ransowmare tout savoir guide complet

Ransomware : qu’est ce qu’un rançongiciel et comment s’en protéger ?

Les ransomwares ou rançongiciels comptent parmi les logiciels malveillants les plus redoutables, et sont considérés comme l’une des plus grandes menaces en cybersécurité. Découvrez tout ce que vous devez savoir : définition, fonctionnement, histoire, statistiques, exemples connus, comment s’en protéger…

Dans le domaine de la cybersécurité, les ransomware ou rançongiciels représentent aujourd’hui l’une des menaces les plus redoutables. De plus en plus utilisés par les hackers et les cybercriminels, ces logiciels malveillants d’un genre nouveau peuvent paralyser un système informatique jusqu’à ce que l’utilisateur paye une rançon…

Qu’est-ce qu’un ransomware ?

Un ransomware (ransom malware) ou rançongiciel en français est un type de malware. Lorsqu’il infecte un ordinateur, il empêche les utilisateurs d’accéder au système ou à leurs fichiers personnels. Le paiement d’une rançon est alors exigé pour déverrouiller l’accès.

Les premiers ransomwares furent développés à la fin des années 1980. Les rançons devaient être envoyées par courrier postal.

De nos jours, il est toutefois possible de payer par carte bancaire. Avec l’émergence des cryptomonnaies comme le Bitcoin, offrant l’anonymat aux cybercriminels, les rançongiciels connaissent un véritable essor depuis maintenant plusieurs années.

L’histoire des ransomwares

Le premier ransomware fut créé à la fin des années 1980. Intitulé ” PC Cyborg “, ce malgiciel était capable de chiffrer tous les fichiers du répertoire C: après 90 redémarrages. Les victimes étaient ensuite invitées à ” renouveler une licence ” en envoyant 189 dollars par courrier à PC Cyborg Corp.

Toutefois, le système de chiffrement utilisé était relativement simple à contourner. Pour une personne expérimentée en informatique, ce malware ne représentait donc pas une menace sérieuse.

En 1989, le biologiste Joseph Popp distribue 20 000 disquettes intitulées ” AIDS Information – Introductory Diskettes ” à des chercheurs lors d’une conférence sur le sida organisée par l’OMS. En réalité, ces disquettes contenaient le cheval de Troie PC Cyborg.

Au fil de la décennie suivante, plusieurs variantes de PC Cyborg firent leur apparition. Il fallut toutefois attendre 2004 pour qu’un véritable ransomware fasse son apparition. Le GpCOde utilisait un chiffrement RSA sur les fichiers.

Puis, en 2007, WinLock marqua l’avènement d’un nouveau genre de ransomware. Plutôt que de chiffrer les fichiers, ce malgiciel verrouillait aux ordinateurs. Des images pornographiques étaient affichées sur l’écran de la victime, et un paiement par SMS était exigé.

En 2012, la famille de ransomwares Reveton fut la première à usurper l’identité des autorités pour pousser la victime à payer. L’ordinateur était verrouillé, et une page imitant le site officiel d’agences comme le FBI ou Interpol apparaissait.

La victime était accusée d’avoir commis un crime, tel qu’un piratage ou une cyberattaque. Elle devait alors payer une amende allant de 100 $ à 3000 $ à l’aide d’une carte prépayée de type UKash ou PaySafeCard.

Beaucoup de victimes se laissaient piéger, pensant réellement faire l’objet d’une enquête par les autorités. Cette technique d’ingénierie sociale fonctionnait très bien, puisque certains internautes effectivement coupables d’activités illégales préféraient payer que de voir leurs agissements exposés au grand jour…

En 2013, CryptoLocker marqua le retour en force des ransomwares de chiffrement. Ce malware utilisait un système de chiffrement de grade militaire, et stockait la clé requise pour déverrouiller l’accès aux fichiers sur un serveur distant.

Il était donc impossible pour les utilisateurs de récupérer leurs données sans payer la rançon. Ce type de rançongiciel est encore couramment utilisé de nos jours, car il s’avère extrêmement efficace. En guise d’exemples bien connus, on peut citer WannaCry et Petya qui ont fait trembler toute la planète en 2017.

Fin 2018, le ransomware Ryuk a marqué les esprits avec des attaques sur les médias et les services publics américains. Les systèmes pris pour cible étaient d’abord infectés par des chevaux de Troie comme Emotet et TrickBot, puis par d’autres malwares comme Ryuk. Les Trojans servaient à consulter les données des victimes, afin de repérer les meilleures cibles pour un ransomware.

Depuis 2019, les cybercriminels utilisent les fournisseurs de services gérés pour propager des ransomwares. On peut citer par exemple Sodinokibi qui a paralysé les systèmes informatiques de centaines de cabinets dentaires aux États-Unis via un logiciel d’enregistrements médicaux détourné.

Comment fonctionne un ransomware ?

Le fonctionnement d’un ransomware repose généralement sur cinq étapes. Dans un premier temps, le système informatique de la victime est compromis par un malware par le biais d’un lien piégé ou d’une pièce jointe. L’utilisateur est incité à télécharger le fichier, souvent via des techniques d’ingénierie sociale.

Dans un second temps, le malware prend le contrôle du système. Plusieurs types de fichiers sont chiffrés, et l’utilisateur ne peut plus y accéder.

La victime est informée, généralement par une notification sur son écran, qu’elle est touchée par un ransomware et qu’elle doit payer une rançon pour retrouver l’accès à son système. Le processus permettant de payer la rançon est détaillé.

L’étape suivante (théorique) est le paiement de la rançon par la victime. Dans la majorité des cas, les cybercriminels laissent alors cette dernière récupérer l’accès à son système et désactivent le chiffrement des fichiers.

Concrètement, rien n’oblige les criminels à lever le chiffrement. Toutefois, s’ils ne tiennent pas leurs promesses, il est probable que les victimes refusent de plus en plus de payer la rançon et choisissent à la place d’abandonner leurs données.

Comment attrape-t-on un ransomware ?

Un ransomware peut infecter votre ordinateur de différentes manières. L’une des méthodes les plus couramment employées par les hackers est celle du spam malveillant, aussi appelé malspam.

Cette technique consiste à envoyer un email pour déployer un malware. Le courrier électronique peut contenir une pièce jointe inoffensive en apparence, contenant en réalité le ransomware. Il peut aussi contenir un lien menant vers un site web piégé.

Pour conduire les destinataires à ouvrir leurs spams, les criminels utilisent l’ingénierie sociale. Les emails semblent a priori légitimes, usurpant l’identité d’un ami proche ou d’une institution connue. Les hackers peuvent même se faire passer pour la police ou autre autorité pour intimider la victime et mieux la contraindre à payer la rançon.

Depuis quelques années, une autre méthode très utilisée est celle du ” malvertising ” ou publicité malveillante. Elle consiste à utiliser la publicité en ligne pour distribuer un malware sans même avoir besoin d’une interaction de la proie.

Alors que l’internaute navigue sur le web, une publicité malveillante peut le rediriger vers le serveur d’un criminel sans même qu’il clique dessus. Ce serveur collecte ensuite des données sur l’ordinateur de la cible et son emplacement afin de choisir le malware le plus adéquat…

Les différents types de ransomware

Il existe plusieurs types de ransomwares différents. On distingue trois catégories principales.

Le ” Scareware ” consiste à exploiter la peur de la victime. Il s’agit par exemple d’un pop-up annonçant qu’un malware a été découvert sur l’ordinateur, et que le seul moyen de s’en défaire est de payer une rançon.

En réalité, le système n’a pas été compromis. Les fichiers ne sont pas en danger, et l’accès à l’ordinateur n’est pas verrouillé. Si l’utilisateur ne paye pas, il risque simplement d’être assailli par les pop-ups.

En revanche, un ransomware de type ” screen locker “ peut paralyser un ordinateur entièrement. Dès que l’ordinateur s’allume, une fenêtre s’ouvre en plein écran. Un message annonce que l’ordinateur est verrouillé et qu’une rançon doit être payée.

Enfin, les ransomwares de chiffrement sont capables de chiffrer tous les fichiers stockés sur l’ordinateur. Pour désactiver ce chiffrement, la victime doit payer une rançon. C’est la catégorie de rançongiciels la plus dangereuse, car aucun logiciel de sécurité ne permet de récupérer les fichiers chiffrés.

Même en restaurant le système, les fichiers seront perdus à tout jamais. La seule solution semble alors a priori de payer la rançon demandée. Et même en coopérant de la sorte, il n’y a aucune garantie que les criminels désactiveront réellement le chiffrement…

Les ransomwares les plus connus

Il existe des milliers de souches de ransomwares différentes. Voici quelques-uns des plus connus.

WannaCry

Le rançongiciel WannaCry exploite une vulnérabilité du protocole SMV de Windows. Son mécanisme d’auto-propagation lui permet d’infecter d’autres machines.

Ce malware est empaqueté comme un ” dropper “ : un programme auto-contenu capable d’extraire l’application de chiffrement et de déchiffrement, les fichiers contenant les clés de chiffrement, et le programme de communication Tor.

Bien qu’il soit relativement facile à détecter et à supprimer, WannaCry s’est rapidement propagé dans 150 pays en 2017. Il a infecté plus de 230 000 ordinateurs en quelques mois, pour un total de 4 milliards de dollars de dégâts.

Cerber

La particularité de Cerber est qu’il s’agit d’un ” ransomware en tant que service ” (RaaS). Via les forums et marchés du Dark Web, il est mis à disposition des cybercriminels qui peuvent ainsi facilement mener des attaques. Ils partagent ensuite leurs gains avec le développeur du malware.

Cerber s’exécute en toute discrétion tandis qu’il chiffre les fichiers, ce qui peut empêcher les antivirus et les fonctionnalités de sécurité de Windows de fonctionner. Par conséquent, les utilisateurs ne sont pas en mesure de restaurer le système. Lorsque les fichiers sont chiffrés, une note de rançon apparaît sur le fond d’écran du bureau de la victime.

Locky

Le ransomware Locky est capable de chiffrer 160 types de fichiers différents. Il peut notamment crypter les fichiers utilisés par les designers, les ingénieurs et les testeurs.

Ce rançongiciel fut découvert pour la première fois en 2016, principalement distribué par des kits d’exploitation ou des techniques de phishing. Les cybercriminels envoyaient des emails encourageant l’utilisateur à ouvrir un fichier Excel ou Microsoft Office Word, ou encore un fichier ZIP installant le logiciel dès son extraction.

Cryptolocker

Lancé en 2017, Cryptolocker a contaminé plus de 500 000 ordinateurs. Son principal mode d’infection passe par les emails, les sites de partage de fichiers ou encore les téléchargements non protégés.

Ce malware ne chiffre que les fichiers sur une machine locale, mais peut aussi s’attaquer aux fichiers stockés sur un disque dur externe. De nouvelles variantes sont en mesure de contourner les antivirus et les firewalls.

Petya et NotPetya

Lorsque le ransomware Petya infecte une machine, il chiffre le disque dur dans son intégralité en accédant au Master File Table (MFT). Le disque dur devient dès lors totalement inaccessible, même si les fichiers eux-mêmes ne sont pas chiffrés.

Découvert en 2016, Petya s’est principalement propagé via une fausse candidature à une offre d’emploi. Un lien menait à un fichier infecté stocké sur Dropbox. Seuls les ordinateurs Windows ont été affectés.

Pour fonctionner, Petya requiert la permission de la victime pour effectuer des changements en tant qu’administrateur. Dès que l’utilisateur donne son feu vert, le virus redémarre l’ordinateur et présente un faux écran de crash du système. En réalité, il chiffre le disque dur. Une note de rançon apparaît ensuite.

Le Petya originel n’a pas contaminé énormément de systèmes. En revanche, une nouvelle variante appelée NotPetya s’est révélée bien plus dangereuse. Grâce à un mécanisme de propagation, elle était capable de se répandre sans intervention humaine.

NotPetya s’est d’abord propagé en utilisant une porte dérobée dans un logiciel de comptabilité très utilisé en Ukraine. Il a ensuite exploité les vulnérabilités EternalBlue et EternalRomance du protocole Windows SMB.

En plus de chiffrer le MFT, NotPetya s’attaquait aussi aux autres fichiers du disque dur. De plus, les données chiffrées ne peuvent en réalité pas être restaurées. Même si la victime paye la rançon, elle ne peut récupérer ses données.

Ryuk

Le malware Ryuk infecte les machines par le biais d’emails de phishing et de téléchargements. Il utilise un ” dropper ” lui permettant d’extraire un Cheval de Troie sur la machine de sa proie, et établit une connexion réseau.

Le cybercriminel à l’origine de l’attaque peut alors utiliser Ryuk pour lancer ce qu’on appelle une ” Advancer Persistent Threat ” (APT) : une menace avancée persistante. Il installe des outils supplémentaires tels qu’un keylogger, afin de gagner des privilèges et de manipuler la machine. Le malware s’installe aussi sur tous les autres systèmes auquel l’attaquant obtient l’accès.

Lorsque le criminel a installé ses Chevaux de Troie sur autant de machines que possible, il active le ransomware et chiffre les fichiers. Ainsi, le cryptage ne survient qu’à la fin du processus d’attaque. C’est une particularité qui rend cette menace redoutable, car l’attaquant à déjà endommagé le système et volé les fichiers.

GrandCrab

Apparu en 2018, GrandCrab chiffre les fichiers sur la machine de sa victime et demande une rançon. Il a été utilisé pour lancer des attaques par chantage, menaçant la victime de révéler ses préférences en matière de pornographie.

Toutes les différentes versions de ce malware s’attaquent aux machines Windows. Fort heureusement, il existe aujourd’hui des déchiffreurs gratuits pour la plupart des variantes de ce ransomware embarrassant.

Les ransomwares sur Mac

Traditionnellement, les Mac d’Apple ont la réputation d’être mieux sécurisés que les PC Windows. Toutefois, en 2016, un premier ransomware pour Mac fut déployé : KeRanger.

Ce logiciel s’est propagé par le biais d’une application infectée dénommée ” Transmission “. Dès que cette appli était lancée, les fichiers malveillants qu’elle contenait tournaient silencieusement en arrière-plan pendant trois jours. Après ce délai, ils s’activaient pour chiffrer les fichiers.

Apple a rapidement neutralisé la menace par une mise à jour de son programme anti-malware XProtect. Cette nouvelle version empêchait le rançongiciel d’infecter le système. Malheureusement, rien ne garantit qu’un autre ransomware pour Mac ne verra pas le jour dans le futur.

Les ransomwares sur mobile

Jusqu’en 2014, les malwares étaient l’apanage des ordinateurs. Tout a changé avec l’apparition de CryptoLocker.

Comme sur PC, un message apparaît sur l’écran du smartphone en dénonçant généralement une activité illégale pour exiger le paiement d’une amende. Toutefois, il suffit généralement de redémarrer l’appareil en ” safe mode “.

Il ne reste alors qu’à supprimer l’application infectée responsable du ransomware. En effet, c’est généralement par le biais d’applications corrompues que les smartphones sont frappés par des malgiciels.

Quelles sont les cibles des ransomwares ?

Les cybercriminels sévissent dans le monde entier. Toutefois, les pays du monde ne sont pas tous égaux face à cette menace. La plupart des attaques sont focalisées vers les régions occidentales, car les entreprises génèrent des revenus plus importants et dépendent davantage de l’informatique.

Le Royaume-Uni, les États-Unis et le Canada sont les trois pays les plus concernés par ce fléau. Il est néanmoins probable que les attaques au ransomware gagnent de l’ampleur en Asie et en Amérique du Sud à mesure que ces régions se développent…

À l’origine, les cybercriminels utilisaient les ransomwares pour attaquer des particuliers. Toutefois, les entreprises sont des proies plus lucratives et les hackers l’ont vite compris.

En cas de chiffrement de ses données, une entreprise peut perdre des sommes colossales. Elle sera donc plus facilement contrainte de payer la rançon, même si le montant est mirobolant.

En 2016, 12,3% des malwares détectés par des entreprises étaient des ransomwares. Du côté des particuliers, ce type de malware ne représentait sur la même période que 1,8% des attaques détectées. Au total, en 2017, 35% des PME ont subi un assaut au ransomware.

Au second semestre 2018, les attaques au ransomware contre les entreprises ont augmenté de 88%. Les hôpitaux, les agences gouvernementales, les institutions commerciales sont autant de cibles de choix pour les hackers ” black hat “.

Différentes variantes de ransomwares sont utilisées contre les entreprises. On peut citer NotPetya, WannaCry, SamSam ou encore GandGrab. Ce dernier est apparu pour la première fois en janvier 2018, mais ne cesse de se renforcer au fil du temps.

Au total, ce rançongiciel aurait déjà rapporté 300 millions de dollars à ses créateurs. Les rançons demandées peuvent aller de 600 dollars à 700 000 dollars.

Il arrive que des villes entières soient prises pour cible. Par exemple, en mars 2018, le ransomware SamSam a paralysé plusieurs services de la ville d’Atlanta : le système d’enregistrement de la police, les impôts… au total, cette attaque a coûté 2,6 millions de dollars à Atlanta.

Comment détecter un ransomware ?

Pour détecter un ransomware, il est possible d’utiliser des systèmes d’alertes et de blocage en temps réel. De tels systèmes permettent d’identifier le comportement d’écriture et de lecture propre aux ransomwares, et d’empêcher les utilisateurs d’accéder aux données.

Il existe aussi des logiciels de détection opérant en implantant des fichiers cachés dans le système de stockage, afin d’identifier les comportements de chiffrement du ransomware dès le début d’une attaque. Toute action visant à écrire sur l’un de ces fichiers cachés ou à le renommer active automatiquement un blocage de l’utilisateur ou du endpoint infecté. Les autres utilisateurs, en revanche, conservent leur accès.

Enfin, le reporting granulaire et l’analyse permettent de vérifier qui a accédé aux fichiers, comment, d’où et pourquoi afin de pouvoir mener l’enquête en cas d’infection.

Chiffres et statistiques sur les ransomwares

Quelques statistiques clés permettent de mieux comprendre la réalité des ransomwares. Ces malwares génèrent des sommes colossales, et le marché s’étend très rapidement depuis le début des années 2010.

En 2017, les rançongiciels ont provoqué 5 milliards de dollars de pertes si l’on prend en compte les rançons payées et la perte de temps entraînée par les attaques. C’est 15 fois plus qu’en 2015. De même, au premier trimestre 2018, le ransomware SamSam à lui seul a permis à ses auteurs de collecter 1 million de dollars.

En termes de cibles, 45% des attaques au ransomware ciblent des organisations du secteur de la santé. De même, 85% des infections malware dans les organisations de santé sont des ransomwares. Le secteur de la finance est lui aussi pris pour cible, et 90% des institutions financières ont été touchées par un tel malware en 2017.

Un logiciel anti-malware ne suffit pas toujours à se protéger, car les ransomwares évoluent constamment. Ainsi, 75% des entreprises frappées par un rançongiciel utilisaient pourtant un logiciel de sécurité mis à jour.

La bonne nouvelle est que les chiffres semblent indiquer que les ransomwares sont en perte de popularité. Alors qu’elles représentaient 60% des attaques de malwares en 2017, elles ont chuté à seulement 5%.

Comment se protéger contre les ransomwares ?

Une infection au ransomware peut être un véritable désastre. Comme souvent, mieux vaut donc prévenir que guérir.

Il existe plusieurs précautions permettant de se protéger contre les rançongiciels. En premier lieu, il est conseillé d’opter pour un logiciel de protection en temps réel.

Un tel logiciel de cybersécurité permet de détecter les malwares et notamment les ransomwares. Certaines solutions permettent aussi de protéger les programmes informatiques contre les menaces, ou d’empêcher les ransomwares de prendre en otage vos fichiers.

Il est également important de créer régulièrement des backups de vos données. Vous pouvez par exemple les stocker sur le Cloud, afin de profiter de fonctionnalités de sécurité comme le chiffrement de haut niveau ou l’authentification à facteurs multiples.

Une alternative consiste à sauvegarder vos données sur un disque dur externe ou une clé USB. Si vous choisissez cette option, veillez à déconnecter ces appareils de votre ordinateur après avoir réalisé la copie des données. Dans le cas contraire, ils risquent d’être contaminés à leur tour par le ransomware. Un backup de données permet de les restaurer facilement en cas de cyberattaque.

Prenez soin de mettre à jour votre système d’exploitation et tous les logiciels que vous utilisez. Dès qu’une mise à jour est disponible, vous devez la télécharger et l’installer.

Lorsque le ransomware WannaCry fut propagé, Microsoft déploya un patch de sécurité en mars 2017. Toutefois, de nombreux utilisateurs de Windows n’ont pas pris la peine de l’installer et sont donc restés vulnérables.

Surveillez enfin l’actualité de la cybersécurité et des ransomwares. Si un nouveau malware émerge et se propage, vous devez être au courant afin de prendre les mesures nécessaires.

De manière générale, renseignez-vous aussi sur les méthodes utilisées par les cybercriminels pour mieux vous en protéger. Si vous êtes chef d’entreprise, éduquez aussi vos employés sur le sujet.

Que faire en cas d’infection par un ransomware ?

Si vous êtes infecté par un ransomware, ne payez pas la rançon. Si vous cédez, vous donnez un feu vert aux cybercriminels qui continueront leur activité illégale.

Dans un premier temps, vous pouvez tenter de récupérer vos fichiers chiffrés à l’aide d’un logiciel gratuit. Toutefois, chaque ransomware utilise son propre algorithme de chiffrement. En utilisant le mauvais ” decryptor “, vous risquez de chiffrer encore davantage les données. Il est donc préférable de faire appel à un spécialiste.

Un logiciel antivirus ne permet généralement pas de récupérer les fichiers chiffrés, mais permet de supprimer le ransomware de votre système. En outre, si le malware fait partie de la famille des ” screenlocking “, une restauration du système peut suffire à s’en débarrasser.

Vous pouvez aussi lancer un scan à partir d’un CD ou d’une clé USB. Si votre ordinateur ralentit soudainement et sans raison apparente, vous êtes peut-être en train de subir une attaque. Éteignez le PC et déconnectez-le d’internet. Ceci peut empêcher le malware de recevoir ou de transmettre des informations vers le serveur du hacker.

Le futur des Ransomwares

Dans les années à venir, on peut s’attendre à ce que les attaques au Ransomware se multiplient sur les infrastructures publiques. Pour cause, alors même que les institutions détiennent des sommes colossales, elles utilisent très souvent des technologies de cybersécurité obsolète. L’administration française constitue un bel exemple de ce phénomène.

De plus, la technologie des ransomwares va continuer à évoluer et à se perfectionner. Les cibles du secteur public seront donc encore plus menacées. Les attaques devraient donc coûter encore plus cher à ces victimes, notamment dans le domaine de la santé.

Les petites entreprises utilisant des logiciels de sécurité obsolètes, elles aussi, pourraient devenir des cibles privilégiées. Les PME utilisent de plus en plus d’appareils IoT, et la surface d’attaque s’élargit donc pour les cybercriminels.

Dans la même logique, l’essor des objets connectés auprès du grand public pourrait attirer l’attention des hackers. La ” maison connectée “ représente elle aussi une proie facile.

Les smartphones et autres appareils mobiles se démocratisent eux aussi. En conséquence, les attaques au ransomware basées sur l’ingénierie sociale pourraient également s’intensifier.

Les méthodes comme le phishing, le baiting ou le piggybacking exploitant la psychologie humaine ont de beaux jours devant elles. Selon une étude menée par IBM, les utilisateurs sont trois fois plus enclins à tomber dans le piège d’une attaque de phishing sur mobile que sur PC. Ceci serait lié au fait que les smartphones sont de plus en plus utilisés, mais aussi qu’il est plus probable d’ouvrir un lien par accident sur mobile que sur PC.

Une autre tendance émergente dans le domaine des ransomwares est la réutilisation des codes. Par exemple, les rançongiciels Ryuk et Hermès présentent un code très similaire. Le code de Ryuk a été copié à partir de celui d’Hermes par des hackers d’un autre pays.

La révolution de l’informatique quantique pourrait elle aussi avoir de graves conséquences. À cause de cette nouvelle technologie, les méthodes de chiffrement traditionnelles vont devenir obsolètes. Les cybercriminels pourraient bien en profiter pour concevoir de nouveaux malwares, et notamment des ransomwares.