Ransomware : définition, que faire, comment se protéger

Qu'est-ce qu'un ransomware ?

Les ransomware ou rançongiciels, aussi couramment appelés par abus de langage "cryptolockers" du nom du plus connu d'entre eux, sont une menace informatique ayant pour objectif de faire payer une rançon aux victimes. Généralement, ils empêchent l'accès aux fichiers personnels des utilisateurs compromis. Une variante plus récente, appelée extorsionware, menacent de bloquer l'accès à des comptes en ligne, ou de diffuser des données personnelles ou vidéos compromettantes.

En s'installant sur une machine, les ransomware vont chiffrer un à un les fichiers, les rendant illisibles et protégés par une clé transmises aux opérateurs du ransomware. Cette clé ne sera communiquée que contre une rançon, généralement payée grâce à une cryptomonnaie telle que le Bitcoin. Cette dernière permet aux opérateurs de couvrir leurs traces facilement.

Les ransomware prospèrent principalement grâce à deux facteurs :

  • Ils sont faciles à diffuser. De nombreuses manières existent pour exécuter un ransomware sur un système. Cependant, tous exploitent un manque de protections techniques, ainsi qu'un manque de vigilance ou de connaissances en informatique des victimes.
  • Ils ont généralement un bon taux de succès. Les victimes ne communiquent pas sur leur expérience, aussi il est difficile d'avoir des statistiques précises. Néanmoins, le fait que le prix de la rançon soit gardé abordable, et le risque de perte de fichiers, poussent les victimes à payer la rançon. Cela permet ainsi aux opérateurs de ransomware de continuer leurs activités.

Les particuliers, entreprises et industries sont la cible de choix pour les ransomware, comme ce fut le cas par exemple avec WannaCrypt.

écran d’un ransomware

Que faire contre les ransomware ?

Dans un premier temps, notre recommandation est d'analyser la situation en faisant appel à un expert, et de ne pas payer la rançon. Payer la rançon encourage ce genre d'attaques, et fournit un revenu financier à des groupes criminels qui procèdent également à d'autres formes de criminalité. Rien ne garantit non plus que l'attaquant vous communique la clé, ou que vous arriviez à déchiffrer vos fichiers par la suite. C'est ce qui se passe avec le ransomware PwndLocker/ProLock, dont l'outil de déchiffrement fourni par les attaquants après rançon contient un bug et ne déchiffre pas les fichiers lourds de plus de 64 Mo.

Par ailleurs, avec le développement des extorsionware, les opérateurs de ransomware peuvent être tentés de vous livrer la clé... mais de vous demander de payer un coût supplémentaire pour ne pas diffuser vos fichiers. C'est le cas du ransomware ChaCha/Maze, pour lequel les opérateurs demandent deux rançons : l'une pour fournir l'outil de déchiffrement, l'autre pour ne pas publier les fichiers récupérés.

Ainsi, payer la rançon devrait être la solution d'ultime recours.

Il faut savoir que tous les ransomware ne se valent pas : ils sont écrits par des développeurs différents, et comme tout programme informatique, certains possèdent des failles. Ainsi, selon le type de ransomware, il sera possible dans certains cas de récupérer les fichiers sans payer la rançon, en exploitant une vulnérabilité du ransomware.

Les chercheurs en sécurité travaillent main dans la main afin d'identifier les ransomware, les classifier, les étudier, comprendre leur fonctionnement, puis si possible de proposer un outil de déchiffrement gratuit adapté à chaque ransomware. Toutes les données de ces recherches sont mises au profit du site ID Ransomware, qui permet, à partir d'un échantillon de fichier chiffré, et de la note d'information laissée par le ransomware, de savoir si celui-ci possède un outil de déchiffrement.

Identifier le ransomware dont vous êtes victime

Si le ransomware dont vous êtes victime ne possède pas d'outil de déchiffrement, plusieurs solutions s'offrent à vous.

  • Si l'accès immédiat à vos données est critique, par exemple dans le cadre de l'activité de votre entreprise, vous pouvez certes choisir de payer la rançon, ou alors de payer une société spécialisée qui analysera le fonctionnement du ransomware par reverse engineering. Dans les deux cas, le succès de l'opération n'est pas garanti. Il faut aussi savoir que les services d'une société spécialisée d'analyse de malware coûtent généralement plus cher que la rançon, et nécessitent plus de temps avant résultat. Cela dit, les efforts des chercheurs pourraient servir à toutes les victimes du ransomware de par le monde, et non uniquement à votre situation.
  • Si l'accès immédiat à vos fichiers n'est pas critique, nous vous conseillons de les conserver en sécurité. Pas d'inquiétude, les fichiers chiffrés sont inertes ne portent pas de menaces en soi. Avec le temps, des chercheurs pourraient réussir à trouver une manière de déchiffrer les fichiers. Ainsi vous les récupèrerez peut-être d'ici quelques mois ou années, et ce potentiellement gratuitement.

Bien entendu, les choix ci-dessous ne s'appliquent que si vous ne possédez pas de sauvegardes de vos données. Ce qui nous ammène à parler des mesures de protection que vous pourriez mettre en place afin de vous prémunir de ce genre d'incident à l'avenir.

Comment se protéger des ransomware ?

Différentes mesures existent pour vous prémunir de ce genre de menace informatique.

  • Vous pouvez commencer par mettre en place un processus régulier de sauvegarde de fichiers. Dans un contexte professionnel, différentes solutions existent pour sauvegarder toutes types de services et de technologies de serveur. Dans un contexte particulier, il peut simplement s'agir de placer ces fichiers sur un support qui reste déconnecté de l'ordinateur et du réseau hormis durant le processus de sauvegarde (disque-dur et/ou espace de stockage cloud).
  • support de stockage pour la sauvegarde des fichiers

  • Les ransomware exploitent parfois des vulnérabilités logicielles pour s'introduire sur les machines. Il convient donc de garder ses systèmes et applications à jour, principalement le système d'exploitation, et d'appliquer systématiquement les patchs de sécurité proposés par l'éditeur.
  • Les logiciels de protection et de surveillance sont de plus en plus perfectionnés pour lutter contre ce genre de menaces. Nous vous conseillons donc de garder un antivirus à jour sur votre matériel informatique. D'autres types de programmes, tels que des bloqueurs de publicités dans les navigateurs, permettent également de limiter certaines menaces sur le web. Il s'agit typiquement des bandeaux de publicité vous avertissant que votre ordinateur est infecté, et vous proposent de télécharger un antivirus qui n'est autre qu'un programme malveillant tel qu'un ransomware. Il faut choisir un bloqueur de pub reconnu par la communauté, car beaucoup d'entre eux sont en réalité des programmes au mieux inefficaces, au pire malveillants. Nos consultants recommandent à ce titre uBlock Origin.
  • Enfin, le point le plus compliqué, mais qui reste l'un des vecteurs d'infection principaux : rester vigilant sur Internet, car le meilleur et le pire s'y côtoient. Systématiquement s'interroger de la pertinence d'un email, surtout lorsque celui-ci contient des pièces jointes ou des liens vers un site Internet, et qu'il incite à effectuer certaines actions. L'expéditeur est-il bien celui qu'il dit être ? Quelle est son adresse email ? Vers quoi pointe le lien ? Qu'est censée contenir la pièce-jointe ? Pourquoi faut-il un mot de passe pour la décompresser ? Quelle est son extension ? Pourquoi ce document demande d'activer les macros ? Ne pas hésiter à contacter l'expéditeur par un autre canal que l'email, et s'assurer que l'email est légitime. Pour les entreprises, nous proposons des sessions de sensibilisation à la sécurité informatique pour familiariser les utilisateurs à la sécurité et les aider à acquérir les bons gestes, et ainsi diminuer la probabilité d'infection.

De manière générale, se protéger des ransomware demande du temps et de l'investissement dans des compétences et des outils. Le jeu en vaut-il la chandelle ? Tout dépend de l'importance que vous accordez à vos données, ainsi que de la perte de temps et du stress que vous êtres prêts à accepter en cas d'infection.

Vous êtes infectés par un rançongiciel mais n'êtes pas sûr de la marche à suivre ? N'hésitez pas à nous contacter, nous agirons au mieux pour vous aider.

Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.