L’idée de récupérer ses données après avoir été piraté tient aujourd’hui du fantasme, même si rien n’est impossible. Les experts s’accordent à dire que les victimes doivent d’abord penser à restaurer ce qui peut l’être, un travail qui doit être déjà mené en amont d’une attaque.
Après avoir été piraté, que l’on soit un particulier, une administration ou autre, se pose de façon très naturelle la question de la récupération des données. « Puis-je récupérer mes données volées ? » se demande-t-on dans la précipitation. En réalité, il faudrait plutôt réfléchir au moyen de restaurer des données qui n’ont qu’été copiées par des pirates dont la motivation est avant tout financière. De l’idéal à la réalité, il y a malheureusement un bel écart. Après nos dossiers sur la cybermenace dans les hôpitaux et sur la rançon réclamée par les hackers, les experts cyber que nous avons pu rencontrer aux Assises de la sécurité, à Monaco, attirent notre attention sur la lucidité qu'il faut conserver au moment du piratage. Et surtout, ils invitent à ne pas confondre la restauration des données avec la récupération, qui sont deux notions qu’il convient de bien distinguer, tant sur le plan technique que commercial.
La récupération des données copiées ou collectées au sens propre : « C’est mort »
« La récupération des données est-elle possible après avoir été hacké ? » a-t-on simplement demandé à Ivan Kwiatkowski. « C’est mort », nous a-t-il répondu du tac au tac. « Il n’y a pas de récupération possible. Ce que beaucoup de gens ne comprennent pas, c’est que le vol n’existe pas dans le monde de la cybersécurité. Car le vol, c’est la soustraction de quelque chose à quelqu’un », précise le chercheur au GReAT de Kaspersky.
« Pour les données informatiques, ce n'est pas une soustraction. Si je me connecte à votre PC et que je copie tout votre disque avec une clé USB, je n'ai fait que dupliquer les données. Je n'ai rien volé », ajoute-t-il.
Ah ! Voilà qui atténue tout de suite l’idée (et la possibilité) de « récupérer » les données non pas volées, mais copiées. Car, dans le cas d’une attaque par ransomware, c’est bien ce qu'il se passe. Un pirate s’immisce dans le système, déclenche son rançongiciel, fait une copie des données (ou écarte les fichiers de sauvegarde s’il veut empêcher une restauration), chiffre les informations recueillies et bloque l’accès au terminal, avant d’informer la victime qu’elle doit payer une rançon si elle ne veut pas voir ses fichiers être publiés et si elle veut reprendre possession de son système.
Si un business model du ransomware existe, le pirate reste imprévisible
Christophe Auberger, cyber-évangéliste pour Fortinet, prolonge la question : « Est-ce qu’en payant, le pirate va vraiment me restituer les données et les détruire ? Ou va-t-il finalement les vendre ? On ne peut pas en être certain. »
« Quand on négocie avec un groupe de ransomwares, on ne lui demande pas de rendre les données, mais de rendre une prétendue copie des données. Je pense que croire que l'on peut récupérer des données, et croire à la parole des pirates sur la suppression d'une copie, c'est être un peu naïf », complète Ivan Kwiatkowski.
Autrement dit, dès le moment où un hacker a pu avoir accès à nos données, rien ne peut nous garantir qu’elles ne feront pas le tour du monde. En cas de paiement d’une rançon, le hacker n’a certes de son côté pas intérêt à balancer les données copiées à droite ou à gauche, car il remettrait en cause le modèle économique même du rançongiciel. Mais si la motivation n’est pas que financière… qui sait ? Il faut donc considérer le moindre accès à des données comme une vraie perte de données.
Aucune solution pour récupérer les données… vraiment aucune ?
Même lorsque l’on entrevoit un infime espoir, celui-ci est aussitôt douché. « C'est un peu tabou en France, mais il existe ce que l'on appelle la défense active, ou la défense offensive : je suis attaqué, je réplique et je détruis le système d'information d'en face, de manière à m'assurer qu'il ne puisse pas récupérer les données », nous informe Christophe Auberger. Ouf, il existe donc bien une chance que l’on puisse récupérer les données dont les hackers ont pu s’emparer ?
« Un : ça ne marche pas toujours. Deux : on n’est pas totalement sûr que la personne que l’on attaque est bien la personne malveillante, puisqu’il y a de multiples rebonds et de multiples plateformes dans les mouvements des pirates », poursuit l'expert. Et dans tous les cas, attaquer un système d’information reste illégal, « de la même manière que dans le monde physique, la légitime défense est stricte et encadrée ». Aucune entreprise n’a donc le droit, et peu en ont la capacité, d’attaquer l’adversaire. Seules les Armées françaises sont aujourd’hui dotées de capacités dans le domaine, sans que l’on sache officiellement si elles ont déjà pu être mises à profit (sans mauvais jeu de mots) ou non.
Pour Ivan Kwiatkowski, « si jamais on savait où se trouvent les serveurs des pirates, on pourrait envoyer la police, et ce serait facile. Mais on ne sait pas où ils sont. Parfois, certains groupes de ransomware s'attaquent entre eux, entre forums interposés, mais il n'y a pas de cas où ils ont réussi à se voler mutuellement des clés de déchiffrement et à tout déchiffrer pour occasionner des dommages économiques ».
La récupération des données au sens propre n’est donc pas la direction à prendre. « On ne peut pas récupérer la donnée qui a été copiée », répète le cyber-expert de Kasperky. « S'il y a un problème dans le chiffrement, on peut éventuellement la déchiffrer. Mais ce qu'ils ont copié autre part, on ne pourra pas le récupérer. Je ne dis pas que c'est impossible, mais ce n'est tellement pas pratique dans le monde réel que l'on peut considérer que c'est hors scope. »
La restauration des données, un moyen de relancer la machine
Si l'on ne peut pas récupérer les données, alors que peut-on faire ? « Savoir ce qui a été exfiltré par les pirates, c’est non. Mais récupérer les données par la restauration, c’est tout à fait possible, oui. » Nicolas Groh, directeur technique pour l’Europe de Rubrik, une entreprise spécialisée dans la restauration de ses données, nous en dit plus sur ce qu’une organisation victime peut espérer après une attaque par ransomware.
« Il faut avoir une idée, avant, de ce qui doit être restauré. Si vous vous faites hacker, la première chose à faire, c’est de prévenir les régulateurs, qui vont vous demander ce qui est encore debout, ce qui ne l’est plus, et quels types de données ont pu être récoltées. Si l'on peut répondre à ces trois questions, c’est déjà un bon départ », explique-t-il.
Mais il reste encore d’autres étapes à franchir. « Il faut essayer de savoir ce qui nous a attaqué, en faisant de l’investigation (une analyse forensic), pour savoir si l’organisation a été touchée par tel ou tel malware. En fonction du ransomware, on restaurera la donnée d’une façon ou d’une autre. Ensuite, arrive le temps de la remédiation. Toute cette procédure peut prendre plusieurs jours. » II convient aussi d’avoir une idée des machines qu’il va falloir restaurer, et quelles seront les interactions entre ces machines. « Il faudra parfois remonter la base de données en premier, les serveurs web, etc. », nous dit Nicolas Groh. « Tout ça dans un ordre et avec un laps de temps entre chaque étape. Si vous remontez trop vite, des choses peuvent se perdre dans la natur… »
Le réflexe à bannir, selon Ivan Kwiatkowski :
« Un réflexe que beaucoup de victimes ont : c'est le fait, après s'être fait pirater, d'utiliser leur serveur mail pour envoyer des e-mails paniqués à leurs contacts, d'utiliser le système compromis pour continuer de faire tourner la boîte. Ici, les groupes ransomwares qui sont encore dans le réseau assistent à tout ça et savent exactement ce qu'il se passe, et ils ont d'ailleurs beau jeu de le rappeler à leurs victimes. »
C’est bien un empilement de couches qui aujourd’hui va pouvoir assurer la sécurité. « La donnée, c’est la principale cible des hackers », rappelle le Field CTO Nicolas Groh. « La gouvernance, la protection de sa donnée dit être la base de toute organisation. » La mise en place d’un plan de sauvegarde hors de portée de toute attaque demeure aujourd’hui l’une des meilleures solutions de récupération de données (et, donc, de non-paiement d’une rançon).
Ce dossier thématique sur la cybersécurité est le troisième d'une série que vous pouvez découvrir en ce moment sur Clubic, à la suite de notre visite aux Assises de la sécurité qui se tenaient du 12 au 14 octobre à Monaco. Merci à tous les spécialistes qui ont accepté de répondre à nos questions, et rendez-vous pour les deux derniers épisodes, où nous parlerons de géopolitique et d'assurance cyber.