Qu'est-ce qu'un Ransomware ?



Illustration ransomware

Un ransomware (ou rançongiciel en français) est un programme informatique malveillant qui consiste à empêcher un utilisateur d’accéder à ses données ou à une machine. Si ce dernier souhaite récupérer l’accès, il doit payer une rançon, verser une somme d’argent en crypto-monnaie ? (souvent en bitcoin). Le logiciel agit comme un kidnappeur lors d’une prise d’otage, il restituera les fichiers seulement si la rançon est versée.


La question que tout le monde se pose c’est comment un tel logiciel peut-il prendre en otage nos données ou systèmes ?

Tout d’abord, il faut comprendre comment un tel dispositif peut s’introduire sur nos réseaux ou systèmes. Les rançongiciels s’infiltrent sur les machines via des vulnérabilités (web ou système), ou par le biais de campagnes de mailing avec une pièce jointe contenant le rançongiciel. Si l’utilisateur ouvre la pièce jointe, le programme malveillant chiffre les données situées sur le disque dur de la machine et affiche un message, une demande de rançon, à l’utilisateur. Certains ransomwares ne chiffrent pas les données de leurs victimes mais limitent toutes les interactions de l’utilisateur avec le système. C’était le cas avec le programme WinLock, le rançongiciel affichait des images à caractère pornographique sur l’écran de la victime et lui demandait d’envoyer un message surtaxé (+8€) pour recevoir un code permettant de récupérer l’accès à sa machine.


Apparus en Russie, les rançongiciels se sont répandus partout dans le monde. Il n’est pas rare d’entendre la presse énumérer les méfaits causés par ce type de logiciel. Le nom de WannaCry vous dit peut-être quelque chose. Il s’agit du nom du rançongiciel qui est à l’origine du plus grand piratage avec rançon de l’histoire d’internet. Aussi connu sous le nom de WannaCrypt ou WannaCryptor 2.0, ce ransomware aurait fait plus de 300 000 victimes dans 150 pays. Le service public de santé britannique a été l'une des principales victimes avec 48 établissements impactés, dont plusieurs ont été obligés d'annuler ou de reporter des interventions médicales. La France n’a pas été épargnée : le constructeur Renault a vu ses lignes de production immobilisées pendant un jour sur son site de Douai. Parmi les victimes, on peut aussi citer la banque centrale russe, plusieurs ministères russes, le géant américain de livraison de colis FedEx ou encore la compagnie de télécom espagnole Telefónica.


Carte du monde wannacry

Si vous souhaitez connaître les détails techniques de ce logiciel malveillant je vous invite à consulter l’article "Wannakey, l'outil de décryptage de wannacry" rédigé par Samuel Campos, ingénieur en sécurité informatique chez HTTPCS.

Parmi les rançongiciels les plus connus, on peut aussi citer Petya (ou NotPetya). À l’origine, Petya est un ransomware open-source mais il a été modifié, d’où le terme « NotPetya ». Contrairement à WanaCrypt, Petya agit en deux temps. Tout d’abord, il chiffre une petite partie du disque dur qui contient tous les fichiers présents en mémoire, les rendant inutilisables. Dans un second temps, Petya s’attaque à la partie du disque dur qui permet de lancer le système d’exploitation. La finalité est d’empêcher l’ordinateur de la victime de démarrer sur l’OS (système d’exploitation) prévu. Une fois ces deux opérations terminées, un message apparaît sur l’ordinateur de la victime, demandant une rançon ($300), à payer en bitcoins, pour obtenir la clé de déchiffrement et ainsi récupérer l’accès à l’ordinateur.


Panneau danger Ransomware

Si vous êtes victime d’un ransomware, il ne faut surtout pas payer. En effet, même si la menace peut faire peur, vous n’avez aucune garantie concernant le déchiffrement de vos données. Par ailleurs, les données bancaires que vous saisissez pour vous acquitter du paiement peuvent être réutilisées par les développeurs à l’origine du ransomware.


La première chose à faire, en cas d’attaque, est de déconnecter sa machine du réseau : en passant par le panneau de configuration de votre système ou en débranchant directement le câble réseau. Si vous êtes connecté en WI-FI, pensez à le désactiver. Cela permettra d’éviter la propagation du malware. Suite aux attaques de masse, des outils sont publiés sur internet et permettent, dans certains cas, de récupérer vos données.


Comment se protéger contre les Ransomwares ?



La première chose à faire pour éviter d’être la victime de rançongiciels c’est de mettre à jour son ordinateur régulièrement. Il ne faut pas seulement mettre à jour le système d’exploitation mais également tous les logiciels de l’ordinateur, et en particulier les navigateurs web et les logiciels de messagerie. Il convient de ne pas oublier les plugins, notamment ceux liés à Java, à Flash ou aux PDF. Attention, ce n’est pas parce que vous êtes équipés d’un antivirus « dernière génération » que vous n’êtes pas vulnérables face aux rançongiciels.


Comment se protéger ?


Illustration cible ransomware

Bien souvent la faille provient d’une action effectuée par un être humain. Il est très important de ne pas cliquer sur les liens provenant de sources inconnues, ces derniers peuvent vous rediriger et vous faire exécuter un code malicieux. Il faut être encore plus vigilant lorsqu’il s’agit de liens ou de pièce jointe envoyés par mail. Il est primordial de s’assurer de l’identité de l’envoyeur. La meilleure solution est d’éditer le code source du mail et de regarder la ligne contenant l’expéditeur (Received).


Il ne faut pas oublier les bonnes pratiques : réaliser des sauvegardes de son travail sur des disques durs externes ou sur des serveurs sécurisés. Ne pas négliger la règle du 3-2-1 : 3 copies de vos données au moins, 2 supports différents, 1 sauvegarde hors site.


Cependant, la meilleure solution est faire de la veille sectorielle autour de la sécurité informatique, afin de se tenir informé des dernières actualités et d’adopter une démarche proactive en cas de problème.