Ransomware : tout ce qu’il faut savoir sur cette méthode de chantage

« Ransomware » correspond au terme générique employé pour désigner tout logiciel malveillant bloquant l’accès des utilisateurs à certains de leurs fichiers, voire à l’ensemble de leur système. Pour récupérer leurs données, ces derniers doivent accepter de payer une « rançon ».

Qu’est-ce qu’un ransomware ?

Un ransomware est un type de malware particulièrement redoutable et insidieux. Ce mot anglais contient le terme « rançon », car cette attaque a pour but d’extorquer de l’argent à la victime. Les cybercriminels prennent en « otage » des fichiers, voire l’ensemble du système d’exploitation. Pour ce faire, ils infiltrent un logiciel malveillant particulier sur l’ordinateur qu’ils projettent d’attaquer, pour en chiffrer certaines parties, de manière à ce que les victimes ne puissent plus y accéder. Pour récupérer leurs fichiers, ils reçoivent ensuite une demande de rançon ; ils doivent payer pour que leurs données soient restaurées. Ils ont alors deux possibilités : payer, ou chercher à supprimer le ransomware.

Les ransomware sont porteurs d’énormes dangers pour les entreprises comme pour les particuliers. Il est en effet possible de chiffrer, voire de détruire des fichiers sensibles. Seuls les cybercriminels ont accès aux données concernées par l’attaque, et celles-ci peuvent donc aussi être perdues en cas de tentative de sauvetage. Il ne faut jamais accéder aux demandes d’un cybercriminel. En effet, rien n’est garanti : même si vous le payez, il reste susceptible de détruire vos fichiers ou de les divulguer. Vous risquez aussi de passer pour une proie intéressante, et votre ordinateur pourrait donc devenir la cible d’autres attaques. Fort heureusement, de nombreuses solutions existent si vous souhaitez vous protéger d’une attaque par ransomware, spyware ou scareware.

Comment reconnaître une attaque par ransomware ?

S’il existe plusieurs types de ransomware, différents, la plupart d’entre eux sont très vite reconnaissables. Le cybercriminel a en effet tout intérêt à vous informer rapidement de la situation dans laquelle vous vous trouvez ; il espère ainsi que vous accèderez à ses demandes au plus tôt. La plupart du temps, vous recevez donc assez vite un message vous informant que vous êtes la cible d’une attaque par ransomware assorti d’un scénario de menaces. Vous êtes souvent informé que des fichiers sensibles ont été chiffrés, et qu’il ne tient qu’à vous de les récupérer. Un tel message s’accompagne généralement d’un compte à rebours, qui vous indique le temps qu’il vous reste pour répondre aux exigences du cybercriminel. Souvent, il convient d’utiliser le Bitcoin pour payer une telle « rançon ».

La victime peut donc accéder à la plateforme Bitcoin sélectionnée par le cybercriminel, mais la plupart des autres fonctions de son appareil sont bloquées. Si elle arrive encore à consulter les fichiers concernés, elle ne peut toutefois plus y accéder. Si de grandes parties de votre système viennent à être infectées, vous pourriez même ne plus avoir accès à votre propre bureau. Seuls les services nécessaires à la transaction restent alors disponibles. Si vous allez au bout de celle-ci, vous pouvez récupérer vos fichiers ; c’est du moins la promesse du cybercriminel. Pour reconnaître les fichiers concernés, étudiez tout changement de nom ou nouvelle extension. Si votre système devient plus lent ou tombe plus fréquemment en panne, cela peut également indiquer la présence d’un ransomware.

Comment se protéger contre les attaques par ransomware ?

Les ransomware n’ont de cesse d’évoluer, et il n’est donc pas possible de se protéger entièrement contre de telles attaques. Différentes possibilités s’offrent néanmoins à vous si vous voulez au moins compliquer la tâche des personnes souhaitant porter atteinte à votre système. Nous vous recommandons tout particulièrement de prendre les précautions suivantes :

• Des sauvegardes régulières : procédez régulièrement à des sauvegardes ou optez pour un système de sécurité capable de les réaliser pour vous automatiquement. Ainsi, vous pourrez sans problème accéder à une version plus ancienne de vos fichiers si vous êtes victime d’une attaque par ransomware.
• Des scans : utilisez un programme antivirus pour scanner à la fois votre réseau et votre système, et ainsi détecter tout éventuel ransomware et autre malware de manière anticipée. Dans de nombreux cas, vous pouvez donc empêcher toute propagation en amont, ou encore supprimer les logiciels malveillants.
• Beaucoup de prudence : ouvrez uniquement les fichiers dont vous connaissez l’expéditeur. Vérifiez, par exemple, si les e-mails que vous recevez contiennent des pièces jointes d’apparence douteuse, et regardez bien les extensions des différents fichiers. En ce qui concerne les supports de données externes tiers, comme les clés USB, connectez-les à votre appareil uniquement si leur source est fiable.

Exemples de ransomware

De nombreuses attaques par ransomware ont déjà eu lieu par le passé. Découvrez avec nous quelques exemples parmi les plus marquants. Malheureusement, au fur et à mesure que les systèmes de sécurité évoluent, il y a fort à parier que les ransomware vont eux aussi s’améliorer. Vous vous souvenez peut-être encore des affaires suivantes ?

• WannaCry : en 2017, le ransomware WannaCry a détecté et exploité une vulnérabilité dans Windows, attaquant ainsi plus de 230 000 ordinateurs dans au moins 150 pays. À l’époque, Microsoft avait déjà proposé un correctif pour remédier à cette faille, mais les anciens systèmes n’en restaient pas moins exposés. Au final, nombre d’organismes gouvernementaux, d’hôpitaux et de multinationales, parmi lesquelles l’entreprise française Renault en 2017, ont fait les frais de ce ransomware.
• Ryuk : un an plus tard environ, le ransomware Ryuk a également fait parler de lui, tout particulièrement aux États-Unis. Ce logiciel malveillant s’est lui aussi attaqué à des appareils Windows, en prenant surtout pour cible des victimes de haut niveau. Il lui a suffi d’extorquer des « rançons » pendant quelques mois pour parvenir à une somme astronomique, avec un butin à six chiffres. Ryuk a même pu être perfectionné, et il a continué à sévir pendant encore quelques années.
• BKA-Trojaner : le BKA-Trojaner était un genre de ransomware très répandu en Allemagne. Il était capable de bloquer entièrement les ordinateurs pris pour cible. Un message laissait par exemple entendre que des contenus illégaux avaient été détectés sur l’ordinateur concerné. L’utilisateur était alors sommé de payer une amende au BKA (Bundeskriminalamt, soit l’« Office fédéral de police criminelle »), pour que celui-ci mette un soi-disant terme à l’enquête. Le véritable BKA n’avait bien entendu rien à voir avec ce subterfuge. Malgré des messages truffés de fautes d’orthographe parfois évidentes, les cybercriminels ont réussi leur coup dans de nombreux cas. Une fois le paiement effectué par la victime à l’aide d’une carte prépayée, le système n’était bien souvent pas débloqué.