Face aux ransomware, la sécurité embarquée dans Office 365 ne suffit plus

Face aux ransomware, la sécurité embarquée dans Office 365 ne suffit plus

Lorsqu’on choisi de basculer sa messagerie sur Office 365, donc dans le Cloud pour des raisons d’efficacité opérationnelle, pour des raisons de coût, impossible de sécuriser le serveur de messagerie comme on savait le faire en mode on-premise. Tout ce qu’un fournisseur de serveur Cloud tel que Microsoft avec sa messagerie Office 365, c’est une case à cocher afin de bénéficier de la sécurité embarquée proposée par l’éditeur. Or, d’un strict point de vue technique, cette protection basée sur la détection des seules signatures de malware, est notoirement insuffisante.

La liste des entreprises qui ont jugé la protection proposée par Microsoft avec Office 365 comme suffisante et qui ont été frappées ces derniers mois par un ransomware s’allonge de manière alarmante. Un grand nombre d’entreprises françaises, qu’elles soient dans le secteur public, dans l’industrie, les services, le luxe sont désormais touchées par des campagnes massives d’envoi de logiciels malveillant qui chiffrent l’intégralité des fichiers des postes infectés et réclament une rançon pour en déchiffrer le contenu. Des grandes structures comme des PME sont touchées, sans discrimination. L’exemple de l’Hollywood Presbyterian Medical Center de Los Angeles est emblématique du phénomène. Les pirates réclamaient 9 000 bitcoins, environ 3,6 millions de dollars, pour débloquer le système d’information de cet hôpital qui compte en moyenne 900 patients. Dans une déclaration publique, le directeur de l’établissement a précisé que la somme versée n’atteignait finalement « que » 17 000 dollars et que le système a été finalement pu être débloqué. Cet exemple n’est que l’un des rares à avoir été rendu public, mais énormément d’entreprises ont été contraintes de payer pour tenter de libérer leurs données.

Après « Locky », la vague de ransomware ne faiblit pas

En dépit du battage médiatique autour du chantage réalisé envers cet hôpital de Los Angeles, son DSI peut s’estimer satisfait du dénouement relativement heureux de l’affaire. Le profil des pirates qui mènent ce type d’attaques est en train de changer. Alors qu’il y a 3 ou 4 ans, les pirates avaient une approche très professionnelle, faisaient même de véritables « proof of concept » auprès de leurs victimes en déchiffrant 1 ou 2 fichiers gratuitement pour les pousser à payer, aujourd’hui, même en payant certains se retrouvent avec des fichiers rendus irrécupérables. Quelques pirates ont de réelles capacités de programmation et savent chiffrer et déchiffrer des fichiers. D’autres ne font que surfer sur cette vague du ransomware et se contentent d’altérer les fichiers sans avoir aucune solution à proposer à leurs victimes pour récupérer leurs données après le versement de la rançon. En outre, on assiste à une explosion des souches de ransomware et ceux-ci évoluent très rapidement. Les pirates apportent en permanence des modifications mineures, de manière à passer au travers des bases de signatures des anti-virus. Ainsi, le ransomware « Locky » qui a beaucoup fait parler de lui ces derniers mois, a connu de multiples mutations si bien que ses innombrables descendants continuent de passer les défenses classiques bien que le ransomware original soit aujourd’hui bien identifié.

95 % des malware sont véhiculés par l’email

Du fait de ces mutations innombrables, les logiciels de protection mis en place par les DSI sur leurs postes clients, mais aussi les fonctions de sécurités basiques des messageries Cloud, ne sont pas à l’abri de ces vagues d’attaques. L’email est le principal vecteur d’infection : 95 % des attaques de ransomware et de cryptolocker sont véhiculées par la messagerie électronique. Il est devenu absolument nécessaire de muscler la défense des comptes Office 365 avec une solution de protection dans le Cloud elle-aussi. Avec son offre « Cloud App Security », Trend Micro propose une offre de protection en mode Saas qui permet de sécuriser à la fois les comptes Office 365 mais qui va au-delà de la seule messagerie Microsoft. Le service protège aussi les comptes Box, Dropbox et Google Drive de l’entreprise afin de supprimer les fichiers malveillants qui pourraient être stockés sur ces systèmes de fichiers hébergés.

Comme toute application Saas, la sécurité en mode Cloud présente l’avantage d’être configurée simplement et maintenue par son éditeur, si bien qu’on n’a pas les problème de mauvaise configuration des outils de protection comme c’est bien souvent le cas des déploiement on-premise lorsqu’ils sont réalisés par des pseudo-experts insuffisamment formés.

Un autre atout du Cloud, c’est sa puissance de calcul théoriquement infinie. Cette vague de ransomware a clairement posé aussi la question de l’efficacité des anti-malware classiques. Un grand nombre des entreprises infectées ces derniers mois disposaient bien d’un anti-malware sur leur serveur de messagerie et d’un second sur leurs postes clients. Les malware actuels sont conçus pour contourner ces mécanismes de protection traditionnels qui sont basés sur des bases de signatures. Ceux-ci bloquent efficacement les malware qui sont bien identifiés, qui sont déjà connus dans le système. Les attaquants se contentent donc d’altérer légèrement le fichier de leur malware de manière à ce que celui-ci ne soit pas reconnu.

L’approche « sandboxing » s’impose dans la lutte contre les ransomware

Pour contenir ces malwares aux mutations infinies, il faut avoir recours au « sandboxing« . Le principe est maintenant bien connu. Il consiste à isoler le fichier suspect et l’exécuter dans une machine virtuelle isolée, dédiée à l’analyse de son comportement. On ne se fie plus à la signature du malware, mais sur son comportement réel lors de son ouverture. C’est une approche qui, pour des raisons de performances, n’est pas réalisable au niveau du poste client. Elle implique le lancement d’une machine virtuelle, puis l’analyse du fichier douteux ce qui nécessite plusieurs minutes d’attente avant de pouvoir ouvrir un fichier. Un délai aujourd’hui inacceptable pour les utilisateurs. Par contre, cette approche peut tout à fait être systématisée dans le Cloud et c’est ce que propose Trend Micro avec Cloud App Security. L’offre Saas inclut bien évidemment les fonctionnalités de protection traditionnelles, mais aussi ce sandboxing qui fait défaut à tant de solutions de sécurité.

L’une des forces de l’offre Cloud proposée par Trend Micro, c’est son fonctionnement « Cloud à Cloud ». Rien ne doit être installé sur le poste client, il n’est pas nécessaire d’effectuer de modification des MX (Mail eXchanger) pour rediriger les flux email vers une autre machine comme l’imposent bon nombre de solution de type Hosted EMail Security.

L’anti-virus reste bien évidemment nécessaire sur le poste client, il va permettre d’éliminer 90% des menaces et c’est devenu une commodity aujourd’hui. Par contre, le service Cloud va permettre de contrer ces codes malveillant qui mutent très rapidement afin de cibler une entreprise ou pourquoi pas une personne bien précise. Dans ce cas, les méthodologies traditionnelles ne fonctionnent plus.

Il est aujourd’hui nécessaire de passer d’un mode où on privilégie la seule protection à un mode plus proactif grâce à une plateforme qui va pouvoir décortiquer les codes malveillants et analyser leurs conséquences possibles.

 

diagram_cloud_app_security_with_google_drive

 

 

 

 

 

 

 

 

 

Un même service Cloud tel que Cloud App Security de Trend Micro permet de protéger les multiples comptes Cloud d’une même entreprise.

 

Trend-Micro-Cloud-App-Security-Configuration

 

 

 

 

 

Toute la configuration de Trend Micro Cloud App Security est automatisée, notamment le volet connexions aux différents services Cloud à protéger.

 

Trend-Micro-Cloud-App-Security-summary

 

 

 

 

 

 

Avec Trend Micro Cloud App Security, tout comme avec une solution de protection on-premise, l’administrateur dispose d’une interface pour gérer le niveau de sécurité de ses utilisateurs.

About The Author

Charles Gengembre

Manager BU Sécurité et Réseaux.

Recevez par mail les articles et actualités de Au coeur des InfrasJe m'inscris à la Newsletter