Il suffit d’un seul ordinateur mal protégé pour qu’un ransomware détruise toutes les données d’une entreprise. Le programme malicieux cible tous les documents à sa portée, sur le disque local comme sur les disques réseaux pour les crypter et les renommer. Tous les fichiers deviennent alors totalement inutilisables et bons pour la corbeille.
Cette mésaventure est arrivée récemment à une entreprise marocaine passée il y a peu à Google Drive pour la centralisation de ses données. Elle utilise des dossiers Drive Partagés qui permettent aux équipes de collaborer sans contrainte. Ces dossiers sont synchronisés localement grâce à Drive File Stream, ainsi les utilisateurs accèdent aux fichiers partagés de l’entreprise à travers leur disque G:\
Comment fonctionne Google Drive
Google Drive est une application de G Suite qui offre un stockage cloud illimité. Les fichiers peuvent être importés manuellement ou synchronisés automatiquement depuis le poste de travail. Ils sont ensuite partagés avec d’autres utilisateurs de Drive selon des niveaux d’accès personnalisables. Les données sont accessibles via une interface web mais Google propose également un outil de synchronisation Desktop innovant appelé Google Drive File Stream qui permet de streamer les éléments au fur et à mesure des besoins. Ainsi les fichiers cloud ne sont pas présents en permanence sur le disque dur de l’utilisateur et ne l’encombre pas, mais l’utilisateur accède de manière transparente à des Téraoctets de données via son disque G:
Récit de l’incident
Mardi 8 octobre en fin de journée, un poste est infecté par le ransomware Bora, apparu le jour même. Il se met à crypter et renommer tous les fichiers auxquels il a accès : les données présentent dans « Mes documents ainsi que les dossiers partagés sur le réseau. Les documents stockés dans le disque Google Drive File Stream G:/ ne sont pas épargnés. Ces fichiers n’étant pas malicieux – ce ne sont que des fichiers illisibles – ils sont normalement synchronisés en ligne après modification sur le cloud. En tout plus de 15.000 plans, notes de calculs, devis et autres documents représentant des mois de travail partent en fumée pendant la nuit.
Retour à la normal dans un délai record
Mercredi matin les premiers utilisateurs essayent d’accéder aux données et ils découvrent la catastrophe qui s’est produite pendant la nuit : plus aucun fichier n’est lisible. A la racine des dossiers, un fichier texte signe l’attaque et demande une rançon en bitcoins. Les utilisateurs identifient rapidement la station infectée via l’onglet Activités de Google Drive qui garde la trace de toutes les actions : c’est un même utilisateur qui a modifié et renommé tous les fichiers entre 16:00 et 23:00.
L’équipe technique Maroc Cloud est alors informée et intervient rapidement pour constater l’étendu des dommages. Notre expert constate alors que les anciennes versions des fichiers altérés sont toujours disponibles comme il s’y attendait.
Google Drive conserve automatiquement toutes les versions de tous les fichiers hébergés pendant 30 jours et 100 versions. Il est possible de consulter n’importe laquelle de ses versions et de revenir en arrière à sa guise.
L’expert programme alors la restauration à l’avant dernière version de tous les fichiers modifiés et renommés pendant la nuit. Cette opération est réalisée via l’API Google Drive qui permet un accès programmatique plutôt que d’intervenir manuellement. En quelques heures, tous les fichiers sont restaurés, sans aucune perte de données pour l’entreprise.