MA première cyberattaque

Jeudi 3 Janvier : cette journée marque la fin des vacances et le retour au bureau pour une poignée de salariés. Passées les bises et les bons vœux, il faut se résoudre à reprendre son poste. Pourtant, depuis quelques heures, se propage dans les murs un ennemi invisible, silencieux et sournois : un ransomware ! Récit d’une histoire vraie...

Nota Bene : Par souci de confidentialité, les lieux et noms des intervenants ont été modifiés.

6h11 : Une charge explose silencieusement dans le serveur de l’entreprise : un ramsomware. Sa mission ? Crypter l’intégralité des données qu’il trouve sur sa route !

8h30 : Loin d’imaginer la catastrophe qui se dessine, les salariés arrivent au compte-goutte, allument leur PC, connectent leur smartphone au wifi, etc... avant de se rendre à la machine à café.

9h05 : Loin d’imaginer le mal qui gravit les étages, j’arrive à mon tour. Passés les us et coutumes du début d’année, je me mets doucement à la tâche, isolé dans mon bureau.

10h : Près de 4h après l’explosion, Sandy, assistante commerciale, tente d’ouvrir désespérément son fichier de travail stocké sur le serveur « Fichier_client.xls.FORREST ».

10h20 : Tiraillée entre agacement et désespoir, Sandy décide d’appeler la hotline de notre prestataire informatique de proximité, CERFA, pour qu’il lui vienne en aide.

10h22 : Benoit, jeune technicien hotline prend le contrôle à distance du PC de Sandy. Tel un vaillant chevalier, il décide de voler à son secours : ce fichier ne lui résistera point ! Ni une ni deux, il décide d’ouvrir à distance la première sauvegarde pour récupérer le fichier tant désiré. Ouf, grâce à lui, Sandy peut à nouveau travailler… mais pour combien de temps.

12h30 : Alors que le mal se propage désormais dans la sauvegarde fraîchement ouverte, nous déjeunons tranquillement dans la salle de repos. « Qu’as-tu fait pour le réveillon ? », « tu es parti quelques jours au ski ? »… mais pas un mot sur cet ennemi sournois.

15h20 : Seul dans mon bureau, mes oreilles baladeuses entendent alors « Il y a un problème sur le réseau, on n’arrive pas à ouvrir des fichiers ». Technophile averti, il n’en fallait pas plus pour attiser ma curiosité. Je parcours le serveur et constate que les extensions des fichiers ont été modifiées. Le fichier « photo_equipe.jpeg » s’appelle désormais « photo_equipe.jpeg.FORREST ». A ce moment-là, mon sang ne fait qu’un tour ! Je sais ce qui peut générer une telle modification. Pour confirmer mes doutes, direction internet et quelques forums peu fréquentables. La sentence tombe : l’extension FORREST est le fruit d’un ransomware !

Le poteau rose découvert, je m’en vais sonder mes collègues pour découvrir qui sait quoi. Sandy m’explique alors sereinement qu’un fichier ne s’ouvrait pas ce matin, que la hotline est intervenue, mais qu’à nouveaux des fichiers refusent de s’ouvrir.

15h30 : Tel un guépard, je bondit au secrétariat demander la mise en relation avec la hotline. Au bout du fil, le chevalier Benoit. Sans tergiverser je lui lance « vous être au courant qu’il y a un ransomware sur notre serveur ? ». Le chevalier tombe alors de son cheval et avoue timidement « oui je m’en suis rendu compte ». Il m’indique que cela fait plusieurs heures qu’il tente d’accéder, en vain, à notre serveur pour le déconnecter. A mes questions « avez-vous un protocole en cas de cyberattaque ? », « avez-vous déjà eu affaire à telle situation ? » ses réponses sont tout aussi glaçantes : « non ».

A ce moment-là de l’histoire, deux écoles de pensée s’opposent.

La première consiste à laisser faire l’attaquant pour récolter des preuves sur son identité et/ou intentions. La seconde, fataliste mais pragmatique, consiste à dire que peu importe qui attaque et pourquoi ! La priorité absolue est alors de sécuriser les biens immatériels de l’entreprise pour limiter la casse.

Résolu à appliquer ce second précepte, direction la salle serveur pour débrancher l’alimentation générale. Et parce que le mal est désormais dans les câbles réseaux comme sur les ondes wifi, direction les étages pour ordonner le débranchement de tous les équipements connectés. Quid du télétravail ? Celui-ci fait déjà parti de notre mode de fonctionnement. Mais là encore, ce qui ne devrait être qu’une formalité devient un parcours du combattant. Comment contacter en urgence les salariés pour savoir qui s’est connecté au serveur et qui, potentiellement, a été contaminé. Telle une pyramide de Ponzi, 2 salariés tentent de joindre les absents qui à leur tour tentent de contacter celles et ceux dont les coordonnées sont inconnues du secrétariat.

15h55 : Hugues, le Directeur de l’entreprise arrive le regard froid et les yeux plissés. Pensant en mon fort intérieur qu’il a été informé de la situation, je lui demande naïvement « êtes-vous au courant que nous subissons une cyberattaque ? ». A ma grande surprise, il me lance un grand « non » et monte, comme si de rien n’était, dans sa tour d’ivoire. A ce moment précis, je me demande où est le plus grand danger : l’incompétence de la hotline ou le manque de discernement de la direction. Aujourd’hui encore je ne sais y répondre.

16h05 : Je rappelle Benoit de la Hotline, lui explique avoir pris en main les opérations et lui demande de nous envoyer un technicien pour redémarrer au plus vite l’activité. « Désolé, mais je n’ai personne de disponible avant demain matin » m’annonce-t-il. Je comprends tout à fait qu’au lendemain du nouvel an, CERFA puisse être en sous-effectif et acquiesce le fait que nous ne pourrons rien faire avant vendredi matin.

Sur ce constat, je m’empresse de monter dans la tour d’ivoire annoncer la nouvelle à Hugues. A ma grande surprise, je le trouve en pleine lecture des Echos. Surpris par la situation je lui indique que tout le réseau informatique et à l’arrêt et qu’un technicien arrivera vendredi matin. Sans nul doute concentré sur l’évolution de ses placements financiers, il me lâche « très bien, à demain alors ». Conscient de son aversion pour tout ce qui touche de près ou de loin au numérique, je n’en demeure pas moins pantois. Mais que faire, que dire ? Je ne suis qu’un simple employé parmi tant d’autres.

Vendredi 4 Janvier / 8h45 : J’arrive sur mon lieu de travail en sachant pertinemment que cette journée sera spéciale. « Quelle est l’étendue des dégâts », « combien de temps faudra-t-il pour revenir à une activité normale »… toutes ces questions gambadent dans ma tête.

9h : Le technicien CERFA arrive ! C’est Patrick, la cinquantaine, notre technicien attitré. Il intervient toutes les 2 semaines pour réparer les petits soucis informatiques de chacun. Il connait donc bien l’entreprise et son réseau. D’un air joyeux et décontracté d’usage à cette période de l’année, il me demande « alors, quel est le problème ? ». D’un regard interrogatif, je lui réplique « êtes-vous au courant que nous avons eu une cyberattaque ? ». Son silence en dit long. Tout comme son collègue Benoit, il n’a pas de protocole à suivre et n’est d’ailleurs jamais intervenu sur tel incident.

Deux techniciens non aguerris à ce genre de situation, cela fait beaucoup pour un prestataire qui se vante de travailler pour le secteur du nucléaire.

Dès sa première prise en main de la souris, je comprends qu’au-delà d’être dépassé par la situation il ne sait tout simplement pas comment procéder. Journaux des logs, investigation FORENSIC, backup externalisée des preuves, segmentation du réseau, test des sauvegardes, etc… je l’ai déjà perdu !

Face à ce constat consternant, je décide de mettre à profit mes connaissances pour coacher Patrick.

Loin d’être aujourd’hui un expert en informatique ou en cybersécurité, j’ai cependant un avantage certain. Celui d’avoir moi-même été dans la position de cyberattaquant au début d’internet et de toujours m’être tenu à jour sur l’état de l’art.

Au fur et à mesure de son travail, les constats s’enchainent. L’intégralité du serveur est crypté, une première sauvegarde aussi, la seconde ouverte par Benoit l’est également, une troisième est inexploitable. Ne reste plus qu’une quatrième sauvegarde faite 15 jours avant les vacances et qui semble fonctionner.

11h15 : Hugues le directeur arrive enfin. Grâce aux premières constatations, le verdict tombe : une petite partie des données est définitivement perdue et il faudra une bonne semaine avant de reprendre une activité normale. Effaré, il sort enfin de ses gonds et lance « ce n’est pas possible, tout le monde doit reprendre le travail lundi ». Toujours conscient de son aversion pour la chose numérique et quelque peu excédé par ce manque de discernement, je lui explique que nous n’avons pas le choix car le pirate est sans doute encore dans les murs, terré quelque part.

15h30 : La pyramide de Ponzi se remet en route. Objectif : informer les salariés que les bureaux seront inaccessibles jusqu’à nouvel ordre et demander à chacun de me faire remonter toute anomalie sur son poste de travail.

Lundi, mardi, mercredi, jeudi…. les jours passent et le réseau reprend petit à petit des couleurs.

Vendredi 11 Janvier : 8 jours après l’attaque, les salariés sont autorisés à revenir pour reprendre une activité normale.

L’enquête révèlera que le pirate a exploité une porte dérobée laissée ouverte sur le serveur par Patrick il y a quelques mois. Vol et recel des données, surveillance des communications, motivations du pirate… rien ne permettra de confirmer ou infirmer, trop de données ayant été cryptées.

Morale de l’histoire : au-delà du fait qu’un prestataire informatique puisse ne pas être préparé à ce type d’événement, le premier maillon de la chaîne se situe toujours entre la chaise est le clavier !

Seule une sensibilisation régulière permet aux salariés de déceler les situations à risques et ainsi donner l’alerte.

Et comme pour un accident de la vie, chaque minute compte pour la survie d’une entreprise !

Vous souhaitez être prêt(e) à affronter une cyberattaque ? Formez-vous grâce à notre atelier de sensibilisation-formation en cybersécurité ou bien encore nos webinaires inter-entreprises.