De nombreux utilisateurs considèrent OneDrive comme un stockage de sauvegarde dans le cloud. Ils ont tendance à penser que les fichiers stockés dans OneDrive sont invulnérables à la perte et à la corruption. En d’autres termes, certains pensent que les fichiers stockés dans un cloud public ne peuvent pas être endommagés par des logiciels de rançon, contrairement aux fichiers stockés sur des lecteurs de disque des ordinateurs locaux et des serveurs sur site. Ce n’est pas complètement vrai ! Les fichiers stockés dans OneDrive peuvent être attaqués par des logiciels de rançon, chiffrés et perdus par conséquent.
La popularité des attaques de logiciels de rançon augmente chaque année. Cependant, si vous suivez les recommandations et observez les politiques de sécurité, vous pouvez protéger vos données même en les stockant dans OneDrive. Cet article de blog couvre les stratégies pour protéger les données dans OneDrive et explique comment se protéger contre les attaques de logiciels de rançon.
À propos de OneDrive et des logiciels de rançon
Les logiciels de rançon peuvent-ils infecter OneDrive ? Oui, les fichiers stockés sur OneDrive peuvent être infectés et chiffrés avec des logiciels de rançon dans ces cas :
- OneDrive est monté sur un dossier local sur un ordinateur local, et les fichiers stockés dans OneDrive sont synchronisés avec le dossier local associé. Si un ordinateur local est infecté par des logiciels de rançon, les logiciels de rançon chiffrent tous les fichiers accessibles, y compris les fichiers stockés dans le dossier synchronisé avec OneDrive. En conséquence, si vous accédez à OneDrive via une interface web, vous voyez des fichiers chiffrés (en d’autres termes, corrompus). Les logiciels de rançon peuvent commencer à chiffrer OneDrive, puis les logiciels de rançon chiffrent d’autres lecteurs et tous les emplacements de stockage accessibles.
- Si un attaquant obtient vos informations d’identification, les fichiers accessibles à partir de votre compte utilisateur peuvent être chiffrés avec des logiciels de rançon.
- Cliquer sur des liens de phishing entraîne le téléchargement et l’exécution de virus, de logiciels malveillants et de rançongiciels sur l’ordinateur de la victime. Les rançongiciels corrompent les fichiers auxquels ils ont accès.
- Les modules complémentaires et extensions malveillants qui vous demandent de fournir des autorisations pour accéder à OneDrive sont dangereux et peuvent constituer des points d’entrée pour une infection par rançongiciel. Lisez attentivement la description des modules complémentaires et extensions, et vérifiez le fournisseur avant de les installer.
À quel point OneDrive est-il sûr ? OneDrive est-il sécurisé ? Quel est le niveau de sécurité de OneDrive ? Ces questions sont populaires parmi les nouveaux utilisateurs de Microsoft 365. OneDrive est suffisamment sûr et sécurisé. Cependant, vous devez savoir comment vous protéger contre les attaques par rançongiciel, suivre les recommandations de sécurité et savoir quoi faire si vous constatez que OneDrive a été piraté. Microsoft a présenté une nouvelle fonctionnalité de détection intégrée des rançongiciels, qui détecte les activités suspectes telles que les suppressions massives ou le chiffrement des fichiers stockés dans OneDrive. L’utilisateur est averti par un message d’alerte sur l’appareil utilisateur et par e-mail. Une liste de recommandations est également affichée. Mais ce que vous voulez, c’est éviter que les rançongiciels de OneDrive ne corrompent vos fichiers. Lisez comment protéger les dossiers contre les rançongiciels dans la section suivante de ce billet de blog.
Comment Protéger OneDrive Contre une Attaque par Rançongiciel
Dans cette section, j’explique comment se protéger contre les rançongiciels et définir des stratégies de protection contre les rançongiciels pour OneDrive. En suivant ces recommandations, vous réduisez le risque d’infection par rançongiciel et de perte de données.
Protéger les identifiants
Protégez les identifiants du compte administrateur Microsoft 365. En volant les identifiants d’un administrateur, un attaquant peut voler et endommager toutes les données d’une organisation stockées dans le stockage OneDrive (y compris toutes les données de tous les utilisateurs de l’organisation).
Protégez les identifiants des utilisateurs. Le vol des comptes des utilisateurs permet aux attaquants d’accéder à leurs données personnelles et partagées, de distribuer des rançongiciels et d’infecter des fichiers. Lorsque des fichiers stockés dans le stockage OneDrive partagé sont infectés, les autres utilisateurs qui accèdent au stockage partagé peuvent également être infectés.
Activez l’authentification à deux facteurs. Microsoft 365 prend en charge l’authentification multi-facteurs. Cette étape de sécurité supplémentaire peut aider les utilisateurs à protéger leurs comptes contre les compromissions et le vol de leurs identifiants. Il est recommandé d’utiliser l’authentification multi-facteurs ou la vérification en deux étapes pour protéger les comptes Microsoft 365 avec des permissions administratives. Voici un article de blog sur l’authentification à deux facteurs pour Microsoft 365.
Protégez chaque ordinateur
Protégez les ordinateurs de votre organisation. Installez et configurez un logiciel antivirus et antimalware. En suivant cette recommandation, vous réduisez le risque d’infection des ordinateurs des utilisateurs par des rançongiciels et des fichiers stockés dans des dossiers OneDrive synchronisés sur ces ordinateurs (stockage OneDrive mappé sur des dossiers locaux). N’oubliez pas les serveurs et les machines virtuelles.
Bloquez l’exécution des fichiers stockés dans %appdata%, %localappdata%. Par défaut, ces répertoires sont utilisés par les applications Windows pour stocker des données. Les fichiers temporaires et les données téléchargées peuvent y être situés. Lorsque des fichiers de ransomware sont téléchargés, ils peuvent être masqués et cachés dans ces dossiers, puis être exécutés.
Bloquez les macros dans les documents Microsoft Office. Les macros sont rarement utilisées pour des tâches professionnelles, mais elles sont une source de problèmes sérieux. Une méthode d’infection largement utilisée consiste à distribuer des documents avec des macros malveillantes, qui lancent une attaque de ransomware pour infecter un ordinateur, puis se propager sur un réseau pour infecter d’autres ordinateurs.
Mettez à jour les logiciels et installez les correctifs de sécurité pour corriger les vulnérabilités logicielles connues qui peuvent être exploitées par les ransomwares pour pénétrer et infecter un système. Vous pouvez activer les mises à jour automatiques des logiciels pour Windows et les applications. Si votre configuration de sécurité est imparfaite, les attaquants peuvent exploiter des vulnérabilités logicielles non corrigées pour lancer une attaque de ransomware. C’est pourquoi l’installation de correctifs est importante.
Éduquez les utilisateurs
Éduquez les utilisateurs pour reconnaître les attaques de phishing. Les attaquants présument souvent que les utilisateurs manquent d’expérience et qu’ils téléchargent tous les fichiers joints aux e-mails, ouvrent des fichiers et cliquent sur tous les liens. Notre tâche est d’informer les utilisateurs des menaces et de leur apprendre à identifier les contenus suspects.
Le vecteur d’attaque par ransomware le plus populaire consiste à envoyer des e-mails de phishing aux utilisateurs. Un lien malveillant est conçu pour ressembler à un lien légitime mais redirige l’utilisateur vers le téléchargement et l’installation de ransomware. Survolez le lien et vérifiez l’orthographe dans l’adresse URL. Même si un seul caractère est incorrect, évitez de cliquer sur le lien. L’adresse e-mail de l’expéditeur, tout comme les liens, peut être usurpée. Si vous ne connaissez pas l’expéditeur et ne souhaitez pas recevoir de messages de sa part, il est préférable de passer ou de rejeter l’e-mail de cet expéditeur. Ne téléchargez pas et n’ouvrez pas les fichiers joints aux messages électroniques. Souvenez-vous de la menace liée à l’ouverture de documents Word/Excel avec des macros.
Les liens nuisibles dans les messages électroniques et les fausses pages web sont dangereux. Les attaquants peuvent créer des pages falsifiées et envoyer des liens dans des messages électroniques vers ces fausses pages. Une fausse page ressemble à la page originale, mais cliquer sur des éléments de la page ou saisir des informations d’identification peut entraîner la perte d’un compte ou une infection par ransomware.
Même si l’adresse du site web est réelle et légitime, sachez que les attaquants peuvent pirater des sites web et y effectuer des injections malveillantes. Après avoir visité un tel site web, un utilisateur peut être infecté par ransomware. Un bon logiciel antivirus à jour peut prévenir l’infection dans ce cas.
Un attaquant peut utiliser des techniques d’ingénierie sociale et des étiquettes telles que « urgent », « important », etc. dans les messages électroniques pour presser une victime et détourner son attention du contenu. Soyez prudent lorsque vous recevez des messages de Skype et d’autres services. Gardez à l’esprit qu’un attaquant peut pirater un compte utilisateur et envoyer des messages à partir de ce compte. Un compte utilisateur est réel dans ce cas, mais un lien ou un fichier envoyé à partir du compte piraté peut constituer une menace.
Lorsque les utilisateurs sont formés pour reconnaître le contenu suspect, les risques d’une attaque par ransomware via des e-mails de phishing sont significativement plus faibles. Il est toujours préférable de prévenir les attaques par ransomware sur OneDrive plutôt que de récupérer des fichiers corrompus.
Utilisez des systèmes de protection des e-mails
Utilisez Exchange Online Protection. Cet outil natif de Microsoft 365 vous permet de configurer des filtres de protection supplémentaires, tels que le filtre des liens sûrs et le filtre des pièces jointes sûres.
Configurez des politiques anti-phishing. Exchange Online Protection peut déterminer les expéditeurs de confiance, les expéditeurs suspects, les fichiers joints constituant une menace, et les liens malveillants et de spoofing vers des sites infectés. Les expéditeurs de spoofing et les e-mails indésirables peuvent être bloqués dans les paramètres.
Bloquez le contenu actif dans les fichiers joints, comme les macros dans les documents Word/Excel, VBScript et JavaScript. Lisez le billet de blog sur Exchange Online Protection pour plus d’informations sur cette fonctionnalité.
Utilisez des systèmes de protection cloud
Activez Microsoft 365 Defender dans votre environnement Microsoft 365. Microsoft 365 Defender est le nouveau nom de la Protection avancée contre les menaces d’Office 365 (Microsoft Defender for Office 365). Cette fonctionnalité vous aide à réduire le risque d’infection par des rançongiciels pour les utilisateurs de Microsoft 365 dans votre organisation. Les principales caractéristiques de Microsoft 365 Defender sont la détection intelligente des menaces, l’investigation automatisée et la protection intégrée contre les attaques sophistiquées par rançongiciel. Microsoft 365 Defender peut être configuré dans le centre de sécurité Microsoft 365. Lorsque les utilisateurs sont bien informés et que des logiciels intelligents sont activés, le niveau de protection est bien plus élevé.
Utilisez la versionnage
Activez la versionnage (historique des versions) dans les paramètres de OneDrive. Si un rançongiciel chiffre des objets stockés dans OneDrive, seule la dernière version des fichiers est chiffrée. Vous pouvez sélectionner une version de fichier précédente et récupérer les fichiers nécessaires. N’oubliez pas qu’avant de récupérer des fichiers, vous devriez supprimer le rançongiciel des ordinateurs infectés pour éviter de rechiffrer les fichiers. Notez que récupérer des milliers de fichiers en récupérant des versions de fichiers précédentes est chronophage, et disposer d’une sauvegarde adéquate de OneDrive vous fera gagner du temps et des ressources dans ce cas. L’historique des versions de OneDrive vous permet de récupérer des fichiers stockés dans OneDrive à n’importe quelle version modifiée au cours des 30 derniers jours. Vérifiez les paramètres de rétention pour les fichiers supprimés (fichiers stockés dans la corbeille) pour OneDrive.
Configurez les stratégies de rétention. Les stratégies de rétention de Microsoft 365 déterminent pendant combien de temps les données sont conservées après leur suppression avant leur suppression définitive. Notez que le stockage des données conservées dans le cloud utilise de l’espace de stockage, ce qui peut entraîner des coûts supplémentaires.
Sauvegardez les données stockées dans OneDrive.
Sauvegardez les données stockées dans OneDrive. Certaines des options ci-dessus peuvent ne pas être disponibles pour tous les plans d’abonnement Microsoft 365 et sont probablement disponibles uniquement pour les plans d’abonnement les plus chers. Microsoft vous permet de demander un support et de restaurer toutes les données dans le stockage cloud Office 365 dans les deux semaines qui suivent un incident de perte de données, mais il n’existe pas d’option de récupération granulaire et vous ne pouvez pas sélectionner les objets à restaurer.
Stockez les sauvegardes dans le cloud ou sur site dans un endroit sûr. Un référentiel de sauvegarde doit être bien protégé et ne doit pas être partagé avec d’autres utilisateurs (il doit être accessible uniquement par les administrateurs et les logiciels de sauvegarde).
Sauvegardez les données avec NAKIVO Backup & Replication.
Utilisez NAKIVO Backup & Replication pour protéger OneDrive. NAKIVO Backup & Replication prend en charge la sauvegarde des données Microsoft 365, y compris les données résidant dans OneDrive, Exchange Online et SharePoint Online. Vous pouvez sauvegarder les données de OneDrive et créer jusqu’à 4 000 points de restauration, puis restaurer les versions nécessaires des fichiers en utilisant ces points de restauration. La récupération granulaire vous permet de récupérer des fichiers et des dossiers personnalisés des utilisateurs vers l’emplacement d’origine ou un emplacement personnalisé. Une instance de NAKIVO Backup & Replication peut protéger des milliers de comptes d’utilisateur Office 365. Les données de OneDrive sont sauvegardées dans des référentiels de sauvegarde sur site stockés sur des serveurs locaux. La configuration s’effectue dans l’interface Web intuitive.
Lire d’autres articles de blog sur la récupération après ransomware, les attaques de ransomware sur les dispositifs NAS pour en savoir plus sur le principe de fonctionnement et la protection contre les ransomwares.
Comment récupérer des fichiers OneDrive
Si vos fichiers ont été chiffrés par un ransomware, ne payez jamais de rançon. Payer une rançon incite les attaquants à lancer davantage d’attaques pour obtenir plus d’argent. Si vous payez la rançon, vous n’avez aucune garantie de récupérer vos fichiers entièrement ou partiellement. Si vous réalisez que vos fichiers OneDrive ont été chiffrés après une attaque par ransomware, vous devriez récupérer les données en utilisant les outils natifs de Microsoft ou à partir d’une sauvegarde à l’aide d’un logiciel de protection des données tiers.
Tout d’abord, supprimez le ransomware installé sur tous les ordinateurs de votre organisation. Si les fonctionnalités natives de Microsoft 365 sont activées pour les comptes d’utilisateurs de votre organisation, récupérez les fichiers OneDrive à partir de versions précédentes ou de la corbeille (y compris la corbeille de deuxième niveau). Si vous avez une sauvegarde, restaurez les données à partir de cette sauvegarde.
En savoir plus sur la sauvegarde et la récupération de OneDrive avec NAKIVO Backup & Replication dans cet article de blog.
Conclusion
Cet article de blog a couvert des stratégies pour protéger OneDrive contre les attaques de ransomware et a donné quelques recommandations de haut niveau qui peuvent vous aider à prévenir les attaques de ransomware sur OneDrive. Vous devez protéger vos données techniquement – configurer les paramètres de sécurité pour tous les logiciels utilisés sur toutes les machines et configurer votre sauvegarde de données. En plus de cela, vous devriez sensibiliser les utilisateurs sur la manière de reconnaître les tentatives possibles de lancer des attaques de ransomware car les attaquants utilisent souvent l’une des quelques méthodes pour démarrer des attaques de ransomware sur OneDrive via des utilisateurs réguliers.
La sauvegarde est la méthode la plus fiable pour restaurer les données si un ransomware corrompt vos fichiers. Utilisez NAKIVO Backup & Replication pour protéger vos données stockées dans OneDrive.
Source:
https://www.nakivo.com/blog/protecting-onedrive-against-ransomware/