Microsoft lance une fonction anti-ransomware — Est-ce trop peu ou trop tard ?

par | Sep 17, 2019 | Ransomware, Sécurité Office 365

microsoft-fonction-anti-ransomware-trop-peu-ou-trop-tard

Les attaques de ransomware se sont accentuées et deviennent la menace de sécurité réseau la plus reconnue dans le monde, et les fournisseurs de technologie ne cessent de publier un arsenal d’outils pour vous aider à les combattre. Un peu plus tôt cette année, Microsoft a pris l’initiative sans précédent de lancer la mise à jour (MS17-010) pour le système d’exploitation Windows XP. Bien que XP ne soit plus pris en charge, cette mise à jour a été publiée afin de remédier à une vulnérabilité qui pourrait permettre l’exécution de code à distance si un attaquant envoie des messages spécialement conçus à un serveur Microsoft Server Message Block 1.0 (SMBv1). Cette vulnérabilité connue est devenue plus tard le moyen utilisé par les pirates informatiques pour lancer les épidémies de WannaCry et Petya qui ont infecté des milliers d’appareils au cours des deux derniers mois.

Pas plus tard que la semaine dernière, Microsoft a annoncé la sortie d’une nouvelle fonctionnalité anti-ransomware pour son récent système d’exploitation Windows 10 Insider Preview Build (16232). La marque prévoit actuellement d’introduire cet outil, ainsi que d’autres fonctions de sécurité dans la prochaine mise à jour de Windows 10 Creator Update, dont la sortie est prévue à l’automne de cette année. Cet outil de lutte contre les malwares, appelé « Controlled Folder Access », est conçu pour empêcher les applications non autorisées de créer de nouveaux fichiers ou de modifier des fichiers existants qui sont stockés dans des dossiers jugés comme importants et « protégés ». Pour ce faire, la marque crée une liste blanche d’applications. Si l’application n’est pas dans la liste, Windows Defender bloque son exécution.

Cette fonctionnalité est similaire à celle d’AppLocker de Microsoft, laquelle est disponible depuis un certain nombre d’années pour certaines versions du système d’exploitation Windows, comme les éditions Enterprise et Education. Les listes blanches d’AppLocker peuvent être déployées par le biais d’une stratégie de groupe sur les périphériques dont les systèmes d’exploitation sont pris en charge. Ceux qui sont abonnés à Microsoft Intune peuvent importer des stratégies AppLocker dans l’interface de gestion Intune via un fichier XML. Avec l’accès contrôlé aux dossiers, la liste blanche des applications sera disponible pour tous les ordinateurs Windows 10 via le Centre de sécurité Windows Defender.

Pour accéder actuellement à cette fonction :

  • Allez dans le menu Démarrer et ouvrez le Centre de sécurité de Windows Defender,
  • Allez à la section Paramètres de protection contre les virus et les menaces,
  • Régler l’interrupteur sur On.

Ici, l’utilisateur peut également ajouter d’autres dossiers en plus des dossiers qui sont sélectionnés par défaut. Les dossiers par défaut sont ceux qui sont généralement ciblés par les ransomwares. L’an dernier, nous avons écrit un blog sur la façon dont il est possible de protéger ces dossiers contre la création de fichiers non autorisés en créant des politiques de restriction logicielle soit localement, soit par le biais d’une politique de groupe ou via un logiciel de gestion de système édité par Microsoft (SCCM).

Arrêter les ransomwares bien avant qu’ils arrivent au niveau du nœud final

Il existe un nombre croissant d’outils disponibles pour combattre les ransomwares au niveau du nœud final. Mais, en réalité, il est vital de les arrêter avant qu’ils n’atteignent le périphérique. Aussi répandus que soient aujourd’hui les ransomwares, il existe des mesures concrètes que vous pouvez prendre pour prévenir efficacement une attaque.

  1. La protection des e-mails est primordiale, car la messagerie électronique continue d’être le principal mécanisme de lancement de ransomwares. Les distributeurs de ransomwares utilisent des liens et des pièces jointes intégrés pour inciter les utilisateurs peu méfiants à cliquer dessus et à lancer des déploiements de malwares. Les solutions de sécurité pour systèmes de messagerie d’aujourd’hui doivent faire plus, plutôt que de bloquer simplement les spams. Une solution de sécurité de messagerie doit également bloquer et éradiquer les virus, les malwares, les pièces jointes infectées et les liens vers des sites web malveillants. Outre le fait d’empêcher les attaques de ransomwares, une solution de sécurité de messagerie protégera vos utilisateurs contre les attaques de phishing et les attaques BEC (Business E-mail Compromise).
  2. Filtrage web — Les utilisateurs peuvent télécharger par inadvertance un ransomware en visitant un site de lancement de malwares ou en naviguant simplement sur un site web piégé par des cybercriminels. De nombreux sites sont infectés par des fichiers d’installation de ransomwares qui y ont été déposés par des pirates. Une solution de filtrage web moderne protège les sessions Internet de vos utilisateurs de deux façons. Elle bloque d’abord l’accès aux sites malveillants ou infectés par des malwares connus. Ensuite, elle filtre tout le trafic web par le biais d’un antivirus passerelle.
  3. Correctifs et mises à jour — Il est impératif de maintenir vos systèmes d’exploitation, vos applications et vos navigateurs web patchés et à jour. Si les entreprises avaient simplement installé la mise à jour (MS17-010) sur ses périphériques Windows non pris en charge, elles auraient pu échapper aux dommages causés par WannaCry à de nombreux réseaux dotés de périphériques Windows. Il y a une raison pour laquelle les fournisseurs publient régulièrement des correctifs et des mises à jour pour leurs clients. De nouvelles menaces du type « zero-day » sont continuellement découvertes, forçant les développeurs à publier des correctifs pour les combattre le plus rapidement possible. Le patch et la mise à jour sont probablement les tâches de routine les plus importantes pour toute équipe informatique.
  4. Règle de sauvegarde 3-2-1 — La sauvegarde de vos données est une fonction critique dans la protection de vos données. Il est important de suivre les meilleures pratiques lors de l’exécution de sauvegardes régulières de vos données afin de vous assurer que vos sauvegardes peuvent être restaurées correctement si ce jour fatidique se réalise. La règle 3-2-1 se transcrit de la manière suivante :
  • Conservez 3 copies de vos données
  • Utilisez 2 types de médias pour les stocker
  • Gardez toujours 1 copie hors site

En suivant ce modèle éprouvé, vous pourrez restaurer rapidement les données corrompues ou perdues en cas de défaillance des disques durs, de reprise après sinistre et, bien entendu, d’attaque de malware.

Vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et vos appareils sensibles sont protégés ? Parlez à un de nos spécialistes ou envoyez-nous un e-mail à info@titanhq.fr pour toute question.