Boite à outils

Ransomware: de quoi s’agit-il exactement et comment y réagir ?

Dans une attaque par Ransomware, la cible ne peut plus accéder à son système d’information ou à son ordinateur. Elle n’a plus le contrôle sur toutes les données stockées. La finalité d’un Ransomware est généralement d’ordre financier. L’ANSSI estime que cette activité génère entre quelques millions à une centaine de millions de bénéfices pour les groupes de cybercriminels.

Thumbnail-Ransomware
Contenu mis à jour le

Le Ransomware est un terme anglais désignant un logiciel malveillant qui chiffre tous les fichiers présents dans un appareil. Ainsi, la cible ne peut plus accéder à son appareil si elle ne paie pas une rançon. L’attaque par Ransomware peut provenir d’une navigation sur un site non sécurisé, d’une ouverture d’un lien ou pièce jointe dans un e-mail, etc. Le rapport publié par Sophos met en avant un nouveau type d’attaque. Au-delà du chiffrement des données, les cybercriminels effectuent également des vols dans 30 % des cas. Ce même rapport révèle que 40 % des entreprises victimes ont payé plus d’un million de dollars de rançon. Pourtant, l’ANSSI conseille fortement aux entreprises françaises de ne pas céder à ces demandes. En l’occurrence, l’organisme donne quelques recommandations à prendre en cas d’attaque.

Définition et fonctionnement d’un Ransomware

Selon le rapport The State of Ransomware Report de Sophos pour l’année 2022, près de trois entreprises sur quatre ont connu une attaque par Ransomware en France. Ce rapport est conforté par une autre étude menée par CyberEdge Group sur la même année. Selon cette étude, 89,3 % des entreprises françaises ont été la victime d’une cyberattaque réussie.

Le Ransomware cible des entreprises de toutes tailles, y compris les administrations publiques. Ceci explique sans doute pourquoi les entreprises françaises allouent en moyenne 10 % de leur budget informatique à la cybersécurité. Cependant, ce chiffre est le plus faible par rapport aux autres pays de l’étude, selon CyberEdge. En effet, la moyenne mondiale se situe autour de 12,7 %. Mais ce type d’attaque représente une grave menace en matière de cybersécurité. Une attaque peut générer des coûts importants, sans parler des dommages.

Le Ransomware est une forme de logiciel malveillant qui s’incruste dans le système informatique de la cible, profitant d’une faille. Le malware se propage rapidement et atteint les données critiques de l’organisation en les cryptant. Cette attaque rend tous les fichiers et applications inaccessibles. L’auteur des faits réclame une rançon en échange du déchiffrement.

Le fonctionnement d’un Ransomware repose sur le cryptage asymétrique. Cette méthode nécessite l’utilisation de deux clés : une clé publique pour le chiffrement et une clé privée pour le déchiffrement. En l’absence de la clé privée, l’accès aux fichiers devient impossible pour la victime. Celle-ci obtient la clé en contrepartie d’une rançon.

Néanmoins, les dernières campagnes de Ransomware ont démontré que les entreprises n’ont pas toujours la garantie de retrouver leurs données. Selon une étude dévoilée en 2021, seuls 51 % des victimes ont pu retrouver l’intégralité de leurs données.

ordinateur piraté

ordinateur piraté

Le Ransomware en 4 étapes

Les autorités ont du mal à identifier les auteurs des Ransomwares. Pour cause, ils obligent généralement les victimes à payer via des cryptomonnaies comme le bitcoin. Au-delà des acteurs, d’autres groupes se spécialisent uniquement dans la conception de ces logiciels malveillants. Actuellement, il existe même des codes open source permettant à des novices en informatique de mener des attaques.

Une attaque par Ransomware se déroule généralement en quatre phases :

Livraison

Le logiciel malveillant doit pénétrer dans le système de la cible. Pour cela, les pirates utilisent un e-mail de phishing afin d’inciter le destinataire à l’ouvrir. Ils usurpent l’identité des grandes enseignes, des réseaux sociaux ou encore des banques pour mettre en confiance le destinataire. L’objet du mail peut être un solde insuffisant, un retard de livraison, un changement de mot de passe, etc. Ces e-mails contiennent en réalité des fichiers malveillants se présentant sous la forme d’un lien ou d’un fichier. Une fois qu’ils sont ouverts, ils se propagent dans le système de la victime.

Exploitation

Cette seconde phase commence à partir du moment de l’ouverture de la pièce jointe ou du lien laissant échapper le malware. Si l’appareil ciblé se trouve sur un réseau, le logiciel va directement reconnaître le contrôleur de domaine et obtenir les identifiants de connexion. Ces informations lui permettent ensuite d’atteindre le réseau et d’infecter les autres appareils qui s’y trouvent.

Rappel

Dans cette phase, la charge utile du logiciel malveillant communique avec ses serveurs de commande et de contrôle (C2). Les données volées sont directement envoyées vers ces serveurs.

Exécution

Les serveurs C2 envoient ensuite les directives sur la manière de mener l’attaque. Le malware s’exécute en installant le Ransomware. Ce dernier chiffre toutes les informations dans le système de la victime, les rendant inaccessibles.

Les auteurs du fait définissent un délai limité pour payer la rançon. Certains augmentent même le montant à l’approche de l’échéance. Les victimes sont censées obtenir une clé de déchiffrement en échange de la rançon.

Sachant que les méthodes des pirates évoluent, les dernières attaques par Ransomware ne cryptent pas seulement les données. Les pirates les dérobent d’abord avant de les chiffrer. Ainsi, même si la cible dispose d’une sauvegarde, ils menacent de divulguer des informations sensibles.

jeune-homme face a un ransomware sur son pc

jeune-homme face a un ransomware sur son pc

Évolution des attaques par Ransomware

Le Ransomware est loin d’être une nouvelle méthode de piratage. Au contraire, la première attaque connue du genre remonte à la fin des années 80. En effet, le Dr Joseph Popp a distribué des disquettes sous le titre « Disquette d’introduction à l’information sur le sida » lors d’une conférence de l’OMS à Stockholm.

Le support contenait en réalité un code malveillant qui s’installe directement sur le système MS-DOS. Il exécute ensuite le décompte du nombre de démarrages de l’appareil par son utilisateur. Lorsque le 90ᵉ démarrage est atteint, le logiciel malveillant chiffre toutes les données présentes sur le disque de la victime. Celle-ci reçoit ensuite un message indiquant l’expiration du bail du logiciel. Elle doit payer 189 $ pour retrouver l’accès aux fichiers.

La prochaine vague de Ransomware portait le nom de « Scareware ». Dans ce type d’attaque, les cibles reçoivent un avertissement d’une erreur catastrophique sur leur appareil. Elles sont invitées à télécharger un logiciel pour la réparation. Pourtant, il s’agissait d’un malware destiné à dérober des informations.

Avec l’essor du téléchargement et du streaming, une autre forme de Ransomware a vu le jour. Surnommé Police Locker, ce logiciel se cache généralement dans les fichiers sur les sites de téléchargement illégal ou les sites proposant des contenus pour adultes. L’internaute reçoit aussitôt une note présumée des forces de l’ordre l’intimant d’une activité illégale. En parallèle, son ordinateur n’est plus accessible.

Ayant peur des conséquences, les victimes ont dû payer quelques centaines de dollars pour retrouver leur appareil.

Jeune femme faisant face à l'évolution du ransomware sur son pc

Jeune femme faisant face à l’évolution du ransomware sur son pc

Les acteurs du Ransomware

LockBit est le groupe de Ransomware le plus actif en 2022. Il est l’auteur de 34 % des attaques perpétrées sur l’année avec plus de 800 attaques, soit une moyenne de deux attaques par jour. En comparaison, l’autre groupe BlackCat a ciblé 215 entreprises sur la même année. Dans le cas de la France, LockBit est responsable d’au moins 55 attaques selon le rapport d’Outpost24.

LockBit est une organisation de RaaS ou Ransomware-as-a-Service la plus prolifique des dernières années. En juin 2022, ils ont même développé un nouveau DLS nommé « Lockbit 3.0 ». Les spécialistes ont constaté un ralentissement de leur activité vers la fin de l’année. Pour cause, l’identité de deux développeurs du groupe a été compromise. Un homme a été arrêté par la suite au Canada.

Au-delà de LockBit, de nouveaux groupes ont sévi dans le domaine des Ransomwares brièvement en 2022. Les plus connus d’entre eux sont Sparta, Entropy ou encore Stormous. D’autres préfèrent se faire discrets entre deux attaques.

Ces groupes éphémères mènent quelques attaques réussies avant de disparaître. La plupart d’entre eux sont motivés par l’appât du gain rapide. Leurs cibles sont généralement des organisations de petite taille, les rançons sont de ce fait moins élevées. Cette stratégie leur garantit un paiement discret, loin des impacts médiatiques. Ces groupes échappent facilement à la surveillance des autorités. De leur côté, les victimes portent rarement l’affaire devant la justice.

Qui sont les secteurs visés ?

Concernant les victimes, les secteurs de la finance, de l’e-commerce, de la construction et du droit sont les plus touchés par une attaque de Ransomware. En effet, les pirates ciblent essentiellement les secteurs susceptibles de payer une rançon.

Ces secteurs emploient davantage de salariés. Ils disposent d’un nombre important de clients et collaborent avec des fournisseurs tiers. Assurer la sécurité de tous les points d’accès dans ce contexte n’est pas évident.

Par ailleurs, certaines organisations doivent garantir la confidentialité des données de sa clientèle. En cas d’attaque, elles se plient facilement à la demande des pirates. C’est le cas par exemple dans le secteur commercial ou juridique.

En France, l’ANSSI constate depuis 2020 une concentration des attaques vers le secteur de l’éducation et de la santé, des collectivités locales ainsi que des entreprises de services numériques.

Qui sont les pays victimes ?

En se basant sur la répartition géographique, les pays occidentaux sont les cibles privilégiées des attaques de Ransomware. Pour cause, les entreprises dans ces pays ont les moyens pour payer la rançon.

Selon l’étude d’Outpost24, 28 % des attaques ont eu lieu en Europe contre 42 % aux États-Unis. La France se trouve à la troisième place des pays les plus touchés par ce type d’attaques derrière le Royaume-Uni et les USA.

Faut-il payer la rançon en cas d’attaque ?

Payer la rançon semble être la meilleure solution pour que l’entreprise reprenne ses affaires rapidement. Malheureusement, cette décision n’est pas toujours bénéfique dans certains cas.

En France, l’avis de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est catégorique : le paiement ne doit être qu’une solution de dernier recours. En parallèle, l’agence a publié quelques directives à suivre en cas d’attaque. Le premier réflexe consiste à solliciter un expert pour une assistance technique et communiquer auprès des employés et des partenaires. L’entreprise peut ensuite restaurer les fichiers à partir de sauvegardes stockés sur des sources saines. L’ANSSI recommande également de déposer plainte après ces évènements.

Les inconvénients à prendre en compte en cas de paiement de la rançon

Selon les chiffres de Cybereason, 46 % des cibles d’un Ransomware ont fait face à des données altérées après le paiement de la rançon. 3 % d’entre elles n’ont pas retrouvé la totalité des données. Ces chiffres confortent la recommandation de l’ANSSI de ne pas répondre positivement à la requête des hackers. La clé de déchiffrement remise en échange de la rançon ne fonctionne pas toujours.

L’argent versé aux cybercriminels ne fait que les renforcer davantage. En effet, la rançon contribue à étendre leur organisation en développant de nouveaux logiciels ou en recrutant de nouveaux hackers. Plus les entreprises paient, plus le phénomène prend de l’ampleur et peut durer pendant des années.

Par ailleurs, le paiement encourage les hackers à la récidive. 80 % des victimes ayant payé la rançon ont été la cible d’une nouvelle attaque.

Que dit la loi française?

La députée Valéria Faure-Muntian sonne l’alerte en proposant une loi radicale à l’Assemblée. En 2021, elle propose l’interdiction d’indemnisation de la rançon par les assureurs. En effet, cette garantie figure dans les offres de cyberassurance. Selon le groupe d’études à l’origine de la proposition de loi, cette garantie ne fait que gonfler les primes d’assurance et encourage les pirates dans leurs activités.

Après des mois de débat, la LOPMI (loi d’orientation et de programmation du ministère de l’Intérieur) vient poser le cadre en 2022. Elle a écarté le fait de rendre le paiement de rançons illégal. En occurrence, elle pose une condition sur l’autorisation de paiement. L’entreprise victime doit déposer plainte dans les 48 heures suivant le paiement.

Homme se questionnant sur le paiement de la rançon

Homme se questionnant sur le paiement de la rançon

Les mesures à prendre en cas d’attaque par Ransomware

Les premières heures sont cruciales dans la gestion d’une attaque par Ransomware. Une fois le logiciel malveillant identifié, les mesures suivantes permettent de limiter les dégâts :

Isolement de l’appareil infecté

Lorsque le malware infecte un appareil, les dégâts sont encore limités. Par contre, il peut causer la faillite d’une organisation lorsqu’il s’attaque à tous les appareils du réseau. Ainsi, il est primordial de déconnecter l’ordinateur ciblé du réseau rapidement. Le temps de réaction est crucial pour éviter la propagation.

Arrêt de la propagation

Le fait d’isoler l’ordinateur infecté n’est pas suffisant si l’entreprise ne connaît pas depuis quand le malware est présent dans celui-ci. Pour augmenter l’efficacité de la mesure, il est conseillé de déconnecter tous les appareils suspects du réseau. Il faut également cesser l’utilisation des connexions sans fil comme le Bluetooth et le Wi-fi.

Évaluation des dommages

Une fois ces mesures prises, l’heure est à la constatation des dégâts. Il faut identifier tous les fichiers ayant des extensions méconnues. Les utilisateurs doivent remonter leur difficulté à ouvrir certains documents. L’objectif ici est d’établir une liste précise des appareils et systèmes concernés (disques durs externes, clés USB, stockage cloud, etc.).

Localisation du patient zéro

L’identification de la source facilite le suivi de la propagation de l’infection. Les antivirus ont peut-être déjà alerté sur l’intrusion. Sachant que le malware s’introduit généralement via un lien ou une pièce jointe envoyés par e-mail, l’entreprise doit interroger tous les employés ayant ouvert des mails suspects.

Signalement aux autorités

Le Ransomware est une activité illégale. Ainsi, l’entreprise peut déposer plainte auprès des autorités pour obtenir une assistance et identifier les auteurs des faits. La collaboration avec la police augmente également les chances de retrouver certaines données perdues. Notons que le RGPD oblige les entités ayant une activité en Europe à révéler la violation de données. En omettant cette démarche, l’entreprise s’expose à de lourdes amendes.

Restauration par sauvegarde

Selon The State of Ransomware in France 2022 de Sophos, la sauvegarde représente la première solution pour restaurer les données chez 78 % des entreprises victimes de Ransomware. Néanmoins, avant d’envisager cette approche, un antivirus ou antimalware est nécessaire pour s’assurer qu’aucun fichier n’est plus infecté. Sinon, le malware risque de corrompre également la sauvegarde.

Décryptage

Si l’entreprise ne dispose pas d’une solution de sauvegarde, elle doit passer par les clés de décryptage. Il en existe de plus en plus sur internet. De plus, elles sont gratuites. Pour cela, la victime doit s’assurer de trouver la version adaptée à la variante de son Ransomware. Cependant, malgré l’existence de la clé de déchiffrement, le processus peut encore prendre des heures, voire des jours.

01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

Qu'est-ce qu'un ransomware ?

Un ransomware est un type de logiciel malveillant qui bloque l'accès à un système informatique ou à des données, généralement en les chiffrant, et demande ensuite une rançon pour restaurer l'accès.

Faut-il payer la rançon en cas d’attaque ?

La question de savoir s'il faut payer la rançon en cas d'attaque par un ransomware est complexe. Bien que le paiement puisse sembler être la meilleure solution pour que l'entreprise reprenne rapidement ses activités, il existe des inconvénients à prendre en compte. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) en France recommande de ne payer qu'en dernier recours. Les inconvénients du paiement sont nombreux : les données peuvent être altérées, l'argent versé renforce les hackers, et cela encourage les récidives. La loi française n'interdit pas le paiement, mais pose des conditions strictes, comme le dépôt de plainte dans les 48 heures suivant le paiement.