S'il y a bien une méthode d'arnaque sur le net qui s'appuie sur l'abus émotionnel, c'est bien le rançongiciel ou le ransomware. Sa méthode implique une demande de rançon auprès d'un internaute après avoir verrouillé l'accès à ses données via un chiffrement partiel ou intégral. Et bien qu'il s'agisse d'une technique de piratage ayant plus de 30 ans, elle reste bel et bien courante aujourd'hui comme nous l'explique les éditeurs antivirus. Pour au mieux se protéger face à eux, il est d'autant plus important de bien les connaître. Alors, qu'est ce qu'un ransomware ? Comment marchent-ils ? Qui ciblent-ils ? Comment se protéger contre eux ?
Pour faire clair, un ransomware est un logiciel malveillant qui, une fois intégré à un appareil par négligence ou manque de sécurité, peut chiffrer les données dudit appareil afin de les rendre inaccessibles à la victime. On appelle rançongiciel les malwares qui se solvent par une demande de rançon : si cette dernière est honorée par l'utilisateur, alors le pirate promet de déchiffrer ses données pour les rendre accessibles à nouveau. Dans les faits, rien n'oblige le criminel à rendre l'accès aux informations de l'utilisateurs, malgré le paiement de la rançon. Il existe plusieurs méthodes différentes de ransomwares, mais l'objectif est le même : extorquer de l'argent ou accéder à des données sensibles. Une solution de sécurité ou un antivirus gratuit vous permettront de contrer ces menaces.
Origines et historique des ransomwares
Contrairement à une croyance commune, le rançongiciel existait déjà avant même la démocratisation d'internet. Il suffit de se pencher sur le premier cas historique, celui de PC Cyborg. Ver informatique distribué à l'époque sur des disquettes créées spécialement pour des laboratoires destinées à la recherche contre le SIDA, il chiffrait l'intégralité du disque C: après 90 redémarrages. Puis, un message avertissait la victime du méfait, en demandant en parallèle une rançon de 189 dollars. Créé par Joseph Popp, un biologiste passionné d'informatique, ce tout premier ransomware date de 1989 et a été expédié dans 90 pays différents, à raison de 20 000 disquettes !
Si ce premier coup d'éclat signe sans aucun doute la naissance du ransomware, il faut par la suite patienter une quinzaine d'années pour voir le concept évoluer et prendre de l'ampleur. Leur objectif est désormais de saboter les données d'un utilisateur en chiffrant tous les fichiers présents sur le disque, le tout sans impacter le fonctionnement du système d'exploitation. En 2005, PGPCoder (aussi appelé le ransomware à 20 dollars), est un des premiers ransomwares à tirer parti de cette nouvelle technologie qu'est internet. Il infectait alors les systèmes Windows à partir de fichiers .rar, .zip, .doc ou .xls (donc aux formats assez communs) pour ensuite demander une rançon aux victimes.
Peu de temps plus tard, en 2007, le ransomware WinLock se fait encore plus pernicieux : il bloque l'ordinateur des victimes et affiche des images pornographiques. L'utilisateur reçoit ensuite un SMS avec les modalités de la rançon afin d'accéder à nouveau à l'appareil.
En 2012, le ransomware se déguise avec l'avènement des plateformes de P2P et de pornographie : en se faisant passer pour un avertissement des forces de l'ordre américaines (et notamment le FBI), Reveton verrouille l'ordinateur de ses victimes en réclamant le paiement d'une amende de 200 dollars. Effrayés par le logo du FBI, les utilisateurs payaient ainsi rapidement la fameuse amende pour éviter toutes représailles légales.
2013 est ensuite l'année charnière du ransomware tel qu'on le connaît aujourd'hui, avec Cryptolocker. Ce dernier a fait des millions de victimes à la fois chez les particuliers et les professionnels, en mettant un lien plus proche entre la victime et l'agresseur. En effet, les cyber-criminels peuvent désormais piloter à distance les charges virales, le tout en négociant avec la victime pour allonger ou diminuer le temps avant la destruction des données de cette dernière. D'autres attaques de grande ampleur font ensuite parler d'elle, comme Simple Locker ou Sypeng, qui se lancent dans le domaine du mobile (smartphones et tablettes) en 2014. En 2016, Petya fait des ravages en se dissimulant à l'intérieur d'un document word ou PDF, en s'activant dès l'ouverture du fichier par un utilisateur. Couplé au phishing, l'attaque est désormais de plus en plus traître, et parvient à berner des millions d'utilisateurs à travers le monde.
Comment se fait-on infecter par un ransomware ?
Si l'objectif principal d'un ransomware est de tromper la naïveté d'un utilisateur, d'autres facteurs entrent en compte avant de se faire infecter. En effet, si l'ordinateur ou le smartphone est suffisamment protégé, les chances de succomber à la menace s'amoindrissent déjà énormément. Ensuite, reste le facteur humain : un ransomware peut profiter de la maladresse ou même d'une simple erreur pour s'infiltrer et établir sa rançon auprès d'un utilisateur qui manque de vigilance.
La méthode d'infiltration est sensiblement la même, quel que soit le type de ransomware : une fois ouvert, il s'introduit dans le système, chiffre l'ensemble des contenus de certains dossiers jaugés importants, voire empêche carrément le fonctionnement normal de l'appareil. Puis, une fenêtre apparaît à l'écran pour informer la victime de la menace et lui signaler qu'une rançon doit être payée pour un retour à la normale.
Mais avant de pouvoir s'infiltrer dans un ordinateur, encore faut-il qu'une action soit effectuée de la part de la victime : un ransomware ne peut pas simplement s'inviter dans un appareil sans erreur ou mauvaise manipulation de la part de cette dernière. En effet, ces fichiers malveillants s'introduisent sur un PC par le biais de tentatives de phishing, cachés dans des pièces jointes ou des liens piégés reçus dans des emails. Il est également possible de recevoir un ransomware via des publicités sur des sites web illégaux et peu contrôlés (comme des sites de piratage ou de téléchargement illégal). Il est donc primordial de posséder un antivirus à jour pour atténuer le risque, mais aussi de faire particulièrement attention aux liens sur lesquels cliquer, ainsi que les pièces jointes reçues dans des mails peu rassurants.
Les différents types de ransomwares
En 2023, les autorités françaises affirment qu'il existerait plus de 120 familles de ransomwares différentes. Les nouvelles technologies (Web3, cryptomonnaie, NFT) appellent par ailleurs de nouveaux types de menaces pour les années à venir, cette liste est donc constamment mise à jour. Il est cependant possible de discerner quelques types de rançongiciels, plus proéminents et populaires auprès des escrocs du web.
Il y a par exemple les ransomwares de type policier, qui prennent des logos et l'interface de messages dits "officiels" pour mettre en avant une amende (en réalité une rançon) afin de pouvoir utiliser l'appareil à nouveau. On peut également aborder les crypto-ransomwares, qui chiffrent les données et les fichiers des victimes pour empêcher leur accès par ces dernières. Afin de les déverrouiller, il faut ainsi répondre positivement à la rançon mise en avant par le pirate. C'est la méthode de ransomware la plus populaire à l'heure actuelle. Les scarewares prennent quant à eux l'interface de faux outils de sécurité qui alertent l'utilisateur sur une fausse menace. Ce dernier est ensuite appelé à payé pour débloquer une version complète de l'outil de sécurité afin de supprimer ladite menace.
Ainsi, il existe de nombreux types de ransomwares, mais ils se rejoignent tous sur un point : ils emploient la méthode de la rançon.
Qui est visé par les ransomwares ?
Il existe un préconçu selon lequel seuls les particuliers dotés d'ordinateurs Windows sont touchés par les virus de toutes sortes, ransomwares y compris. Cependant, ce n'est pas le cas : la menace est beaucoup plus étendue que jamais, touche à la fois les secteurs particuliers, professionnels, et pour tous les types d'appareils, du mobile à l'ordinateur de bureau MacOS ou Windows.
Une menace pour tous les secteurs
Contrairement à une idée reçue, les entreprises du monde entier sont également touchées par les ransomwares. Fin 2016, 12,3% des programmes malveillants détectés dans les entreprises étaient des ransomwares, alors que seuls 1,8% des programmes malveillants à destination des particuliers étaient des ransomwares. Autrement dit, le virus est beaucoup plus populaire auprès des entreprises : en 2017, 35% des petites et moyennes entreprises ont pu indiquer avoir été victimes d'une attaque de ransomware au cours de l'année.
Il arrive par ailleurs que certaines administrations et gouvernements soient directement touchés par cette pratique : c'est notamment le cas de la ville de Baltimore, qui a dû faire face au blocage de 10 000 postes informatiques à cause d'un rançongiciel en mai 2019. Plus récemment, en 2023, la Lille a été touché par un virus qui a touché tous les services informatiques de la ville.
Les attaques de ransomwares envers les particuliers sont une réalité, quoique généralement propagées par des campagnes massives, pas ciblées, passant par des listes d'emails ou de SMS. Ainsi, ces menaces sont considérées comme moins dangereuses, car faciles à déceler et moins intuitives que celles, ciblées, qui peuvent parfois toucher les entreprises.
Côté géographie, la menace touche surtout les pays occidentaux, et principalement anglophones (Royaume-Uni, USA, Canada). L'idée est simple : toucher une cible bénéficiant de PC et témoignant d'une certaine richesse pour répondre aux rançons.
Une menace sur de nombreux supports
Originellement, les attaques par ransomware étaient principalement destinées aux ordinateurs bénéficiant du système d'exploitation Windows. cependant, depuis quelques années, le phénomène se démocratise aux appareils mobiles également. En effet, en 2019, une nouvelle famille de ransomwares propagée par SMS a été mise en lumière par une équipe de recherche d'ESET.
Idem pour les Mac, qui ne sont pas exemptés de cette menace, même si cette dernière est arrivée plus tardivement. C'est en effet avec le ransomware KeRanger, infecté dans une application nommée Transmission, que le malware a fait son trou sur la plateforme d'Apple. Finalement, il n'aura pas fallu longtemps pour que XProject, l'anti-malware intégré d'Apple, ne publie une mise à jour pour empêcher ce genre d'infection. Cependant, il arrive parfois que certains ransomwares passent à travers les mailles du filet, il est donc important de rester vigilant, même sur Mac !
Ainsi, si la cible de choix des ransomwares reste les PC Windows, il est important de se protéger face aux menaces, ce quel que soit le support choisi.
Glossaire Antivirus : nos autres définitions
- Qu'est-ce qu'un cheval de Troie (trojan) et comment s’en protéger ?
- Qu’est-ce qu’un malware de type wiper et comment s’en protéger ?
- Qu'est ce qu'un cryptolocker et comment s’en protéger ?
- Qu'est-ce qu'un bloatware et comment s'en débarrasser ?
- Qu'est-ce que le phishing et comment s'en protéger ?
- Qu'est-ce qu'un logiciel malveillant (ou malware) et comment m'en protéger ?
- Qu'est-ce qu'un rootkit et comment s'en protéger ?
- Qu'est-ce qu'un keylogger et comment s'en protéger ?
- Qu'est-ce qu'un spyware et comment s'en protéger ?
- Qu’est-ce qu’un botnet et comment s’en protéger ?
Comment se protéger des ransomwares ?
C'est un état de fait : la meilleure manière de se protéger d'une attaque de ransomware est tout simplement d'éviter qu'elle se produise. Pour ce faire, il est recommandé d'investir dans une solution de cybersécurité conçue entre autres pour offrir une protection en temps réel des attaques de malwares avancés comme des ransomwares.
Ransomware : les réponses à toutes vos questions
Comment fonctionne le ransomware ?
On peut discerner 5 étapes différentes dans le fonctionnement d'un ransomware : d'abord, l'appareil de la victime subit une attaque via un lien ou une pièce jointe piégée reçue dans un email. Ensuite, le logiciel malveillant prend directement le contrôle de l'ordinateur de la victime, en cryptant ses données ou en empêchant tout simplement son accès. C'est à cet instant qu'une notification s'affiche sur l'écran, pour informer la victime qu'elle a été piégée, et qu'elle doit régler une rançon pour récupérer l'accès à ses données. La quatrième est théorique, puisqu'elle n'est pas toujours suivie : il s'agit du paiement de la rançon. L'utilisateur peut en effet simplement décider d'abandonner ses données numériques plutôt que de payer. Enfin, la cinquième étape est également théorique : si la victime a payé, alors en toute logique le criminel lui rend l'accès à son ordinateur. Cependant, il arrive que, malgré le paiement de la rançon, le criminel décide de ne pas supprimer le cryptage.
Comment se propage le ransomware ?
La méthode la plus employée pour infecter un ordinateur est celle des spams malveillants (ou malspams), des mails indésirables qui comportent des logiciels malveillants en pièce jointe sous divers formats (PDF, fichiers image, word, etc). La plupart du temps, les malspams tentent de piéger les victimes potentielles en abusant de leur naïveté pour cliquer sur un lien qu'ils ne devraient pas. Le malvertising (ou publicité malveillante) est une autre méthode, qui consiste à utiliser des publicités en ligne afin de distribuer des malwares. Sans même avoir cliqué sur un publicité, les utilisateurs peuvent ainsi être directement redirigés vers des serveurs qui répertorient des informations afin de sélectionner les malwares les plus pertinents pour une infection.
Qui contacter en cas de ransomware ?
D'abord, il est primordial de ne jamais payer la rançon en cas d'attaque de ransomware sur un appareil (c'est la recommandation directe du FBI). Ensuite, il est possible de porter plainte/effectuer un signalement, soit en se rendant au commissariat de police le plus proche, soit directement par internet via le site service-public.fr.
Il existe par ailleurs des déchiffreurs gratuits qui permettent de récupérer certains fichiers cryptés sans avoir à céder à la rançon. Cependant, tous les déchiffreurs ne permettent pas de décrypter toutes les familles de ransomwares. Il est également possible de mettre un terme à une infection en téléchargeant un outil de sécurité afin d'éliminer toute menace : cette solution ne permettra pas forcément de récupérer tous les fichiers. Dans le cas d'un ransomware verrouilleur d'écran, il sera parfois recommandé d'effectuer une restauration complète du système.
Comment savoir si vous avez un logiciel malveillant ?
Les signes d'une infection de ransomware sont assez évidents : ces logiciels malveillants demandent toujours une rançon. Ainsi, un message inhabituel s'affiche via une fenêtre pop-up, le fond d'écran de l'utilisateur change ou un avertissement s'affiche, sans possibilité de le supprimer. Il peut également s'agir d'un message qui s'affiche lorsque l'utilisateur souhaite ouvrir un fichier crypté par le virus.
Le meilleur moyen d'éviter une telle déconvenue est de se prémunir d'un antivirus et de mettre à jour le système de manière régulière, tout en évitant de succomber aux diverses techniques permettant l'infiltration du virus dans l'appareil.
Geekonoclaste permanent, je m'intéresse autant aux jeux vidéo (avec une petite faiblesse particulière pour les JRPG) qu'à l'high-tech. Je cherche à la fois l'originalité et l'inventivité, que ce soit derrière une manette ou à l'écrit sur mon clavier
Lire d'autres articles
