Qu'est-ce qu'un ransomware et que doit-on savoir pour s'en protéger ?

 
Alors qu’on estime à plus d’un milliard le nombre de logiciels malveillants qui circulent sur Internet en quête de victimes vulnérables, un type de malware particulièrement vicieux génère des pertes financières et des problèmes de sécurité depuis des années.
Connu sous le nom de ransomware (ou rançongiciel en bon français), son seul but est de bloquer l’accès aux fichiers ou aux systèmes informatiques jusqu’à ce que la victime paie une rançon. Ces demandes de rançon varient énormément, de quelques centaines d’euros à plusieurs centaines de milliers.
 

Les ransomwares en bref

 
En termes simples, les ransomwares sont des logiciels malveillants qui empêchent les utilisateurs d’utiliser leurs appareils ou d’accéder à leurs fichiers personnels, sauf si une somme d’argent est versée. Le paiement est généralement exigé en crypto-monnaie, comme Monero ou Bitcoin. Les victimes sont invitées à acheter ces actifs numériques, puis à les transférer aux pirates.
Les ransomwares ont évolué au cours de la dernière décennie dans le but de cibler davantage de victimes, de générer d’énormes profits pour les cybercriminels et de rendre presque impossible la récupération des données à moins que la victime ne paie la rançon ou ne les récupère à partir de sauvegardes.
Bien que le chiffrement soit considéré comme un outil puissant pour assurer la confidentialité en ligne, en permettant à tout le monde de communiquer sans craindre que les autres n’écoutent, les développeurs de ransomware l’ont utilisé pour s’assurer que les fichiers infectés ne pourraient pas être utilisés. Certains mécanismes de chiffrement rendent impossible la récupération des données à moins que les pirates n’acceptent d’envoyer aux victimes une clé de déchiffrement, ouvrant ainsi l’accès au système affecté après le paiement de la rançon.
Imaginez que quelqu’un pénètre par effraction dans votre maison, trouve vos bijoux, les enfermer dans un coffre hermétique au milieu de votre maison, puis reparte avec la clé après avoir laissé une note de rançon. Si vous contactez le cambrioleur et payez la rançon, il vous donnera la clé pour déverrouiller le coffre et accéder à vos bijoux. Sinon, bonne chance pour ouvrir le coffre. Tous vos objets de valeur sont là, à côté de vous, mais vous ne pouvez plus les utiliser. Le ransomware agit de la même manière, sauf qu’il enferme vos fichiers et vos données.
Alors que les premières souches de ransomware étaient moins malveillantes et visaient à empêcher les utilisateurs d’accéder à leurs appareils en utilisant des bloqueurs d’écran (aucune donnée n’était chiffrée), les versions ultérieures – connues sous le nom de crypto-ransomwares – ont commencé à utiliser le chiffrement et diverses techniques pour vous interdire l’accès au stockage local de vos fichiers et même de vos sauvegardes dans le cloud. Certaines familles de crypto-ransomwares ont même généré l’équivalent de plus de 2 milliards de dollars de rançon payée en moins de deux ans d’activité.
D’autres familles de rançongiciels ont commencé à adopter l’extorsion comme autre tactique d’intimidation pour faire payer les victimes apeurées. Par exemple, avant que les pirates ne chiffrent réellement des données sensibles ou embarrassantes, ils les volent aux victimes et menacent de les exposer en ligne dans une campagne d’humiliation publique si la demande de rançon n’est pas satisfaite.
Enfin, les formes de rançongiciels les plus perturbantes sont connues sous le nom de chiffreurs de disque. Contrairement aux chiffreurs de fichiers, les chiffreurs de disque empêchent les utilisateurs de démarrer leur système d’exploitation car le ransomware tient l’intégralité du lecteur disque en otage.
 

Mécanisme de diffusion des ransomwares

 
Les e-mails restent l’un des mécanismes les plus utilisés pour diffuser des ransomwares. Que ce soit en incitant les victimes à cliquer sur des liens et à télécharger des fichiers infectés par des ransomwares, ou en joignant des documents vérolés qui se présentent comme des CV, des factures et d’autres types de fichiers, les spams représentent un grand nombre d’infections par ransomwares. Dès qu’une victime ouvre le fichier, un message s’affiche sur son bureau pour l’avertir que l’accès à ses fichiers a été restreint, ainsi que des instructions sur la façon d’acheter la clé de déchiffrement si elle souhaite récupérer ses fichiers.
Une autre technique utilisée par les pirates consiste à acheter de la publicité sur des sites web à fort trafic, puis à les utiliser pour exploiter des vulnérabilités non corrigées dans les navigateurs ou les extensions de navigateur. Lorsqu’une telle vulnérabilité est exploitée, le navigateur ou le plug-in se bloque et la charge utile du rançongiciel est automatiquement installée. De nombreux utilisateurs étant devenus réticents à ouvrir des pièces jointes ou à cliquer sur des liens de messagerie, cette méthode supprime toute interaction humaine ou ingénierie sociale en s’appuyant sur des vulnérabilités non corrigées.
Les cybercriminels fournissent également des rançongiciels en utilisant du contenu piraté, téléchargé par les victimes à partir de sites de torrent ou “warez”. Des utilisateurs sans méfiance téléchargent des fichiers se présentant comme des films, des jeux, des générateurs de clés et d’autres types de logiciels “craqués” sur leurs systèmes, les exécutent et, finalement, installent des ransomwares.
 

Comment rester à l’abri des ransomwares ?

 
Les ransomwares sont une activité très lucrative pour les cybercriminels, et ils investissent constamment dans de nouvelles façons d’infecter les victimes et rendent difficile le repérage par des solutions de sécurité. Cependant, il n’est pas impossible de vaincre les ransomwares. Les forces de l’ordre et les entreprises de cybersécurité travaillent ensemble depuis des années pour aider les victimes à récupérer leurs fichiers. Des initiatives telles que le site web nomoreransom.org peuvent aider les victimes de ransomware à récupérer leurs données, dans les cas où les forces de l’ordre ou les fournisseurs de solution de sécurité ont effectivement trouvé un moyen de déchiffrer les fichiers corrompus par des familles de ransomware spécifiques.
Avant de devoir recourir à ce site web, il est recommandé d’installer une solution de sécurité capable de détecter même les dernières familles de ransomwares grâce à l’utilisation de plusieurs couches de protection conçues pour détecter les logiciels malveillants à différentes étapes de l’attaque.
Il est aussi recommandé d’effectuer des sauvegardes régulières de vos fichiers et documents sensibles ou importants. Il est également nécessaire de conserver ces sauvegardes sur des périphériques de stockage non directement connectés ou détectables sur votre réseau, car les infections par ransomware recherchent généralement les périphériques de stockage connectés à votre ordinateur et les chiffrent également. En faisant cela, même si vous êtes infecté et perdez vos fichiers stockés localement, vous pouvez toujours récupérer une sauvegarde sans payer la rançon.
Les forces de l’ordre recommandent de ne pas céder aux demandes de rançon. Le paiement ne sert qu’à alimenter financièrement le développement de nouvelles familles de ransomwares plus sophistiqués, aide à financer d’autres activités cybercriminelles et, en fin de compte, légitime l’entreprise de ransomwares en la rendant rentable pour les cybercriminels.
Notez bien ! Il est important de toujours garder un œil sur les e-mails non sollicités, de mettre à jour en permanence tous vos logiciels et systèmes d’exploitation, d’installer une solution de sécurité qui comporte plusieurs couches de protection contre les ransomwares et de ne pas céder à l’extorsion.