Le ransomware fait partie de la famille des logiciels malveillants. Il chiffre vos données, vous prenant ainsi en otage, avec la menace de dévoiler vos informations si vous ne payez pas la somme exigée.

L’actualité de la cybersécurité en est parsemée : ici, un ransomware aurait attaqué le ministère de la Justice, là-bas, l’hôpital de Dax s’est retrouvé paralysé par un logiciel malveillant du même type, dans d’autres cas, ce sont des collectivités qui sont touchées… Au classement des modalités de cyberattaques les plus répandues, le rançongiciel truste la première place depuis plusieurs années. Mais, ça fonctionne comment, exactement, ce genre d’outil qui paralyse aussi bien des entreprises que des établissements de santé ?

Qu’est-ce qu’un ransomware ?

Il existe différents types de logiciels malveillants (ou malware). Citons, par exemple, les spyware, qui servent à espionner, les vers informatiques, qui se copient eux-mêmes pour étendre l’infection extrêmement vite d’un ordinateur à l’autre, ou encore les chevaux de Troie, qui entrent dans un système et attendent d’être activés pour attaquer de l’intérieur. 

Les ransomware (ou rançongiciels en français), eux, ont la particularité de récupérer et chiffrer les données de l’organisation visée. Cela permet ensuite aux pirates de demander une rançon à la victime, généralement en crypto-monnaies, en l’échange d’une clé de déchiffrement. Si cette dernière refuse, les attaquants peuvent menacer de rendre publiques des informations critiques (données personnelles, projets confidentiels, code source, etc.).

À quoi ressemble une attaque par rançongiciel ? 

Le plus souvent, ce type de maliciel est diffusé chez la victime par hameçonnage (ou phishing) : un mail trompeur est envoyé à l’organisation visée, qui pousse le destinataire à ouvrir une pièce jointe ou télécharger un fichier. Quand la personne tombe dans le piège, au moment de cliquer, elle lance en réalité l’installation du rançongiciel sur son ordinateur. À partir de là, le robot est programmé pour s’infiltrer dans le réseau informatique de l’entreprise et verrouiller les accès de tous les ordinateurs et systèmes connectés qu’il trouve. 

Ce verrouillage peut se faire de différentes manières : certains ransomware chiffrent les données sur lesquelles ils tombent, c’est-à-dire qu’ils les rendent illisibles tant que l’attaquant n’a pas accepté de les déchiffrer. D’autres bloquent les écrans, souvent en y affichant des messages plus ou moins impressionnants, pour empêcher l’accès de la victime à son ordinateur, son téléphone, au système informatique.

Les ransomware peuvent empêcher la victime d'accéder à son smartphone. // Source : Melvyn Dadure pour Numerama
Les ransomware peuvent empêcher la victime d’accéder à son smartphone. // Source : Melvyn Dadure pour Numerama

Qui attaque par ransomware ? 

Dans la plupart des cas, les cyberattaques par ransomware sont motivées par l’appât du gain. Cela signifie que les auteurs peuvent être des criminels de toute sorte d’envergure : pour les néophytes ou ceux qui ont peu de temps, il existe désormais un marché du « rançongiciel-as-a-service ». Celui-ci permet d’acheter tous les outils nécessaires pour organiser une attaque en échange d’un pourcentage sur les gains réalisés. Les cas les plus critiques, en revanche, sont le fait de groupes organisés. En 2021, un rapport de l’ENISA, l’agence de l’Union européenne pour la cybersécurité, note ainsi que Conti, REvil/Sodinokibi (récemment démantelé) et DarkSide (démantelé aussi) sont les organisations criminelles qui ont engrangé le plus d’argent grâce à ce type de malware.

Qui est attaqué ? 

Des hôpitaux, des entreprises, des collectivités… Globalement, les cyberattaquants visent des organisations. « On l’oublie un peu, mais les particuliers ont beaucoup été visés jusqu’à peu près 2015 », signale Gérôme Billois, Partner Cybersécurité et confiance numérique chez Wavestone. Il fallait alors payer cent, deux cents, trois cents euros pour débloquer son ordinateur. « Depuis, les cybercriminels ont compris que le retour sur investissement serait beaucoup plus large du côté du monde professionnel, donc la menace s’est déplacée. » L’ENISA souligne d’ailleurs que le montant des rançons demandées ne fait qu’augmenter : en 2019, la plus haute était fixée à 15 millions de dollars, en 2020, ce chiffre grimpait à 30 millions, et en 2021, le groupe REvil a demandé 50 millions de dollars à Acer puis 70 millions à Kaseya, touchées à quelques mois d’écart.

Faut-il payer la rançon ? 

Dans la panique du moment, face à des écrans bloqués, ça peut paraître tentant. Problème : rien ne prouve que les attaquants vont réellement rendre l’accès aux données qu’ils ont chiffrées. Le risque est donc d’ajouter une perte financière à celle déjà provoquée par l’attaque. Par ailleurs, « que vous payiez ou non, la durée de gestion de la crise sera sensiblement la même, indique Gérôme Billois, car une fois que vous recevez la clé de déchiffrement, si vous la recevez, il faut encore s’en servir sur chaque appareil corrompu. Et, rien ne dit que vous récupérerez les informations dans l’état dans lequel elles étaient juste avant l’attaque. »  Les autorités recommandent donc de ne pas payer les cyberrançons et ont mis en place un site web dédié vers lequel se tourner en cas de problème.

Comment se protéger des rançongiciels ? 

Lorsqu’ils déploient leurs ransomware par l’intermédiaire d’hameçonnage, les attaquants utilisent des techniques d’ingénierie sociale : ils cherchent à tromper des humains pour que ceux-ci cèdent l’accès à leur ordinateur. Face à ce type de tactique, la parade recommandée par la plupart des experts en cybersécurité est la formation : sensibiliser aux problématiques de cybersécurité, communiquer sur les risques spécifiques que présentent les mails, les pièces jointes, les URL, proposer des simulations de phishing pour informer, etc. 

D’un point de vue pratique, la sauvegarde et le dédoublement des données sont aussi importants. Avoir un double à jour de ses informations critiques rend beaucoup moins vulnérable aux rançongiciels et permet de reprendre ses activités bien plus rapidement. Une autre recommandation fréquente consiste à éviter d’utiliser des comptes « administrateurs », car ceux-ci possèdent plus de droits sur les systèmes que des comptes « utilisateurs » — s’ils se retrouvent attaqués, les comptes « administrateurs » risquent de donner au ransomware un accès plus large aux systèmes de l’entreprise.