Ransomware : Comment se protéger d’une cyberattaque par rançongiciel?

Qu’est-ce qu’une cyberattaque ransomware ?

Une attaque informatique au ransomware s’appelle en français un “rançongiciel”. Comme cette dernière appellation le suggère, il s’agit d’une cyberattaque impliquant une demande de rançon.

Définition d’un rançongiciel

Selon la campagne d’alerte sur les rançongiciels menée par l’ANSSI, les rançongiciels sont des “programmes malveillants reçus par courriel”, ou en visitant certains sites internet. Ils peuvent également se déployer suite à une intrusion informatique pirate.

La fiche dédiée au ransomware du site gouvernemental Cybermalveillance.gouv.fr précise quant à elle que les rançongiciels appartiennent à la catégorie des “logiciels malveillants”, aussi appelés “malwares”. Ces malwares ont la spécificité de chiffrer les fichiers d’un ordinateur ou d’un autre appareil informatique, y compris ceux enregistrés sur un dossier partagé, type cloud. Ils peuvent également bloquer l’accès complet à l’ordinateur.

Le but des rançongiciels consiste à extorquer de l’argent aux victimes en leur promettant de leur redonner accès aux appareils ou aux données qui ont fait l’objet d’un chiffrement. Dans certains cas, les pirates informatiques n’ont cependant pas d’autre objectif que de corrompre le système informatique des victimes. Il s'agit alors souvent de concurrence déloyale ou d’attaques politiques. Les cybercriminels peuvent par conséquent nuire au fonctionnement et à la réputation de l’entreprise victime.

Les différents types d’attaques ransomwares

On compte deux grandes catégories de rançongiciels : les chiffreurs de données et les bloqueurs d’ordinateurs. À ces deux types de malwares s’ajoutent de petits nouveaux, tels que les Ransomwares-as-a-Service (RaaS) ou les Scarewares. Il convient de savoir identifier ces différentes cyberattaques pour s’en protéger efficacement.

Les bloqueurs d’ordinateurs : des rançongiciels de verrouillage

Les ransomwares verrouilleurs d’ordinateurs s’appellent des “computer lockers” en anglais. Ils bloquent purement et simplement l’accès à l’interface des ordinateurs ou des tablettes et smartphones. Impossible d’utiliser l'appareil : un message du pirate apparaît sur l’écran, précisant les modalités du paiement de la rançon.

Certains hackers vont même jusqu'à user d’ingénierie sociale dans leurs messages. Ils essayent alors de faire croire que la rançon correspond en réalité à une amende. Ils jouent ainsi sur les réflexes de panique de leurs victimes.

Ce type de ransomware n’est malheureusement pas le plus fréquent. Il a effectivement l'avantage de ne bloquer que l’accès à l’interface, sans compromettre les fichiers. Une fois supprimé, l'utilisateur retrouve l’usage de tous ses dossiers intacts.

Les rançongiciels bloqueurs de données

Les ransomwares “chiffreurs”, aussi appelés "bloqueurs de données” ou “crypto ransomwares” sont autrement plus dangereux que les verrouilleurs d’ordinateurs. Ils sont capables d’identifier les fichiers les plus cruciaux de votre appareil pour changer leur extension. Les pirates visent souvent alors des données financières, des photos, des vidéos, des projets confidentiels ou des données personnelles.

Dans ces conditions, impossible de lire ou d’accéder à ses fichiers sans une clé de décryptage. Comme dans le cas des rançongiciels bloqueurs d’appareils, la victime reçoit souvent un message d’apparence officielle ou légale. Il peut s’agir d’un soi-disant message d’Apple, de Gmail, de la banque ou de Paypal.

Le pirate peut aussi limiter l’accès de la victime à son ordinateur, en bloquant certaines touches du clavier, par exemple. La victime se voit dans ce cas contrainte de communiquer avec le hacker.

Une fois la rançon demandée, soit la victime la paie et retrouve, parfois, l'usage de ses fichiers tenus en otage. Soit elle fait appel à un décrypteur de ransomware professionnel. Cette solution reste la plus recommandable, car de nombreux cyberpirates ne rendent pas les fichiers dans leur état initial.

Plusieurs cyberattaques d’envergure relèvent de rançongiciels bloqueurs de données :

• Le ransomware Ryuk, dont nous avons analysé les retombées, fonctionne à plein régime depuis 2020. Il est à l’origine de nombreuses cyberattaques contre les hôpitaux français pendant l’épidémie de COVID-19.
• WannaCry est un ransomware bloqueur de données qui a opéré sur plus de 250 000 ordinateurs utilisant le système d’exploitation Windows dans le monde. Il a rapporté 150 000$ de rançon au cyberpirates.
• CryptoLocker a contaminé un demi-million d’ordinateurs, rapportant cette fois 3 millions de dollars aux hackers.
• Petya, renommée Not-Petya, a été jusqu’à supprimer les fichiers des victimes après paiement. Ce ransomware ravageur a endommagé de nombreux réseaux informatiques dans le monde, dont ceux des banques et transports publics ukrainiens.

‍

Les nouveaux types de rançongiciels

De nouveaux ransomwares ont vu le jour ces dernières années, notamment en 2020 :

• Les “scarewares” se font passer pour des antivirus. La victime reçoit une alerte d’apparence légitime l’informant d’une contamination. Paniquée, elle télécharge le soi-disant logiciel anti-virus. Celui-ci sert alors au cybercriminel pour recueillir les données personnelles de la victime.
• Les Ransomwares-as-a-Service (RaaS) consistent, pour les pirates, à passer par un “fournisseur” pour créer un rançongiciel. Une fois la rançon récoltée, celui-ci touche une part du butin.
• Les “doxwares” viennent de l’anglais "doxing", équivalent à l’expression “fournir des preuves”. Parfois aussi appelés "leakwares", ces rançongiciels entendent provoquer la panique de leurs victimes en menaçant de divulguer des informations confidentielles.

Qui menacent les ransomwares ?

Dans une infographie sur les rançongiciels, le site cybermalveillance.gouv affirme que tout le monde peut se voir attaqué par un rançongiciel. Particuliers, entreprises, établissements publics peuvent vivre ce type de cyberattaque sur l’ensemble de leurs appareils. Tous les systèmes d’exploitation sont d’ailleurs visés par les cyberpirates : iOS, Windows, Linux, Mac et Android.

Dans un récent article L’Usine Nouvelle sur la cybersécurité en 2021, Guy-Philippe Goldstein précise cependant que les secteurs les plus touchés par les rançongiciels sont la santé, l’immobilier, l’éducation, la manufacture et l’Information Technology, ou IT. Les victimes françaises comptent ainsi de nombreux grands groupes tels que Dassault, Elior, Ouest France, Orange ou Bouygues Construction.

Conséquences d’une attaque cyber avec demande de rançon

Dans un document ANSSI sur l’état de la menace par rançongiciel, l’agence gouvernementale dresse une victimologie des attaques. Elle conclut qu’outre les pertes financières dues au paiement des rançons, les ransomwares ont aussi des conséquences économiques, industrielles et sociales. C’est notamment le cas des attaques de type “Big Game Hunting” déployées depuis 2014. Elles consistent à cibler des grandes entreprises ou des institutions capables de verser de grosses sommes d’argent.

Dans son analyse des conséquences des rançongiciels, l’ANSSI recense différents types d’effets graves pour les entreprises :

• baisse de la productivité représentant de lourdes pertes financières ;
• arrêt des services aux usagers ;
• frais de remédiation ;
• frais de rançon : entre plusieurs centaines d’euros pour les particuliers et des millions d’euros pour les entreprises ;
• report des procédures en cours ;
• publication de données personnelles, pourtant soumises à la réglementation RGPD.

‍

‍