Nous suivre Industrie Techno

Un rançongiciel contamine la messagerie de la direction générale de l'aviation civile

Juliette Raynal
Un rançongiciel contamine la messagerie de la direction générale de l'aviation civile

Cryptolocker est un rançongiciel, un logiciel malveillant qui une fois installé sur l’ordinateur d’une personne va chiffrer toutes ses données, les rendant illisibles.

© Flickr - Christiaan Colen

La Direction générale de l'aviation civile (DGAC) a été victime en décembre dernier d'un rançongiciel. Le virus, qui prend en otage les données utilisateur en échange d'une rançon, s'est propagé via la messagerie électronique de l'administration. De plus en plus courant, ce type d'attaque s'opère notamment grâce à des méthodes qui allient phishing et ingénierie sociale. 

« Une prise d’otage des données numériques ». C’est ce dont a été victime, en décembre 2015, la Direction générale de l’aviation civile (DGAC) selon les informations du Canard Enchaîné. L’hebdomadaire explique, en effet, que la messagerie de la DGAC a été infestée par un "ransomware", un rançongiciel en français. Une information qui nous a été confirmée par un porte-parole de la DGAC, qui a toutefois tenu à nuancer les propos rapportés par le Canard Enchaîné. « Seul trois postes ont été infectés » nous a-t-il assuré en précisant que le virus avait été, depuis, éradiqué.

Comme leur nom l’indique, les ransomwares sont des logiciels malveillants qui, une fois installés sur l’ordinateur d’une personne, vont chiffrer toutes ses données pour les rendre illisibles. Une fois l’opération effectuée, l’utilisateur est averti par un message dans lequel une rançon, généralement en Bitcoin, est exigée pour récupérer les données. « Ces logiciels s’appuient sur de puissants algorithmes mathématiques et reposent sur une clé publique, contenue dans le virus, pour chiffrer les données et une clé privée que seul le hacker détient pour les déchiffrer » explique Florian Coulmier, responsable cybersécurité de Vade Retro Technology. Le virus vise essentiellement les fichiers où se trouvent les données utilisateurs et non les fichiers système.

Pas de propagation vers le système d'information opérationnel 

De plus en plus utilisés, les ransomware sont redoutables, car une fois l’opération de chiffrement réalisée sur l’ordinateur de la victime, il n’y a plus rien à faire. « Les données ne peuvent être restaurées » confirme Florian Coulmier, qui conseille donc d’effectuer régulièrement des sauvegardes pour ne pas subir la pression de la rançon et la mise à jour des antivirus pour tenter de limiter la propagation du virus.

Dans le cas de l’attaque contre la DGAC, les données enregistrées sur le disque dur des postes contaminés ont été perdues. Le virus s’est également propagé sur le serveur, mais ces données ont pu être sauvées grâce à des mises à jour régulières. En revanche, contrairement à ce qu’indique le Canard Enchaîné, il n’y aurait pas eu de risque de propagation du virus du système d’information bureautique vers le système d’information opérationnel (c’est-à-dire vers les ordinateurs de la navigation aérienne) « Les deux réseaux sont physiquement séparés » assure le même porte-parole de la DGAC.

La messagerie électronique : vecteur d'attaque privilégié

Pour introduire les ransomwares sur un ordinateur, les hackers privilégient la messagerie électronique. « 65% des incidents de cybersécurité viennent du phishing. La messagerie électronique est un vecteur d’attaque privilégié car le destinataire de l’e-mail est un humain et que les pirates vont pouvoir exploiter ses faiblesses » rappelle le spécialiste. Concrètement, le virus va se loger dans une pièce jointe, un document Word ou PDF par exemple, dans laquelle se trouve un Droper. Pour encourager les destinataires à télécharger et ouvrir la pièce jointe infestée, les pirates informatiques utilisent des techniques dites de Spear Phishing. « A la différence du phishing, le Spear Phishing est très ciblé. Le pirate va étudier sa cible pour obtenir le plus d’informations possibles afin de se faire passer pour une personne de son entourage en lui envoyant un email. C’est, en fait, du phishing associé à des méthodes d’ingénierie sociale » résume Florian Coulmier.

Dans le cas de l’attaque dont a été victime la DGAC, les pirates ont trompé les collaborateurs en utilisant une adresse électronique dont la terminaison se finissait par @aviation-civil.gouv.fr. « On parle ici de Spoofing Adresse » commente Florian Coulmier. Cette approche consiste à voler l’identité d’une personne par l’intermédiaire de l’e-mail. « On va avoir exactement la même adresse e-mail que la personne dont on a volé l’identité » explique l’expert en cybersécurité, qui s’étonne que la DGAC n’ait pas mis en place un outil qui permet de détecter ce genre de manœuvre, techniquement très facile à réaliser. « Grâce à des systèmes de protection des messageries électroniques, on va pouvoir détecter qu’un e-mail avec le nom de domaine de l’entreprise vient de l’extérieur et non du réseau interne. L’e-mail est alors automatiquement rejeté par sécurité », note-t-il. Outre les outils de protection de messagerie, l'accent doit être mis sur la vigilance et la sensibilisation des salariés, estime le spécialiste. Une recommandation que l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ne manquera sans doute pas de répéter lors du forum international de cybersécurité (FIC 2016), qui se tient à Lille les 25 et 26 janvier prochains.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

CES 2019 : Les technos du véhicule autonome et connecté

CES 2019 : Les technos du véhicule autonome et connecté

Le véhicule autonome et connecté est cette année bien présent au Consumer Electronic Show (CES) qui se déroule du 8[…]

Technos à suivre en 2019, drone poisson volant, Lidar … les meilleures innovations de la semaine

Technos à suivre en 2019, drone poisson volant, Lidar … les meilleures innovations de la semaine

Une plateforme pour booster les capacités européennes en intelligence artificielle

Une plateforme pour booster les capacités européennes en intelligence artificielle

CES 2019 : 5 technos pour l’industrie

Conférences

CES 2019 : 5 technos pour l’industrie

Plus d'articles