Que faire en cas d’attaque par ransomware (rançongiciel) ?

Un ransomware ou rançongiciel est un logiciel qui bloque l’accès à des données et qui réclament à la victime le paiement d’une rançon pour en rétablir l’accès. Nous traduisons ci-dessous les directives officielles à suivre en cas d’attaque par ransomware.

Le texte ci-dessous constitue la traduction en français des lignes directrices publiées par le Comité européen de la protection des données (CEPD) en cas d’attaque par ransomware.

Rançongiciel : les attaques d’exfiltration de données

Les attaques malveillantes, et notamment les attaque par ransomware, qui exploitent les vulnérabilités des services offerts par le responsable du traitement à des tiers sur internet, par exemple par le biais d’attaques par injection (par exemple, injection SQL, traversée de chemins), de compromission de sites web et d’autres méthodes similaires, peuvent ressembler à des attaques de type « rançongiciel » en ce sens que le risque découle de l’action d’un tiers non autorisé, mais ces attaques visent généralement à copier, exfiltrer et utiliser des données à caractère personnel à des fins malveillantes. Il s’agit donc principalement d’atteintes à la confidentialité et, éventuellement, à l’intégrité des données. Dans le même temps, si le responsable du traitement est conscient des caractéristiques de ce type de violation, il dispose de nombreuses mesures qui peuvent réduire considérablement le risque de réussite d’une attaque.

1. CAS n° 01: Exfiltration des données d’une demande d’emploi d’un site web

Une agence pour l’emploi a été victime d’une cyber-attaque, telle qu’une attaque par ransomware, qui a placé un code malveillant sur son site web. Ce code malveillant rendait accessibles à une ou plusieurs personnes non autorisées les informations personnelles soumises par le biais de formulaires de demande d’emploi en ligne et stockées sur le serveur web. Il est possible que 213 de tels formulaires soient affectés, mais après analyse des données concernées, il a été déterminé qu’aucune catégorie spéciale de données n’était touchée par la violation. La boîte à outils de logiciels malveillants installée possédait des fonctionnalités qui permettaient à l’attaquant de supprimer tout historique d’exfiltration et permettait également de surveiller le traitement sur le serveur et de capturer des données personnelles. La boîte à outils a été découverte un mois seulement après son installation.

A. Mesures préalables et évaluation des risques

La sécurité de l’environnement du responsable du traitement des données est extrêmement importante, car la majorité de ces violations peuvent être évitées en veillant à ce que tous les systèmes soient constamment mis à jour, à ce que les données sensibles soient cryptées à ce que les applications soient développées selon des normes de sécurité élevées, telles que l’authentification forte, les mesures contre les attaques par force brute, l' »échappement » ou la « désinfection « [1]des entrées utilisateur, etc. Des audits de sécurité informatique, des évaluations de la vulnérabilité et des tests de pénétration périodiques sont également nécessaires pour détecter ces types de vulnérabilités à l’avance et les corriger. Dans ce cas particulier, des outils de surveillance de l’intégrité des fichiers dans l’environnement de production auraient pu aider à détecter l’injection de code. (Une liste de mesures recommandées se trouve à la section 3.7).

Le responsable du traitement doit toujours commencer à enquêter sur la violation en identifiant le type d’attaque et ses méthodes, afin d’évaluer les mesures à prendre. Pour être rapide et efficace, le responsable du traitement doit disposer d’un plan de réponse aux incidents qui précise les mesures rapides et nécessaires pour prendre le contrôle de l’incident. Dans ce cas particulier, le type de violation a été un facteur d’augmentation du risque, car non seulement la confidentialité des données a été restreinte, mais l’infiltré avait également les moyens d’établir des changements dans le système, de sorte que l’intégrité des données a également été remise en question.

La nature, la sensibilité et le volume des données personnelles concernées par la violation doivent être évalués afin de déterminer dans quelle mesure la violation a affecté les personnes concernées. Bien qu’aucune catégorie particulière de données à caractère personnel n’ait été affectée, les données consultées contiennent une quantité considérable d’informations sur les personnes provenant des formulaires en ligne, et ces données pourraient être utilisées à mauvais escient de plusieurs façons (ciblage par des actions de marketing non sollicitées, vol d’identité, etc.), ainsi la sévérité des conséquences doit augmenter le risque pour les droits et libertés des personnes concernées[2].

[1] L’échappement ou la désinfection des entrées utilisateur est une forme de validation des entrées, qui garantit que seules des données correctement formatées sont saisies dans un système d’information.

[2] Pour des orientations sur les opérations de traitement « susceptibles d’entraîner un risque élevé« , voir la note de bas de page 1 ci-dessus.

B. Atténuation et obligations

Si possible, après avoir résolu le problème, la base de données doit être comparée à celle stockée dans une sauvegarde sécurisée. Les enseignements tirés de la violation doivent être utilisés pour mettre à jour l’infrastructure informatique. Le responsable du traitement des données doit remettre tous les systèmes informatiques concernés dans un état propre connu, remédier à la vulnérabilité, notamment la vulnérabilité liée à une attaque par ransomware, et mettre en œuvre de nouvelles mesures de sécurité pour éviter des violations de données similaires à l’avenir, par exemple des contrôles d’intégrité des fichiers et des audits de sécurité. Si les données à caractère personnel ont été non seulement exfiltrées, mais également supprimées, le responsable du traitement doit prendre des mesures systématiques pour récupérer les données à caractère personnel dans l’état où elles se trouvaient avant la violation. Il peut être nécessaire d’appliquer des sauvegardes complètes, des modifications incrémentielles, puis éventuellement de ré-exécuter le traitement depuis la dernière sauvegarde incrémentielle – ce qui suppose que le responsable du traitement soit en mesure de reproduire les modifications apportées depuis la dernière sauvegarde. Cela peut nécessiter que le responsable de traitement dispose d’un système conçu pour conserver les fichiers d’entrée quotidiens au cas où ils devraient être traités à nouveau, ce qui requiert une méthode de stockage robuste et une politique de conservation appropriée.

À la lumière de ce qui précède, étant donné que la violation est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, les personnes concernées doivent absolument en être informées (article 34(1)), ce qui signifie bien sûr que la ou les AC concernées doivent également être impliquées sous la forme d’une notification de violation de données. La documentation de la violation est obligatoire selon l’article 33(5) du RGPD et facilite l’évaluation de la situation.

2. CAS n° 02: Exfiltration d’un mot de passe haché d’un site web

Une vulnérabilité d’injection SQL a été exploitée pour accéder à la base de données du serveur d’un site web de cuisine. Les utilisateurs étaient uniquement autorisés à choisir des pseudonymes arbitraires comme noms d’utilisateur. L’utilisation d’adresses électroniques à cette fin était déconseillée. Les mots de passe stockés dans la base de données étaient hachés avec un algorithme fort et le sel n’a pas été compromis. Données affectées : mots de passe hachés de 1.200 utilisateurs. Par mesure de sécurité, le responsable du traitement a informé les personnes concernées de la violation par courrier électronique et leur a demandé de modifier leurs mots de passe, en particulier si le même mot de passe était utilisé pour d’autres services.

A. Mesures préalables et évaluation des risques

Dans ce cas particulier, la confidentialité des données est compromise, mais les mots de passe de la base de données ont été hachés à l’aide d’une méthode actualisée, ce qui diminue le risque lié à la nature, à la sensibilité et au volume des données personnelles. Ce cas ne présente aucun risque pour les droits et libertés des personnes concernées.

En outre, aucune information de contact (par exemple, des adresses électroniques ou des numéros de téléphone) des personnes concernées n’a été compromise, ce qui signifie qu’il n’y a pas de risque significatif pour les personnes concernées d’être visées par des tentatives de fraude (par exemple, la réception d’e-mails de hameçonnage ou de SMS et d’appels téléphoniques frauduleux). Aucune catégorie spéciale de données personnelles n’a été impliquée.

Certains noms d’utilisateur pourraient être considérés comme des données personnelles, mais le sujet du site web ne permet pas de connotations négatives. Il convient toutefois de noter que l’évaluation des risques peut changer[1] si le type de site web et les données auxquelles on accède peuvent révéler des catégories particulières de données à caractère personnel (par exemple, le site web d’un parti politique ou d’un syndicat). L’utilisation d’un cryptage de pointe pourrait atténuer les effets négatifs de la violation. En veillant à ce qu’un nombre limité de tentatives de connexion soit autorisé, on empêchera les attaques de connexion par force brute de réussir, ce qui réduira considérablement les risques imposés par des attaquants connaissant déjà les noms d’utilisateur.

[1] Pour des conseils sur les opérations de traitement « susceptibles d’entraîner un risque élevé« , voir la note de bas de page 1 ci-dessus.

B. Atténuation et obligations

Dans certains cas, la communication aux personnes concernées pourrait être considérée comme une circonstance atténuante, puisque les personnes concernées sont également en mesure de prendre les mesures nécessaires pour éviter tout dommage supplémentaire lié à la violation, par exemple en changeant leur mot de passe. Dans ce cas, la notification n’était pas obligatoire, mais dans de nombreux cas, elle peut être considérée comme une bonne pratique.

Le responsable du traitement des données doit corriger la vulnérabilité et mettre en œuvre de nouvelles mesures de sécurité pour éviter des violations de données similaires à l’avenir, comme, par exemple, des audits de sécurité systématiques du site web.

La violation doit être documentée conformément à l’article 33(5) mais aucune notification ou communication n’est nécessaire.

De même, il est fortement conseillé de communiquer aux personnes concernées une violation impliquant des mots de passe, même si les mots de passe ont été stockés en utilisant un hachage et salage avec un algorithme conforme à l’état de l’art. Il est préférable d’utiliser des méthodes d’authentification qui évitent de traiter les mots de passe du côté du serveur. Les personnes concernées devraient avoir le choix de prendre les mesures appropriées concernant leurs propres mots de passe.

3. CAS n° 03: Bourrage d’identifiants sur un site bancaire

Une banque a subi une cyber-attaque contre l’un de ses sites de banque en ligne. L’attaque visait à énumérer tous les identifiants de connexion possibles en utilisant un mot de passe trivial fixe. Les mots de passe sont composés de 8 chiffres. En raison d’une vulnérabilité du site web, dans certains cas, des informations concernant les personnes concernées (nom, prénom, sexe, date et lieu de naissance, code fiscal, codes d’identification de l’utilisateur) ont été divulguées à l’attaquant, même si le mot de passe utilisé n’était pas correct ou si le compte bancaire n’était plus actif. Environ 100.000 personnes concernées ont été touchées. Parmi celles-ci, l’attaquant a réussi à se connecter à environ 2.000 comptes qui utilisaient le mot de passe trivial essayé par l’attaquant. Après coup, le responsable du traitement a été en mesure d’identifier toutes les tentatives de connexion illégitimes. Le responsable du traitement a pu confirmer que, selon les contrôles antifraude, aucune transaction n’a été effectuée par ces comptes pendant l’attaque. La banque était consciente de la violation de données car son centre d’opérations de sécurité a détecté un nombre élevé de demandes de connexion dirigées vers le site web. En réponse, le responsable du traitement a désactivé la possibilité de se connecter au site web et a forcé la réinitialisation du mot de passe des comptes compromis. Le responsable du traitement n’a communiqué la violation qu’aux utilisateurs dont les comptes ont été compromis, c’est-à-dire aux utilisateurs dont les mots de passe ont été compromis ou dont les données ont été divulguées.

A. Mesures préalables et évaluation des risques

Il est important de mentionner que les responsables du traitement des données à caractère hautement personnel[1]ont une plus grande responsabilité en termes de sécurité des données, par exemple en disposant d’un centre d’opérations de sécurité et d’autres mesures de prévention, de détection et de réponse aux incidents. Le non-respect de ces normes plus strictes entraînera certainement des mesures plus graves lors de l’enquête de l’autorité de surveillance.

La violation concerne des données financières au-delà des informations d’identité et d’identification de l’utilisateur, ce qui la rend particulièrement grave. Le nombre de personnes touchées est élevé.

Le fait qu’une violation, telle qu’une attaque par ransomware, ait pu se produire dans un environnement aussi sensible met en évidence des failles importantes dans la sécurité des données du système du responsable du traitement, et peut être un indicateur du moment où l’examen et la mise à jour des mesures concernées sont « nécessaires » conformément aux articles 24(1), 25(1) et 32(1) du RGPD. Les données violées permettent l’identification unique des personnes concernées et contiennent d’autres informations à leur sujet (notamment le sexe, la date et le lieu de naissance), en outre, elles peuvent être utilisées par l’attaquant pour deviner les mots de passe des clients ou pour mener une campagne de hameçonnage ciblé dirigée vers les clients de la banque.

Pour ces raisons, la violation des données a été jugée susceptible d’entraîner un risque élevé pour les droits et libertés de toutes les personnes concernées[2]. Par conséquent, la survenance de dommages matériels (par exemple, une perte financière) et non matériels (par exemple, une usurpation d’identité ou une fraude) est un résultat envisageable.

[1] Telles que les informations des personnes concernées relatives aux méthodes de paiement telles que les numéros de carte, les comptes bancaires, le paiement en ligne, les salaires, les relevés bancaires, les études économiques ou toute autre information susceptible de révéler des informations économiques relatives aux personnes concernées.

[2] Pour des conseils sur les opérations de traitement « susceptibles d’entraîner un risque élevé« , voir la note de bas de page 1 ci-dessus.

B. Atténuation et obligations

Les mesures du responsable du traitement mentionnées dans la description du cas sont adéquates. À la suite de la violation, il a également corrigé la vulnérabilité du site web et pris d’autres mesures pour prévenir de futures violations de données similaires, telles que l’ajout d’une authentification à deux facteurs sur le site web concerné et le passage à une authentification forte du client.

La documentation de la violation conformément à l’article 33(5) du RGPD et la notification de l’AC à ce sujet ne sont pas facultatives dans ce scénario. En outre, le responsable du traitement doit notifier toutes les 100.000 personnes concernées (y compris les personnes concernées dont les comptes n’ont pas été compromis) conformément à l’article 34 du RGPD.

4. Mesures organisationnelles et techniques pour prévenir / atténuer les impacts des attaques de pirates informatiques, telles que les attaques par ransomware

Tout comme dans le cas des attaques par rançongiciel, quel que soit le résultat et les conséquences de l’attaque, l’évaluation de la sécurité informatique est obligatoire pour les responsables de traitement dans des cas similaires.

Mesures conseillées[1] :

(La liste des mesures suivantes n’est en aucun cas exclusive ou exhaustive. L’objectif est plutôt de fournir des idées de prévention et des solutions possibles. Chaque activité de traitement étant différente, c’est au responsable du traitement qu’il appartient de décider des mesures les plus adaptées à la situation donnée).

  • Le cryptage et gestion des clés à la pointe de la technologie, en particulier lorsque des mots de passe, des données sensibles ou financières sont traités. Le hachage et le salage cryptographiques des informations secrètes (mots de passe) sont toujours préférables au cryptage des mots de passe. L’utilisation de méthodes d’authentification évitant le traitement des mots de passe du côté du serveur est préférable.
  • La maintenance du système à jour (logiciels et micrologiciels). S’assurer que toutes les mesures de sécurité informatique sont en place, s’assurer de leur efficacité et les tenir régulièrement à jour lorsque le traitement ou les circonstances changent ou RGPD. Afin de pouvoir démontrer le respect de l’article 5 (1) f) conformément à l’article 5(2) du RGPD, le responsable du traitement doit tenir un registre de toutes les mises à jour effectuées, y compris le moment où elles ont été appliquées.
  • L’utilisation de méthodes d’authentification forte comme l’authentification à deux facteurs et les serveurs d’authentification, complétée par une politique de mot de passe actualisée.
  • Des normes de développement sécurisé comprennent le filtrage des entrées de l’utilisateur (en utilisant la liste blanche dans la mesure du possible),
  • L’échappement des entrées utilisateur et les mesures de prévention de la force brute (telles que la limitation du nombre maximal de tentatives). Les « Web Application Firewalls » peuvent aider à l’utilisation efficace de cette technique.
  • La mise en place d’une politique solide de gestion des privilèges des utilisateurs et du contrôle d’accès.
  • L’utilisation de systèmes de pare-feu, de détection des intrusions et d’autres systèmes de défense du périmètre appropriés, à jour, efficaces et intégrés.
  • Des audits systématiques de la sécurité informatique et évaluation des vulnérabilités (tests de pénétration).
  • Des examens et tests réguliers pour s’assurer que les sauvegardes peuvent être utilisées pour restaurer toute donnée dont l’intégrité ou la disponibilité a été affectée.
  • Pas d’ID de session dans l’URL en texte

[1] Pour le développement d’applications web sécurisées, voir également : https://www.owasp.org/index. php/Main_Page .

Vous pouvez demander un devis gratuit pour connaître le montant de nos prestations.

 

Deshoulières Avocats vous accompagne dans toutes les procédures liées aux violations de données personnelles.

DEMANDER UN DEVIS GRATUIT