Ransomware : Comment se protéger d’une cyberattaque par rançongiciel?

Les attaques au rançongiciel, ou "ransomware" en anglais, sont celles pour lesquelles l’Agence nationale de la sécurité des systèmes d'information (ANSSI) déploie le plus d’efforts de communication en 2021. Elle a effectivement détecté un doublement des cyberattaques par rançongiciels en France sur un an. Les attaques au ransomware incarnent la “menace informatique la plus sérieuse” pour les entreprises, toujours selon l’ANSSI. Il faut dire que la pandémie de coronavirus a préparé le terrain pour de nombreux emails de hameçonnage, qui manipulent la panique des utilisateurs.

Comment fonctionne une attaque par rançongiciel ? Quelles sont ses conséquences pour l'entreprise ? Comment s’en protéger efficacement ?

Qu’est-ce qu’une cyberattaque ransomware ?

Une attaque informatique au ransomware s’appelle en français un “rançongiciel”. Comme cette dernière appellation le suggère, il s’agit d’une cyberattaque impliquant une demande de rançon.

Définition d’un rançongiciel

Selon la campagne d’alerte sur les rançongiciels menée par l’ANSSI, les rançongiciels sont des “programmes malveillants reçus par courriel”, ou en visitant certains sites internet. Ils peuvent également se déployer suite à une intrusion informatique pirate.

La fiche dédiée au ransomware du site gouvernemental Cybermalveillance.gouv.fr précise quant à elle que les rançongiciels appartiennent à la catégorie des “logiciels malveillants”, aussi appelés “malwares”. Ces malwares ont la spécificité de chiffrer les fichiers d’un ordinateur ou d’un autre appareil informatique, y compris ceux enregistrés sur un dossier partagé, type cloud. Ils peuvent également bloquer l’accès complet à l’ordinateur.

Le but des rançongiciels consiste à extorquer de l’argent aux victimes en leur promettant de leur redonner accès aux appareils ou aux données qui ont fait l’objet d’un chiffrement. Dans certains cas, les pirates informatiques n’ont cependant pas d’autre objectif que de corrompre le système informatique des victimes. Il s'agit alors souvent de concurrence déloyale ou d’attaques politiques. Les cybercriminels peuvent par conséquent nuire au fonctionnement et à la réputation de l’entreprise victime.

Les différents types d’attaques ransomwares

On compte deux grandes catégories de rançongiciels : les chiffreurs de données et les bloqueurs d’ordinateurs. À ces deux types de malwares s’ajoutent de petits nouveaux, tels que les Ransomwares-as-a-Service (RaaS) ou les Scarewares. Il convient de savoir identifier ces différentes cyberattaques pour s’en protéger efficacement.

Les bloqueurs d’ordinateurs : des rançongiciels de verrouillage

Les ransomwares verrouilleurs d’ordinateurs s’appellent des “computer lockers” en anglais. Ils bloquent purement et simplement l’accès à l’interface des ordinateurs ou des tablettes et smartphones. Impossible d’utiliser l'appareil : un message du pirate apparaît sur l’écran, précisant les modalités du paiement de la rançon.

Certains hackers vont même jusqu'à user d’ingénierie sociale dans leurs messages. Ils essayent alors de faire croire que la rançon correspond en réalité à une amende. Ils jouent ainsi sur les réflexes de panique de leurs victimes.

Ce type de ransomware n’est malheureusement pas le plus fréquent. Il a effectivement l'avantage de ne bloquer que l’accès à l’interface, sans compromettre les fichiers. Une fois supprimé, l'utilisateur retrouve l’usage de tous ses dossiers intacts.

Les rançongiciels bloqueurs de données

Les ransomwares “chiffreurs”, aussi appelés "bloqueurs de données” ou “crypto ransomwares” sont autrement plus dangereux que les verrouilleurs d’ordinateurs. Ils sont capables d’identifier les fichiers les plus cruciaux de votre appareil pour changer leur extension. Les pirates visent souvent alors des données financières, des photos, des vidéos, des projets confidentiels ou des données personnelles.

Dans ces conditions, impossible de lire ou d’accéder à ses fichiers sans une clé de décryptage. Comme dans le cas des rançongiciels bloqueurs d’appareils, la victime reçoit souvent un message d’apparence officielle ou légale. Il peut s’agir d’un soi-disant message d’Apple, de Gmail, de la banque ou de Paypal.

Le pirate peut aussi limiter l’accès de la victime à son ordinateur, en bloquant certaines touches du clavier, par exemple. La victime se voit dans ce cas contrainte de communiquer avec le hacker.

Une fois la rançon demandée, soit la victime la paie et retrouve, parfois, l'usage de ses fichiers tenus en otage. Soit elle fait appel à un décrypteur de ransomware professionnel. Cette solution reste la plus recommandable, car de nombreux cyberpirates ne rendent pas les fichiers dans leur état initial.

Plusieurs cyberattaques d’envergure relèvent de rançongiciels bloqueurs de données :

• Le ransomware Ryuk, dont nous avons analysé les retombées, fonctionne à plein régime depuis 2020. Il est à l’origine de nombreuses cyberattaques contre les hôpitaux français pendant l’épidémie de COVID-19.
• WannaCry est un ransomware bloqueur de données qui a opéré sur plus de 250 000 ordinateurs utilisant le système d’exploitation Windows dans le monde. Il a rapporté 150 000$ de rançon au cyberpirates.
• CryptoLocker a contaminé un demi-million d’ordinateurs, rapportant cette fois 3 millions de dollars aux hackers.
• Petya, renommée Not-Petya, a été jusqu’à supprimer les fichiers des victimes après paiement. Ce ransomware ravageur a endommagé de nombreux réseaux informatiques dans le monde, dont ceux des banques et transports publics ukrainiens.

Les nouveaux types de rançongiciels

De nouveaux ransomwares ont vu le jour ces dernières années, notamment en 2020 :

• Les “scarewares” se font passer pour des antivirus. La victime reçoit une alerte d’apparence légitime l’informant d’une contamination. Paniquée, elle télécharge le soi-disant logiciel anti-virus. Celui-ci sert alors au cybercriminel pour recueillir les données personnelles de la victime.
• Les Ransomwares-as-a-Service (RaaS) consistent, pour les pirates, à passer par un “fournisseur” pour créer un rançongiciel. Une fois la rançon récoltée, celui-ci touche une part du butin.
• Les “doxwares” viennent de l’anglais "doxing", équivalent à l’expression “fournir des preuves”. Parfois aussi appelés "leakwares", ces rançongiciels entendent provoquer la panique de leurs victimes en menaçant de divulguer des informations confidentielles.

Qui menacent les ransomwares ?

Dans une infographie sur les rançongiciels, le site cybermalveillance.gouv affirme que tout le monde peut se voir attaqué par un rançongiciel. Particuliers, entreprises, établissements publics peuvent vivre ce type de cyberattaque sur l’ensemble de leurs appareils. Tous les systèmes d’exploitation sont d’ailleurs visés par les cyberpirates : iOS, Windows, Linux, Mac et Android.

Dans un récent article L’Usine Nouvelle sur la cybersécurité en 2021, Guy-Philippe Goldstein précise cependant que les secteurs les plus touchés par les rançongiciels sont la santé, l’immobilier, l’éducation, la manufacture et l’Information Technology, ou IT. Les victimes françaises comptent ainsi de nombreux grands groupes tels que Dassault, Elior, Ouest France, Orange ou Bouygues Construction.

Conséquences d’une attaque cyber avec demande de rançon

Dans un document ANSSI sur l’état de la menace par rançongiciel, l’agence gouvernementale dresse une victimologie des attaques. Elle conclut qu’outre les pertes financières dues au paiement des rançons, les ransomwares ont aussi des conséquences économiques, industrielles et sociales. C’est notamment le cas des attaques de type “Big Game Hunting” déployées depuis 2014. Elles consistent à cibler des grandes entreprises ou des institutions capables de verser de grosses sommes d’argent.

Dans son analyse des conséquences des rançongiciels, l’ANSSI recense différents types d’effets graves pour les entreprises :

• baisse de la productivité représentant de lourdes pertes financières ;
• arrêt des services aux usagers ;
• frais de remédiation ;
• frais de rançon : entre plusieurs centaines d’euros pour les particuliers et des millions d’euros pour les entreprises ;
• report des procédures en cours ;
• publication de données personnelles, pourtant soumises à la réglementation RGPD.

Comment se déroule une cyberattaque par ransomware ?

Les autorités reconnaissent cinq grands groupes de cyberpirates à l’origine des rançongiciels. Le site de référence ID-ransomware en dénombre cependant plus de 800. Les techniques utilisées par les pirates dans le cadre des rançongiciels sont effectivement très diverses :

• Ils diffusent des publicités malveillantes via des sites internet légitimes et redirigent les victimes vers un site piraté.
• Les mails d’hameçonnage, ou de “phishing”, s’utilisent pour persuader les victimes de cliquer ou d’ouvrir une pièce jointe menant au rançongiciel.
• Les ransomwares peuvent se diffuser entre appareils d’un même réseau, par propagation.
• Les hackers utilisent des failles connues de certains logiciels, d’où l'utilité d'effectuer des mises à jour régulières ;
• Les mots de passe trop simples aident les cybercriminels à intégrer certains réseaux ;
• De rares pirates arrivent à corrompre un employé, qui se charge lui-même de l’installation du rançongiciel en interne.

L’enjeu, pour les hackers, consiste dans tous les cas à pénétrer dans le système informatique de l’entreprise. Ils ont besoin d'infiltrer une faille du SI pour déployer un premier programme, comme une pièce jointe malveillante. Ce premier code en déclenche un suivant, plus conséquent, à partir d’un serveur externe. Une fois déployé, le rançongiciel bloque l’accès à certains fichiers ou appareils. La rançon peut alors être réclamée.

Comment se protéger contre les ransomware ?

Se protéger des rançongiciels consiste dans un premier temps à prendre toutes les mesures de prévention nécessaires. C’est aussi avoir conscience des bons comportements à adopter en cas de ransomware déclaré.

Mesures préventives contre les rançongiciels

Dans sa campagne contre les rançongiciels, l'ANSSI délivre un certain nombre de conseils visant à prévenir les attaques par ransomwares. Le site cybermalveillance.gouv.fr en donne aussi plusieurs. Voici la synthèse des moyens de prévention des rançongiciels conseillés par le gouvernement français :

1 / Réalisez de fréquentes sauvegardes, sur des supports distincts ;

2 / Méfiez-vous des emails dont l'expéditeur est inconnu ou douteux, en vous intéressant à l’adresse d’envoi. Prudence, notamment, avec les courriels qui semblent a priori émis par des autorités officielles, ou par des correspondants réguliers. Les cyberpirates n’hésitent pas à imiter les adresses de vos interlocuteurs récurrents. Au moindre doute, supprimer l’email et contactez la personne ou le service concerné pour vérifier que la communication relève effectivement de son initiative.

3 / N’ouvrez jamais les pièces jointes compressées au format SCR ou CAB, qui relèvent de la campagne ransomware CTB-Locker ;

4 / Ne travaillez pas sur vos appareils depuis un compte "administrateur", mais bien “utilisateur” ;

5 / Effectuez régulièrement les mises à jour logicielles proposées par votre ordinateur ;

6 / Utilisez un antivirus à jour et configurez votre pare-feu pour qu’il n’autorise que les applications légitimes ;

7 / N’installez pas de programmes piratés ;

8 / Évitez les sites illicites, hébergeants des musiques, films ou logiciels contrefaits ;

9 / Utilisez des mots de passe complexes, que vous changez régulièrement ;

10 / Éteignez les machines quand elles ne sont pas utilisées ;

11 / Exercez-vous à faire face aux rançongiciels.

S’exercer au ransomware

Une des principales mesures à prendre pour se protéger efficacement des rançongiciels consiste à former son personnel à la cybersécurité. Il faut notamment que vos collaborateurs sachent reconnaître les tentatives de phishing. Les antivirus ne peuvent effectivement pas toujours les bloquer.

Les simulations de rançongiciels permettent de sensibiliser vos employés au cyberrisques en leur inculquant les bons réflexes. C’est aussi une des façons les plus simples de développer une culture de la cybersécurité en interne.

En plus des exercices dédiés à la détection du hameçonnage, procéder aussi à une simulation de récupération. L'objectif du test consiste à déterminer en combien de temps vous réussissez à récupérer vos données après un rançongiciel. C’est surtout l'occasion de mesurer l’effet d'une telle cyberattaque sur votre fonctionnement, sur vos usagers, et plus généralement sur l’ensemble de vos parties prenantes.

Que faire en cas d’attaque avérée au rançongiciel ?

Si vous ou un de vos collaborateurs fait face à une attaque au ransomware avérée, il existe un certain nombre de démarches à respecter. Des procédures de sécurité individuelle, au niveau de l’utilisateur de l’appareil piraté, mais aussi des mesures à mettre en place au niveau de la société elle-même.

Quelles réactions pour un collaborateur face à un rançongiciel ?

Le collaborateur qui se trouve face à un ransomware doit :

• Déconnecter l’appareil d’Internet. Cela signifie qu’il doit soit désactiver le WiFi, soit débrancher la prise ethernet ;
• Alerter la Direction des Systèmes d’Information et l'éventuel prestataire cybersécurité de l'entreprise ;
• S’assurer de la conservation des preuves en cours : données chiffrées, email piégé etc., en attendant que l'entreprise porte plainte.

Phase 1 pour l’entreprise : ne pas payer la rançon

La société piratée doit s’efforcer de ne pas céder à la tentation de payer la rançon. Le pirate peut tout à fait décider de ne pas vous donner la clé de chiffrement de vos données après avoir reçu votre argent.

Quoi que vous fassiez, il a par ailleurs déjà eu accès à vos fichiers, et en a peut-être fait des copies. Les données qu’il a récoltées pourraient être divulguées, même si vous payez la rançon. Il peut d’ailleurs aussi compromettre votre moyen de paiement.

En décidant de payer la rançon, vous participez en outre malgré vous au fonctionnement des cybercrimes. Si les rançongiciels donnent lieu à des demandes de rançons toujours plus élevées, c’est aussi parce que les pirates ont remarqué la propension des entreprises à payer cher pour récupérer leurs données confidentielles.

Phase 2 pour l’entreprise : porter plainte et signaler le rançongiciel

Au niveau de l'entreprise, dans un premier temps :

• Conservez les preuves du ransomware détecté par vos employés ou par le prestataire intervenant. Il peut s’agir de l’email piraté, de données chiffrées, de votre pare-feu.
• Portez plainte avant de réinstaller les fichiers piratés, de façon à garder les preuves de la cyberattaque. Vous pouvez vous adresser au commissariat de police ou à la brigade de gendarmerie. Vous pouvez également déposer plainte auprès du procureur de la République du tribunal judiciaire.
• Signalez l’infection au ransomware à la Commission nationale de l'informatique et des libertés (CNIL) si l'attaque a abouti à une violation des données personnelles de vos employés ou de vos clients.

Pour rappel, il suffit que les données personnelles manipulées par votre entreprise soient indisponibles, modifiées, divulguées ou supprimées pour que vous deviez notifier l'incident à la CNIL. Précisez, dans ce cas, les éléments suivants :

• nature de la violation : modification, suppression, diffusion ;
• catégories des personnes concernées et nombre ;
• catégories des données personnelles et nombre ;
• conséquences de l’attaque pour les données, et mesures prises pour les limiter ;
• démarches envisagées ou mises en place pour éviter de revivre une attaque par rançongiciel.

Phase 3 pour l’entreprise : réparer le système informatique et récupérer les données corrompues

La société victime du ransomware peut choisir de faire confiance à sa DSI pour se débarrasser du malware. Les informaticiens vont dans ce cas se servir de sites comme No More Ransom pour trouver une solution de déchiffrement au rançongiciel.

Si la DSI ne parvient pas à déchiffrer les données corrompues, l'entreprise peut contacter un décrypteur de ransomware. Vous pouvez notamment faire appel à votre prestataire habituel de sécurité informatique. Celui-ci peut essayer d’identifier les éventuelles copies réalisées par le pirate. Il peut dès lors aussi bloquer son accès à vos données sensibles.

Vient ensuite une phase de récupération. Il s’agit de reformater complètement l’appareil, mais aussi de restaurer vos copies de sauvegarde. Réinitialisez tous les appareils potentiellement touchés, ainsi que les serveurs.

Phase 4 pour l’entreprise : analyser ses failles informatiques

Passé le temps de la tourmente due au vol de vos données, vient le moment d’analyser les failles de cybersécurité qui ont permis à l’attaque au rançongiciel d’arriver :

• Était-ce une vulnérabilité humaine ? Pensez par exemple aux récents appareils perdus par vos collaborateurs, ou volés.
• Un clic sur un contenu malveillant ?
• Du hameçonnage ?
• Une navigation sur un site corrompu ?
• Une intrusion sur votre système informatique, par exemple faute de mots de passe solides ?

Une fois la crise passée, c’est le moment de déployer votre PRA, ou plan de reprise d'activité en cas de faille de cybersécurité. Celui-ci doit avoir été pensé en amont, pour que le fonctionnement de votre société ne pâtisse pas du rançongiciel sur le long terme.