Un chercheur en sécurité a mis en ligne sur Github une version open-source d'un Ransomware, indétectable par les antivirus, qui permet de chiffrer les documents d'un ordinateur avec une clé qui ne peut être obtenue qu'à distance, généralement après paiement.

Bloquer l'ordinateur en rendant les données stockées inaccessibles, et afficher un message menaçant pour obtenir de l'utilisateur qu'il fasse quelque chose pour obtenir son déblocage. C'est tout l'objet des ransomwares ("logiciels de rançon"), très appréciés des cercles mafieux qui ont utilisé des outils comme Cryptolocker, CryptoWall ou TorrentLocker pour, par exemple, faire payer de prétendues amendes Hadopi à ceux qui téléchargeaient des fichiers infectés sur les réseaux P2P.

Ces logiciels sont d'autant plus dangereux qu'ils sont difficilement détectés par les logiciels anti-virus. Mais ils étaient jusqu'à présent réservés à quelques initiés ayant accès sous le manteau aux SDK propriétaires payants, que l'on trouve sur des marchés spécialisés à l'abri des regards indiscrets. Ce n'est plus le cas.

Un chercheur en sécurité turc, Utku Sen, a mis en ligne le premier Ransomware open-source, disponible pour tout le monde sur Github. "Mon principal objectif avec un tel logiciel est d'améliorer la sécurité et de causer un préjudice au marché du ransomware", explique le hacker qui a conscience que son initiative fait polémique.

Si elle permet aux éditeurs anti-virus de mieux comprendre le fonctionnement des ransomwares et donc de mieux les combattre en profitant des commentaires et des améliorations apportées par tous les développeurs, elle offre aussi aux personnes mal intentionnées la possibilité de créer des ransomwares fonctionnels, et de garder pour eux les améliorations qu'ils y apporteraient.

Comme le note The Register, même si le logiciel intitulé "Hidden Tear" ("larme cachée") est décrit comme n'ayant qu'une vocation éducative, l'initiative flirte avec les limites de ce qu'autorisent les conditions d'utilisation de Github. La plateforme d'hébergement de projets open-source n'a toutefois pas encore décidé de supprimer l'outil de sa plateforme.

La vidéo ci-dessous montre les principes de fonctionnement de Hidden Tear. Les fichiers texte et .jpg présents sur le disque dur sont d'abord lisibles en clair puisque lorsque le ransomware est activé à l'ouverture d'un fichier PDF vérolé, les fichiers sont immédiatement chiffrés. Il faut alors que l'internaute obtienne un mot de passe pour déchiffrer les fichiers, ce qui se fait généralement en payant, même si dans l'exemple ci-dessous, il suffit à Utku Sen de se rendre sur une page spécialement créée pour générer le précieux sésame :

Partager sur les réseaux sociaux

Plus de vidéos