« Un quoi ? ransomware ? C’est quoi ce truc ? » C’est un rançongiciel ou logiciel de rançon. Pour simplifier c’est un virus qui au lieu de détruire vos données va les crypter et il va vous demander une rançon pour que vous puissiez a nouveau avoir accès a vos données. Vos sauvegardes sont-elles protégées ?
Introduction
J’ai eu l’idée d’écrire cet article suite à une remarque que nous faisait Joëlle Verbrugge sur Facebook. Joëlle nous parlait d’une sauvegarde déconnectée pour se protéger des ransomware. Personnellement je n’aime pas les sauvegardes déconnectées, car il faut penser à connecter l’unité de sauvegarde (DD externe par exemple) et donc souvent ce n’est pas régulier. Mais je me suis dit qu’il serait intéressant de regarder la chose plus en détail
Ma sauvegarde peut-elle impactée par un ransomware ?
Je vais prendre pour exemple mes photos. C’est des RAW qui sont sur mon Disque dur. Ensuite ils sont copiés vers mon NAS. Et le NAS les copie sur le cloud. Il n’y a pas de propagation de l’effacement. Si un fichier est effacé sur le disque dur, il ne sera pas effacé sur le NAS. C’est pareil pour le deuxième niveau. Si je me connecte au NAS et que j’efface un fichier directement sur le NAS, il ne sera pas effacé sur le cloud. Le problème c’est qu’un ransonware n’efface pas une donnée, mais la crypte.
Il existe différents types de ransomware. Certains s’attaquent à certains types de fichiers, à différent type de lecteurs réseau. Certains renomment vos fichiers, d’autre pas. Donc, imaginons qu’un ransomware s’attaque à mon ordinateur. Que va-t-il se passer ?
- Dans un premier temps il va crypter les données sur mon disque dur. On va prendre un ransomware qui ne renomme pas mes fichiers, mais qui les crypte simplement. C’est le pire cas. Si un ransomware renommait, c’est comme un effacement et création d’un nouveau fichier et comme je ne propage pas l’effacement je n’aurais pas de problème. Mais là, il crypte juste en gardant le même nom. Si je m’en rends compte rapidement, et qu’il n’y a pas eu de sauvegarde entre temps, j’ai toujours une bonne version sur mon NAS. Oui ? En fait pas forcement
- Dans un deuxième temps le ransomware va s’attaquer aux disques réseau. Donc à mon NAS. Je n’ai pas de disque réseau à proprement parler. J’accède à mon NAS via son adresse UNC « \\MonServeurNas\Mondossier\ », mais certains ransomware sont capables de retrouver cette info. Donc mon NAS peut être impacté. Que va-t-il se passer après.
- Mon NAS va simplement se répliquer sur le cloud. Donc un fichier crypté ira remplacer le bon fichier sur le cloud et donc même ma copie sur le cloud va se retrouvée impactée. Comme la synchronisation vers le cloud n’est pas super rapide je ne perdrais pas tout, mais je serais en théorie impacté. Et j’ai été impacté, car je fais une copie et pas une sauvegarde. Je vous ai déjà alerté sur le risque d’une copie (Miroir)
Comment se protéger
Dans un premier temps il faut évidemment ne pas attraper le virus. Pour cela trois précautions simples
- Avoir un antivirus à jour.
- Ne pas ouvrir de pièce jointe contenue dans un mail dont vous ne connaissez pas l’émetteur. Et même si vous connaissez l’émetteur faites attention à la pièce jointe. Si c’est un fichier exécutable il ne faut pas l’ouvrir
- Bien regarder l’adresse d’un lien avant de cliquer dessus. Si ça ne vous dit rien, n’y allez pas.
Ensuite comme le ransomware peut aller partout il faut faire une sauvegarde qu’il ne peut pas voir. Deux solutions
- Faire comme le disait Joëlle avoir une sauvegarde sur un Disque dur qui n’est pas connecté en permanence. Je vous en parlais dans cet article par exemple. Personnellement je n’aime pas les sauvegardes qui dépendent du bon vouloir de l’utilisateur. Donc je préfère une autre solution
Faire une sauvegarde qui n’est pas visible par mon ordinateur. Et là, le NAS a des solutions. Chez Synologie il y a un programme, Hyper Backup, qui permet de sauver les données du NAS soit sur le DD interne soit sur un disque dur connecté au NAS soit sur le cloud, soit sur un autre NAS. Cette sauvegarde n’est visible que par le NAS et pas par mon PC. Donc si mon PC se retrouve infecté il ne verra pas cette sauvegarde. Pour information c’est une vraie sauvegarde journalière qui peut garder l’historique sur plusieurs années si je le souhaite. Donc même si je mets du temps à me rendre compte du problème je peux récupérer mes données du jour d’avant l’infection.
Conclusion
Pour qu’une sauvegarde soit efficace, elle doit prendre en compte les différents niveaux de défaillance possible. Si un disque dur tombe en panne, c’est un niveau de la chaîne qui disparaît, mais les autres niveaux de protection sont toujours là. Dans le cas du ransomware le problème se propage à plusieurs niveaux. C’est pour cela qu’il fait être un peu plus vigilant. Mais au fait. Ça va prendre un peu de place cette nouvelle sauvegarde ? Oui. Ce n’est pas pour rien que j’ai 8To dans mon NAS
Bonjour et merci pour ton article
Il est illusoire de croire que hyper backup ou Sync Cloud Server puisse éviter la propagation du cryptage incontrôlé. En effet, tout volume connecté est potentiellement exposé à cette menace….Joëlle a raison de l’évoquer.
Pour ma part je préfère la sauvegarde miroir en mode déconnectée qui répond à un double objectif: sécuriser contre les attaques et maitriser les actions.
Comme je suis le seul utilisateur sur mon poste, comme j’ai mis en place deux gros NAS, des stratégies de duplication contrôlée sur mon deuxième NAS.
En cas de crash je serai en capacité à restaurer à jour N-1. En effet la sauvegarde en mode déconnectée ou manuelle a cet inconvénient de ne pas être en temps réel et limite la restauration de nouveaux fichiers (ou modifié) en cas de besoin. C’est une limitation importante, mais en usage privé, cela reste acceptable.
Oui, à chaque synchro manuelle, je scrute les actions du journal et je détecte d’un coup d’œil les actions à réaliser notamment les modifications de fichier. Comme je suis l’unique utilisateur, comme je suis attentif et rigoureux (j’essaie) du coup s’il y avait un truc pas normal je devrais le détecter dans le journal juste avant de lancer la duplication. C’est un premier rempart….
Dans mon usage privé, je n’ai pas de grosse masse de donnée quotidienne……L’examen reste sensé.
Comme j’ai deux gros NAS (dont un déconnecté) et un disque Lacie 8 to, je regarde pour utiliser les deux NAS avec hyper backup (synchro incrémentielle) en auto et un disque externe déconnecté. Du coup j’aurai le double avantage de la sauvegarde en temps réelle et la sauvegarde contrôlé comme l’évoque si justement Joëlle.
En tout état de cause, ce n’est pas les outils précités, ni la possibilité de ne pas reporter la suppression dans les backups (versionning) qui nous affranchiront de ces attaques..Théoriquement, toutes les données connectées et conservées dans les backup (image ou pas) sont potentiellement exposées.Croire que l’on puisse remonter très loin pour restaurer une donnée est illusoire . Penser que la lenteur de la sauvegarde cloud puisse limiter les dégâts est aussi une erreur. La 5G arrive, et l’avenir tend à ce que les réseaux permettent des débits encore inatteignable aujourd’hui….
On le voit, la sécurité de nos précieuses données est un enjeu.
Je suis en train de construire avec des partenaires, un système collaboratif basé sur la duplication de donnée cryptée hors site sur des NAS distants et privés. Chaque personne ayant rejoint le domaine, pourra réserver un place sur son NAS et pourra bénéficier de la même place pour sauvegarder ses données sur plusieurs autres NAS distants. Synology possède des technologies pour cela (cryptage, dossier en accès limité etc).
Ainsi , pas d’abonnement couteux, de risque lié à l’interruption de service comme ceux que j’ai vécu avec kodak par exemple, pas de hausse de tarif, etc. Une sauvegarde hors site vers un domaine ultra privé de nos données cryptées et confidentielles.
EN tout cas ton article permet cette réflexion. Merci Oui Oui
Et pour ceux qui auraient été infectés,voici un article intéressant qui recence les « dé-crypteurs »
https://korben.info/15-nouveaux-dechiffreurs-de-ransomware-dispo-nomoreransom.html
Un blog que je vous conseille d’ailleurs vivement, car il regorge d’infos intéressantes en matière informatique
Et voici le site dont parle Korben
https://www.nomoreransom.org/
[quote= »OuiOuiPhoto]Et même si vous connaissez l’émetteur faites attention à la pièce jointe[/quote]
Et si vous connaissez l’émetteur, demandez-vous AVANT TOUTE CHOSE pourquoi il vous écrit en japonais, ou même pourquoi il vous écrit subitement alors que vous êtes fâchés depuis des lustres…
Bonjour,
Ravie d’avoir suscité un article aussi intéressant 🙂
Pour parfaire la protection, et en plus de ce que tu indiques (quel que soit le système choisi), j’ai aussi trouvé un petit utilitaire très très efficace et gratuit
https://www.bitdefender.com/solutions/anti-ransomware-tool.html
Il surveille le pc (sans le ralentir) et interrompt toute demande de cryptage dès qu’elle se lance.
Pour le tester, je l’ai installé, et puis j’ai lancé un logiciel de cryptage qui était installé sur mon pc pour crypter un fichier précis
L’utilitaire a de suite affiché une fenêtre d’avertissement
C’est donc à mon sens une petite précaution en plus.
Il tourne chez moi depuis quelques mois et n’a provoqué aucun effet secondaire indésirable…
Et merci encore pour tes contenus, de façon générale:-)
Joëlle
Merci pour cette astuce 😉 Faudra que je regarde si les antivirus habituels ont ce genre de fonction intégrée
Bonjour,
Vous parlez de PC sous Windows, mais qu’en est-il pour les Mac sous IOS ?
A+
Malheureusement aucune idée. Je n’ai pas de MAC. Mais a mon avis le fonctionnement doit être proche. Faudrait que je lance une collecte pour me faire payer un MAC 😉
Malheureusement je n’ai pas de MAC mais je pense que le fonctionnement doit être identique. Faut que je lance une collecte pour me faire payer un MAC 😉
Même chose, il existe 2 ransomwares actuellement sur Mac, sur IOS et Androïd ça commence à arriver. Linux à le sien il me semble. Par contre les MAC sont des porteurs sains, et diffusent via email et clé USB sans problèmes 😀
Mais bon pas la peine d’être parano non plus, le bon sens et les précautions suffisent.
Ça c’était avant , les mac commencent à être infectés, le plus drôle si l’on peut dire , c’est la société qui envoie les virus qui développe les anti virus……, comme quoi , tout est possible.
Société très discrète qui est très peu sur le net.