtemps. C’est assez difficile de retracer. On a plus de chances de travailler sur la prévention, sur l’éducation, de s’assurer que les gens ont les bonnes mises à jour sur leurs systèmes, que d’essayer de retracer après coup», a fait valoir M. Bégin.

Youssef Jad, expert en cyberdéfense à la firme d’ingénierie PM SCADA, établie à Montréal, a souligné qu’il est difficile de détecter ces groupes malveillants puisqu’ils utilisent des «outils légitimes informatiques pour faire du cryptage», ajoutant qu’il était possible d’y arriver avec des solutions adéquates pour détecter et analyser un «comportement anormal».

Ainsi, M. Jad a dit travailler avec des fournisseurs de solutions de sécurité pour «éliminer le maillon humain», c’est-à-dire intercepter le courriel avant qu’il ne se rende à l’usager qui risque de lancer la propagation du virus. Dans une stratégie de cyberdéfense dans une entreprise, il s’agirait notamment de détecter des manifestations inhabituelles dans un réseau sur le cryptage de certains documents.

Si les deux hommes s’entendent pour dire que le «Bad Rabbit», ou la cyberattaque mondiale «NotPetya» d’il y a quelques mois, semblent être le fait de groupes cherchant avant tout à faire de l’argent, M. Jad estime qu’au-delà des rançons pouvant être versées, ces groupes peuvent développer des procédés qui seraient vendus chèrement à d’autres cercles criminels.

«Ils ont leur propre laboratoire, ils ont tous les antivirus, ils ont tous les logiciels qu’ils vont cibler, donc ils s’assurent que ça ne va pas être détecté, donc comme ça ils le vendent à de très grands prix pour un cercle criminel ou autre. Ils développent l’autre version suivante, et c’est comme ça qu’ils font affaire», a soutenu l’expert en cyberdéfense.

«Les criminels, ils vont s’adapter aux techniques, ils vont contourner ce que tu mets en place, nous (la firme d’ingénierie et ses partenaires), on est infiltrés dans l’underground, on sait qu’est-ce qu’ils utilisent, c’est quoi leurs nouvelles tendances, donc on s’adapte aussi», a-t-il fait valoir.