Rançongiciel (ransomware) : comment font les hackers, comment vous protéger
« Le rançongiciel représente actuellement la menace informatique la plus sérieuse pour les entreprises et les institutions.
Lorsqu'ils réussissent à contaminer un système, les cybercriminels exigent une rançon contre son rétablissement. Elle s'élève à plusieurs centaines d'euros pour les particuliers, et peut dépasser la dizaine de millions d'euros pour les grands groupes.
Ces opérations rapportent gros, avec un bénéfice annuel estimé à deux milliards de dollars. Forts de ce succès, les principaux gangs qui contrôlent les rançongiciels sont désormais capables de « lancer des attaques d'un niveau de sophistication équivalent aux opérations d'espionnages informatiques opérées par des États », dixit l'Anssi.
Cette puissance de feu a de lourdes conséquences : un rançongiciel peut paralyser l'activité de l'entreprise au point qu'elle doive déposer le bilan. S'il est toujours difficile de se protéger contre les cyberattaques les plus complexes, quelques mesures d'hygiène numérique permettent tout de même de réduire les risques pour soi, et pour son entreprise.
Quelles sont les conséquences d'une attaque rançongicielle ?
Lorsqu'il s'infiltre sur un système informatique, le rançongiciel va chiffrer toutes les données auxquelles il a accès. Non seulement les employés ne pourront plus lire leurs documents -- par exemple leurs fichiers clients -- mais le chiffrement empêchera aussi le bon fonctionnement de nombreux appareils et services de l'entreprise. Les dégâts peuvent être à tous les niveaux : adresses email désactivées, portiques d'entrée dysfonctionnels, logiciels inutilisables, machines de production hors service... À l'heure où les entreprises sont de plus en plus équipées en appareils connectés, un rançongiciel peut tout simplement stopper la chaîne de production.
L'ampleur des dégâts dépendra de la grandeur de la surface exposée au rançongiciel : une entreprise bien préparée pourrait limiter les dommages à une partie restreinte de son système informatique. Mais de leur côté, les cybercriminels innovent sans cesse pour essayer de contaminer l'intégralité du système, et paralyser toute l'entreprise.
Une fois le rançongiciel déployé, les hackers vont laisser une demande de rançon à payer en cryptomonnaie (bitcoin, ethereum, monero...) avec une adresse email à contacter. Si la victime paie, les cybercriminels s'engagent à donner la clé de déchiffrement, qui permettra d'inverser leur méfait et de récupérer les données. Pour l'entreprise, ce serait une perte financière sèche, qui est cependant couverte en partie par certaines assurances.
L'autre option, le non-paiement, est conseillée par tous les experts, mais elle devient de plus en plus risquée. Ces deux dernières années, les opérateurs de rançongiciel ont durci leurs pratiques : ils menacent désormais les entreprises de publier une partie de leurs données sur un blog dédié. Et plus les victimes tardent à payer, plus les rançonneurs dévoilent un volume important de leurs informations confidentielles.
La publication de ces données menace la réputation de l'entreprise auprès de ses clients, et peut rapidement se traduire en perte financière en cas de rupture ou de non-renouvellement de contrat avec ses partenaires. Et l'addition ne s'arrête pas là : qu'elle paie ou non la rançon, l'entreprise devra renforcer la protection de son système et effectuer plusieurs vérifications, ce qui lui coûtera du temps et de l'argent.
Comment les hackers lancent-ils leur rançongiciel ?
Concrètement, les rançongiciels sont des lignes de code, qui permettent de déclencher automatiquement certaines fonctionnalités. Ces lignes peuvent se cacher derrière des dizaines de formats de fichier (.docx, .pdf, .jpg...) assez léger pour être intégrés à des emails.
Un rançongiciel se déploie le plus souvent en plusieurs étapes, à la manière d'une fusée. Par exemple, une fois une pièce jointe malveillante téléchargée sur un ordinateur, elle installera un autre programme, plus lourd, à partir d'un serveur externe, qui pourra lui-même lancer le chiffrement des données.
L'enjeu pour les hackers est donc de poser un premier pied dans l'entreprise, et ils ont pour cela plusieurs moyens :
Piéger des employés grâce au phishing. L'email est la porte d'entrée la plus courante pour les rançongiciels : un des employés de l'entreprise télécharge un fichier malveillant qu'il ne devrait pas télécharger, et c'est le premier domino qui tombe. Les cybercriminels visent en priorité les personnes qui disposent d'accès privilégiés au réseau ou d'un statut hiérarchique élevé et qui pourront contaminer plus rapidement le reste de l'entreprise. Pour augmenter leurs chances de réussite, ils personnaliseront leurs emails d'hameçonnage grâce à des informations qu'ils auront récoltées au préalable.
Exploiter des vulnérabilités connues. Les hackers vont profiter de failles dans certains logicielles pour s'immiscer dans le système de la victime. Plus les versions des logiciels que vous utilisez sont anciennes, plus le nombre d'attaques auxquelles vous serez vulnérables sera grand.
Profiter de mots de passe simplistes. Dans certains cas, les rançonneurs vont se connecter eux-mêmes au réseau. Ils peuvent tenter de rentrer par la force brute, en testant de façon automatique des listes d'identifiants communs (« 123456 », « Azerty », « admin »...). Ils peuvent également essayer d'utiliser des identifiants issus de la fuite de données d'un autre service, mais réutilisés par les victimes dans le cadre professionnel.
Soudoyer un employé de l'entreprise. Il s'agit d'un cas peu commun, qui illustre cependant la difficulté à se protéger contre tous les angles d'attaques. Si un employé installe lui-même les bases du rançongiciel, le groupe n'aura que peu de parades.
Comment se protéger d'un rançongiciel ?
Maintenir ses logiciels à jour. À chaque mise à jour de sécurité, les éditeurs de logiciel corrigent des dizaines de vulnérabilités plus ou moins critiques. Parfois, ils offrent une protection contre une attaque qui profite déjà de la faille. Mais le plus souvent, ils réparent un bug encore inconnu par la majorité cybercriminels. Sauf qu'en publiant la réparation, ils pointent vers la faille, qui existe toujours chez les utilisateurs qui ne l'ont pas fait. Si vos logiciels à jour, vous vous protégez contre les attaques connues, et vous compliquez grandement la tâche des criminels, qui préfèreront s'en prendre à une victime moins vulnérable.
Faire des sauvegardes très régulières. C'est le meilleur moyen de rebondir après une attaque réussie. Vous n'aurez qu'à reprendre là où vous en étiez, et vous pourrez délaisser les données chiffrées. Cette mesure de prévention affaiblira un des leviers de pression des rançonneurs. Il faut tout de même garder à l'esprit que les rançongiciels les plus virulents sont développés de manière à traquer ces sauvegardes pour les corrompre. Les entreprises les plus précautionneuses sauvegardent donc leurs données à plusieurs emplacements, dont un hors ligne.
S'équiper d'un antivirus / antimalware et avoir des filtres sur les emails. Ces deux protections vont bloquer automatiquement les tentatives d'attaques les plus simplistes.
Utiliser un compte utilisateur plutôt qu'administrateur.
Segmenter son réseau : Plus le réseau informatique sera segmenté, moins le rançongiciel aura de risques de se propager. Par exemple, si le rançongiciel contamine un ordinateur du service des ressources humaines, il pourrait ne pas affecter la chaîne de production.
Que faire si je suis victime d'un rançongiciel ?
Débranchez-vous d'Internet et du réseau de l'entreprise. Vous limiterez les risques de contaminations, et empêcherez les cybercriminels de télécharger de nouvelles pièces malveillantes.
Ne payez pas. Ce choix fait consensus chez les experts. Si vous payez, vous exposez votre vulnérabilité, et augmenterez vos risques d'être attaqués à nouveau. De plus, il n'est pas rare que les rançonneurs augmentent leur prix quand la victime accepte de payer. Et pour finir, payer alimente le réseau cybercriminel, qui ne cesse de gagner en puissance à cause de ce cercle vicieux. Il est donc conseillé de rétablir son réseau à partir de ses sauvegardes.
Prenez le temps, il joue contre les cybercriminels. Plus la décision de leur victime sera précipitée, plus ce sera à leur avantage. C'est pourquoi, le plus souvent, ils déclenchent le chiffrement des données le vendredi soir, après que les employés sont partis en week-end. Ils compliquent ainsi l'établissement d'une cellule de crise, et mettent les employés présents sous pression avec une heure limite pour le paiement de la rançon.
Contactez les autorités compétentes. L'Anssi vous conseille de déposer plainte au commissariat. En cas d'attaque majeure, l'agence elle-même peut intervenir : en 2019, elle a participé à la gestion de 69 incidents d'envergure en France.
Regardez s'il n'existe pas un décrypteur. Ce conseil s'applique surtout aux particuliers. ID-ransomware propose par exemple de faire un diagnostic gratuit de votre rançongiciel. S'il le reconnaît, le site vous orientera vers des ressources utiles. Europol, avec No More Ransom, et certains éditeurs d'antivirus, comme Kaspersky, mettent régulièrement à jour leur base de décrypteurs de rançongiciel. Ces programmes cassent le chiffrement des cybercriminels.
Modifiez tous les mots de passe lors de la restauration du système. Que vous payiez ou non, les rançonneurs auront certainement une copie de vos identifiants.
Prévenez les personnes affectées par la fuite de données. Il convient de prévenir les personnes dont les données personnelles ont été compromises, avant qu'elles puissent se protéger et ne deviennent pas victimes à leur tour.