Protection contre les ransomwares dans le cloud : le versioning sauve tout
Le cloud ne vous protège pas des ransomwares. Je sais, c’est contre-intuitif. On imagine ses fichiers « dans le cloud » comme étant quelque part de sûr, hors d’atteinte des malwares locaux. Sauf que la synchronisation – cette fonctionnalité magique qui fait que vos fichiers sont identiques partout – est aussi le canal par lequel un ransomware se propage du local vers le cloud. Votre PC est infecté à 14h03, le ransomware chiffre vos documents à 14h04, le client de synchronisation détecte les modifications à 14h05, et à 14h06 votre cloud contient les mêmes fichiers chiffrés inutilisables que votre disque local. La section sécurité et chiffrement cloud couvre le cadre global de protection ; cet article traite du scénario que l’ANSSI qualifie de menace critique : le rançongiciel qui remonte dans le cloud.
La bonne nouvelle : si votre fournisseur cloud propose un versioning robuste (historique de versions des fichiers), vous pouvez revenir en arrière. Tous les fichiers chiffrés par le ransomware ont une version antérieure saine, et la restauration de masse permet de revenir à l’état pré-attaque. C’est le mécanisme de protection le plus efficace, et il est souvent inclus sans surcoût.
Le versioning est votre meilleur anti-ransomware
Le versioning (ou versionning, parce que l’Académie française n’a pas encore tranché et personne ne l’attend) conserve les versions précédentes de chaque fichier à chaque modification. Quand un ransomware modifie un fichier (en le chiffrant), le cloud enregistre cette modification comme une nouvelle version – mais la version précédente, celle qui était saine, reste accessible.
kDrive conserve les 100 dernières versions de chaque fichier, sans limite de durée (sur les plans payants). C’est largement suffisant pour couvrir un incident ransomware, puisque la version saine est simplement l’avant-dernière.
Google Drive conserve 100 versions par fichier, pendant 30 jours maximum. Passé ce délai, seules les versions « marquées » sont conservées. Si vous détectez le ransomware après 31 jours (ça arrive, notamment avec les fichiers rarement ouverts), les versions saines peuvent avoir disparu.
Dropbox propose un historique de versions de 30 jours (Basic/Plus) à 180 jours (Professional) et jusqu’à 10 ans (Business avec add-on Extended Version History). C’est l’un des meilleurs du marché sur ce critère.
OneDrive offre un historique de versions de 30 jours et une fonctionnalité spécifique de restauration après ransomware qui permet de revenir à un point dans le temps pour l’ensemble du OneDrive – pas fichier par fichier, mais en masse. C’est une fonctionnalité sous-estimée de Microsoft.
Le piège classique : un ransomware sophistiqué ne chiffre pas tout d’un coup. Il chiffre lentement, quelques fichiers par jour, pendant des semaines. Le but est de passer sous le radar et de s’assurer que les versions saines ont été purgées (puisque la rétention est souvent limitée à 30 jours) avant que la victime ne réalise ce qui se passe. Contre cette stratégie, seul un versioning à rétention longue (six mois ou plus) ou une sauvegarde externe immuable protège efficacement.
Restaurer après l’attaque : la procédure qui compte
La protection, c’est le versioning. La réponse, c’est la restauration post-attaque. Les deux vont ensemble – un versioning sans procédure de restauration testée est comme un extincteur sans mode d’emploi. Il faut savoir comment restaurer en masse (pas fichier par fichier quand on a 50 000 documents), comment identifier le point de restauration correct (le dernier moment avant l’infection), et comment s’assurer que le poste infecté est nettoyé avant de réactiver la synchronisation.
Les journaux d’accès détectent l’attaque en cours
Un ransomware qui chiffre des milliers de fichiers laisse une trace visible dans les journaux d’accès : des milliers de modifications en quelques minutes, souvent avec un changement d’extension systématique. Si votre fournisseur propose des alertes configurables sur les patterns d’activité anormale, c’est votre meilleur système de détection précoce. Google Workspace propose des alertes d’activité suspecte. Microsoft Defender for Cloud Apps intègre une détection de ransomware. kDrive ne propose pas d’alertes automatiques à ce stade, mais l’historique d’activité permet une investigation manuelle rapide.
Au-delà du versioning, la règle d’or reste le 3-2-1 : trois copies de vos données, sur deux types de supports différents, dont une hors site. Le cloud est une excellente copie hors site – à condition de ne pas être la seule copie. Un backup immuable (sur un service tiers comme Backblaze B2, Wasabi, ou un NAS local avec snapshots ZFS) est la meilleure assurance contre un ransomware qui toucherait à la fois votre poste local et votre cloud synchronisé.
Les ransomwares qui ciblent spécifiquement le cloud (en utilisant des tokens d’API volés pour accéder directement au cloud sans passer par la sync locale) existent mais restent rares. Le scénario dominant est la propagation via la synchronisation. Désactiver la synchronisation automatique dès qu’une infection est suspectée est le premier réflexe à avoir – avant de lancer un antivirus, avant de contacter le support, avant tout. Déconnectez le client de sync. Immédiatement. Chaque seconde de sync supplémentaire est un fichier supplémentaire potentiellement chiffré dans le cloud.
En résumé : votre cloud est aussi vulnérable au ransomware que votre poste local si la synchronisation est active et le versioning insuffisant. Vérifiez la durée de rétention des versions chez votre fournisseur, testez la restauration en masse avant d’en avoir besoin, et maintenez une sauvegarde immuable externe. Le ransomware est un problème de quand, pas de si.