Rançongiciels et fichiers Microsoft Office malveillants : comment se prémunir ?
Ces derniers mois il y a eu une augmentation très importante de deux types d’attaques virales pour lesquelles la plupart des anti-virus se révèlent inefficaces.
Nous allons ici volontairement occulter l’aspect sensibilisation des utilisateurs, qui consiste à tenter de réduire le risque. Nous cherchons ici à étudier ce qui peut être mis en place pour pouvoir traiter le sinistre efficacement dans le cas où il se produit.
Le premier type d’attaque est une série de rançongiciels déclenchant le chiffrement des fichiers, avec invitation à s’acquitter d’une rançon pour obtenir la clef de déchiffrement.
Dans le cas où l’anti-virus s’est révélé inefficace, la manière la plus efficiente de gérer ce risque est de disposer d’une stratégie de sauvegarde adaptée, avec en particulier :
- Capacité à restaurer rapidement les fichiers
- Prise en compte de la sécurité dans la restauration des fichiers
- Historique des versions de fichiers suffisamment important
Aujourd’hui le dispositif qui permet de gagner le plus de temps dans le traitement d’un tel sinistre est le système de cliché instantané directement sur le serveur.
Un autre élément-clef est l’isolement de certaines sauvegardes : par exemple, dans une stratégie de sauvegarde basée sur des NAS répartis sur des sites géographiques, il y a un risque que les serveurs ainsi que toutes les sauvegardes soient corrompus.
Il faut donc se méfier particulièrement :
- des NAS ne prenant pas en charge des dispositifs de clichés instantanés
- des stratégies de sauvegarde ne comprenant aucune sauvegarde sur médias amovibles
Le deuxième type d’attaque utilise des macros malveillantes dans des fichiers Microsoft Office envoyés par mail.
Quelles mesures mettre en place ?
1/ La première mesure préventive est de s’assurer que le système d’exploitation et les différents logiciels Office sont bien à jour, ainsi que l’anti-virus et le lecteur de PDF.
Pour ce faire, la méthode la plus rapide à mettre en œuvre est de déployer une stratégie de groupe forçant la programmation des mises à jour.
Dans un contexte d’économie de bande passante et de capacité à effectuer des tests avant le déploiement de mises à jour, un serveur WSUS pourra de plus être déployé.
2/ La seconde mesure préventive, c’est la désactivation de l’exécution automatique des macros dans Microsoft Office.
Facile à dire, mais est-il envisageable de passer sur tous les postes pour modifier ce paramètre ?
La solution est ici assez simple : il est possible de déployer ce paramétrage de manière automatique à l’aide des stratégies de groupe, sous réserve que l’on ait installé les modèles d’administration de stratégie de groupe associés à Office.
Quelques mots sur Windows 10
Le système d’exploitation de Microsoft pour les postes de travail passe directement de la version 8 à la version 10. L’explication communément admise est que l’éditeur veut marquer un changement de cap important : convergence des différentes plateformes (ordinateur de bureau, tablette, téléphone) et orientation vers des mises à jour au fil de l’eau (la version 10 serait donc la dernière…) avec tout de même en option des étapes de type service pack permettant de répondre au besoin des entreprises.
La date de sortie officielle de Windows 10 est le 29 juillet 2015. A compter de cette date, et pendant un an jusqu’au 29 juillet 2016, une mise à jour gratuite des postes Windows 7 et Windows 8 dans cette nouvelle version est offerte par Microsoft. Ces postes auront par la suite droit aux mises à jour pendant toute leur durée de vie.
Pour les nouveaux postes, il faudra s’acquitter d’une licence de la même manière qu’avec Windows 7 ou 8, typiquement en OEM lors de l’achat du poste.
Il est à noter que la configuration matérielle minimum de Windows 10 n’est pas très différente de celle de Windows 7.
Un menu démarrer semblable à Windows 7 sera par défaut dans la version ordinateur de bureau, le menu à base de tuiles étant par défaut sur les tablettes.
Bien entendu, comme lors de la sortie de tout système d’exploitation, ne pas se précipiter sur une migration : laisser passer au moins 6 mois pendant lesquels il faut se limiter à des tests ou des périmètres précis (comme le cas des tablettes à la sortie de Windows 8 par exemple).
Deuzzi conseille, copilote et met en œuvre la stratégie Système d’Information de ses clients et fournit clés en main les compétences, les méthodes et les outils qui renforceront dans la durée les performances des directions et services informatiques internes.
Deuzzi accompagne les RSI et DSI et les libère des contraintes techniques du quotidien pour valoriser leur activité sur la performance des outils mis à la disposition des métiers.
Deuzzi, c’est une équipe de 60 collaborateurs formés et dédiés à votre satisfaction, sur le quart Sud-Est de la France.
