On ne se fait pas seulement rançonner dans la rue, mais également sur la toile. Les "rançongiciels" sont des virus qui rendent l'ordinateur qui en est victime inutilisable, et ce jusqu'à ce que paiement soit effectué...
Atlantico : Depuis quelques temps semble apparaitre une recrudescence d'attaques informatiques d'un genre assez nouveau pour le grand public : celles des ransomware, ou "rançongiciels", dont le plus célèbre est Cryptolocker, qui chiffre les données personnelles et demande ensuite une rançon contre leur déchiffrement. Que sont ces logiciels "preneurs d'otages" et comment fonctionnent-ils ?
Romain Castel : Les ransomware sont à la mode car il permettent de gagner de l'argent facilement en profitant de la crédulité ou de l'impuissance des gens face à des problèmes informatiques. En effectuant une petite rétrospective ont peut distinguer trois types de ransomware :
- Les premiers sont ceux qui sont apparus à la fin des années 80
A cette époque ils ne prenaient pas le contrôle complet de l'ordinateur cible. Ils indiquaient simplement que la licence d'un logiciel lambda était expirée et qu'il fallait la renouveler. Évidemment le malware indiquait une adresse de paiement différente de celle du logiciel.
- Ensuite, vers la fin des années 2000, un autre type de ransomware est apparu :
ceux qui ont pour but de bloquer complètement le fonctionnement de l'ordinateur infecté en remplaçant un élément primordial du système. Par exemple, le ransomware dit de la "gendarmerie nationale" qui affirme qu'une infraction a été commise sur l'ordinateur infecté et qu'il faut payer une amende immédiatement pour pouvoir continuer à l'utiliser. Pour fonctionner, ce malware remplace le bureau Windows par une image conçue pour tromper l'utilisateur et l'induire a payer la fausse amende sur le compte bancaire indiqué.
- Enfin le troisième type de ransomware que l'on peut observer aujourd'hui est celui de type Cryptolocker, qui n'a pas vocation à verrouiller complètement le fonctionnement de l'ordinateur mais rend inutilisable toutes les données (photo, vidéo, document, sauvegarde, etc.) stockées sur le disque dur. Cela donne au concepteur du malware un moyen de pression fort, car si la victime ne paye pas elle risque de perdre toutes ses données. En réalité, dans le cas ou le déchiffrement se fait avec la même clef que celle utilisée pour le chiffrement, un expert en sécurité informatique pourra retrouver la clef permettant de déchiffrer les données et, éventuellement, publier un outil qui permettra aux victimes de récupérer leurs données.
Quelles formes prennent les attaques des ransomware ? Comment les détecter et les prévenir en amont ?
Les vecteurs d'infection des ransomware ne sont pas différents des autres virus. En effet, comme la plupart d'entre eux, ils se propagent grâce a deux moyens principaux :
- Le premier vecteur d'infection virale est le téléchargement de données depuis Internet
Ce téléchargement peut être initialisé par l'attaquant au moyen d'une campagne de fishing mail (ce type d'attaque consiste à envoyer un grand nombre de mails en espérant qu'un pourcentage des receveurs effectuera les actions décrites dans le mail). Dans le cas d'un malware, l'objectif est de faire télécharger le logiciel malveillant par l'utilisateur. Le mail va donc soit contenir une pièce jointe à télécharger, soit envoyer l'utilisateur sur un site Web pour qu'il y télécharge le fichier. Dans les deux cas, l'utilisateur récupère le malware déguisé en quelque chose de cohérent qui, une fois le fichier utilisé, s'injecte et effectue ses "actions malveillantes" au redémarrage de l'ordinateur. Mais le téléchargement du ransomware peut également se faire sans aucune intervention de l'attaquant, par exemple lorsqu'un utilisateur télécharge un logiciel (légalement ou illégalement) et l'installe.
Comment se protéger de Cryptolocker et autres virus qui cryptent vos fichiers pour vous rançonner. - Photo à titre d'illustration