Qu’est-ce qu’un ransomware ?

On appelle ransomwares des logiciels malveillants qui infectent les ordinateurs en affichant un message demandant de payer une rançon pour que le système puisse à nouveau fonctionner. Il s’agit d’une technique employée par des cybercriminels pour pouvoir obtenir des sommes d’argent. Le ransomware peut être installé sur un ordinateur en cliquant sur un mauvais lien dans un email ou bien encore sur internet. Il chiffre les fichiers et peut également verrouiller l’écran de l’ordinateur infecté. Origine ? Comment s’en débarrasser ? Voici tout ce qu’il faut savoir sur le sujet.

 

Définition d’un ransomware

Le ransomware ou rançongiciel en français est une sorte de malware qui s’introduit dans les ordinateurs pour empêcher les utilisateurs d’accéder à leur système. Pour que le système et l’accès aux données soient rétablis, un message indique qu’une rançon doit être payée. De nos jours, les auteurs de ransomware demandent à être payés par carte de crédit ou bien par cryptomonnaies.

 

L’histoire des ransomware

C’est dans les années 1980 qu’est créé le premier ransomware sous le nom de PC Cyborg ou AIDS. Il chiffrait les fichiers du répertoire C: et demandait pas la suite à l’utilisateur de payer la somme de 189 $ à une société nommée PC Cyborg Corp pour renouveler la licence. Mais avec un chiffrement assez simple à réparer, ce ransomware n’a pas vraiment posé de problèmes aux experts en informatique.

Après une période assez calme, les ransomwares sont revenus en force dans les années 2000 avec plusieurs attaques :

  • en 2004 avec le GpCode
  • en 2007 avec WinLock qui empêchait aux utilisateurs d’avoir accès çà leur ordinateur
  • en 2012 avec un ransomware qui se faisait passer pour une institution gouvernementale
  • en 2013 avec CryptoLocker
  • en 2017 avec WannaCry et Petya, des ransomwares chiffreurs qui piégeaient aussi bien les entreprises que les particuliers
  • en 2018 avec Ryuk aux USA

Il faut savoir que si les rasomwares ont connu un tel essor ces dernières années, c’est parce que les entreprises et les particuliers préfèrent désormais stocker numériquement certains documents (administratifs, photo…), ainsi que tout un tas de données importantes et confidentielles plutôt que de les garder physiquement.

 

Comment fonctionne un ransomware ?

Pour comprendre comment fonctionne un ransomware, prenons tout d’abord l’exemple du plus simple d’entre eux : Scareware. Il utilise l’intimidation et la peur pour faire en sorte que l’utilisateur de l’ordinateur finisse par payer. Les utilisateurs sont alors sans cesse bombardés d’avertissements et de pop-up, mais ils peuvent continuer à naviguer sur internet et les données restent en sécurité.

Les autres rasomwares les plus fréquents sont les verrouilleurs d’écran, via lesquels l’utilisateur n’a plus du tout accès au système, la mise en page prend alors la forme de celle d’une institution qui indique que des activités illégales ont été constatées (piratage, pédopornographie…) et qu’une rançon doit être payée. Enfin, les rasomwares chiffreurs chiffrent les données présentes dans l’ordinateur et exige une rançon pour les déverrouiller. À savoir que même lorsque l’on paie, il n’est même pas certain que l’accès aux données soit rétabli.

En règle générale, une attaque de type rasomware exige le paiement d’une rançon dont le montant plafonne entre 100 et 200 dollars. Mais il faut savoir que quand les cybercriminels visent de grosses entreprises au fort potentiel financier, ils peuvent parfois demander le paiement de sommes bien plus importantes. Les pirates informatiques demandent de payer par MoneyPark ou bien encore Bitcoin, mais ils peuvent aussi très bien demander les numéros de cartes de crédit.

 

Comment un rasomware infecte-t-il un ordinateur ?

Les ransomwares s’y prennent de différentes façons pour infecter les ordinateurs. Il y a tout d’abord les spams malveillants qui prennent la forme d’emails contenant des pièces jointes piégées (document Word, PDF…) ou bien encore qui incluent un lien vers un site web malveillant. Pour inciter les utilisateurs à cliquer sur les liens ou à ouvrir les pièces jointes, ils peuvent se faire passer pour un ami ou une institution, y compris des institutions policières.

Une autre méthode est le malvertising. Il s’agit de publicités malveillantes qui distribuent des malwares alors qu’un utilisateur surfe sur le web. Parfois il n’y a même pas à cliquer sur la publicité pour être renvoyé vers des serveurs criminels.

 

Les ransomwares sur mobile

Si les ordinateurs sont dans la majorité des cas les premières victimes d’attaques de type ransomware, cela peut également se produire sur les téléphones portables. D’où la nécessité d’être vigilant à titre personnel, mais également si vous possédez un smartphone professionnel. Les ransomwares qui infectent les mobiles le font en général par le biais d’applis malveillantes, ils indiquent alors que l’écran a été verrouillé en raison d’une activité illégale et qu’une rançon doit être payée. Pour se débarrasser du ransomeware, il suffit simplement de démarrer le smartphone en mode sans échec, afin de supprimer l’appli et accéder à nouveau à son téléphone.

 

Qui sont les cibles des ransomwares ?

Au tout début, les ransomwares visaient principalement les individus, puis, petit à petit, les cybercriminels ont compris qu’ils auraient plus à gagner en visant les entreprises. En ralentissant l’activité économique d’une société pendant un temps donné, ces dernières sont plus enclines à payer pour vite rétablir la situation. Les entreprises visées sont les grosses entreprises, mais aussi les PME, et en termes de localisation, les attaques visent le plus souvent les marchés occidentaux (États-Unis, Angleterre, Canada…) ainsi que les pays émergents d’Asie et d’Amérique du Sud.

 

Que faire en cas d’attaque ?

Lorsque vous êtes la cible d’une attaque de ransomware, la première recommandation est bien évidemment de ne pas payer la rançon. Cela ne ferait que conforter les cybercriminels dans leur action. Il existe bien des déchiffreurs gratuits pour récupérer des fichiers chiffrés, mais il n’en existe malheureusement pas pour tous les types de ransomware. Contre un ransomware verrouilleur d’écran, il est souvent nécessaire de faire une restauration complète du système, avec pour conséquence de ne pas toujours récupérer l’ensemble des fichiers, mais au moins le ransomware est supprimé. En cas de ransomware chiffreur en cours d’attaque, vous pouvez également arrêter le système et le déconnecter d’internet. Il faut alors ensuite télécharger un produit de sécurité pour effectuer une analyse complète du système.

 

Comment se protéger des ransomwares ?

Afin de se protéger des ransomwares, il convient d’investir dans une solution de cybersécurité efficace. Et dans le cadre d’entreprises qui manipulent énormément de données, de surcroît confidentielles, cela est fortement conseillé. Ensuite, il est nécessaire de faire régulièrement des sauvegardes sécurisées de vos données. En ayant recours à une solution Cloud avec un haut niveau de chiffrement, ou bien encore à des clés USB ou des disques durs externes. Mais soyons honnêtes, les solutions Cloud sont aujourd’hui mieux adaptées et beaucoup plus pratiques pour le fonctionnement des entreprises.

Toutes les entreprises ne disposent pas d’un service informatique dédié au bon fonctionnement du parc informatique. Dans ce cas, il est conseillé de s’orienter vers une société spécialisée en informatique comme ITAK IT, les professionnels sont les meilleurs interlocuteurs et vous proposeront des solutions qui vous permettront de lutter contre les attaques de type ransomware.

Enfin, il ne faut pas hésiter à former les salariés aux bonnes pratiques d’utilisation du web en entreprise. Car ouvrir un mail suspect ou surfer sur un site infecté peut arriver, y compris dans le cadre du travail.