Les rançongiciels crypte les données de l’ordinateur de sa victime pour les rendre inaccessible.

Le rançongiciel (ou ransomware) est avant tout un outil de chiffrement. Une fois installé sur une machine, il va crypter des données qui s’y trouvent afin de les « prendre en otage ». Les rançongiciels s’attaquent aux PC, aux Mac mais aussi aux smartphones et tablettes quel que soit leur système d’exploitation.

Certains ransomwares ne vont s’attaquer qu’à des informations spécifiques (les fichiers du répertoire « mes documents », les fichiers de données texte ou image…), tandis que d’autres, comme le redoutable (et très récent) Petya, ne feront pas de détails et crypteront l’ensemble du ou des disques durs présents sur la machine infectée. Au final, les informations visées, sans être détruites, deviennent totalement inaccessibles.

Attention : beaucoup de rançongiciels (Locky, CTB-Locker…) ne vont pas se contenter de chiffrer les fichiers contenus sur le ou les disques durs de l’ordinateur infecté. Ils vont aussi s’attaquer aux données présentes sur les supports que la machine contrôle (clés USB, disque dur portable, données enregistrées sur un serveur en cas de connexion à un réseau).

Et il faut savoir que le niveau de chiffrement utilisé par la plupart des rançongiciels est très élevé. Dès lors, parvenir à décrypter les données sans endommager les informations et dans des délais raisonnables est presque impossible, même avec l’aide d’informaticiens très compétents.

Comme dans toutes les prises d’otage, une rançon est demandée.

Lorsqu’il a crypté les données, le rançongiciel informe sa victime de la situation. Généralement, un encart prend place sur l’écran de la machine contaminée (et dans certains cas est enregistré comme « fonds d’écran »). Dans cet encart sont présentés : le fonctionnement du rançongiciel et son but, les données cryptées ; la conduite à tenir et le montant de la rançon à verser.

Par exemple, Locky, un des rançongiciels les plus répandus, fait apparaître, dans un encart baptisé « Informations importantes », les données suivantes :
- « Tous vos fichiers viennent d’être cryptés avec les algorithmes RSA-2048 et AES 128 ».

À noter : Locky propose des liens sur les pages Wikipédia dédiées à ces algorithmes de chiffrement pour convaincre ses victimes de leur efficacité.

- « Le déchiffrement de vos fichiers n’est possible qu’avec l’aide d’une clé privée présente sur notre serveur secret. Pour accéder à cette clé privée, veuillez cliquer sur un des liens suivants (liste de liens…) »

- « Voici votre identifiant personnel (ID : XXXXXX) »

À noter : une fois connecté sur le serveur, la victime devra entrer son identifiant afin de se voir attribuer la bonne clé privée. Une clé privée qu’elle n’obtiendra qu’après avoir réglé la rançon.

La rançon

Le plus souvent, les rançongiciels sont lâchés sur Internet par leurs auteurs « au petit bonheur la chance ». Les entreprises comme les particuliers pouvant être touchés, les rançons demandées sont standardisées et « peu élevées » (entre 200 et 400 €). En revanche, dans certaines situations, ces rançongiciels sont adressés (notamment via des faux courriels très personnalisés) à une victime identifiée (le plus souvent une entreprise) et choisie en fonction de sa solvabilité supposée. Dans cette hypothèse, le montant de la rançon peut dépasser plusieurs dizaines de milliers d’euros.

Le paiement pourra s’effectuer par virement (sur un compte offshore), le plus souvent en bitcoins (une monnaie électronique) ou, pour les rançons de faible montant, via des publicités en ligne sur lesquelles la victime est invitée à cliquer jusqu’à obtention du montant attendu par les hackers.

Attention : bien sûr, le paiement de la rançon ne garantit pas la récupération de la clé privée de déchiffrement.

Quelques conseils pour limiter les risques de subir l’attaque d’un rançongiciel.

Les rançongiciels se propagent comme tous les virus. Il convient donc pour éviter d’être contaminé :
- de ne pas ouvrir les pièces jointes (.doc, .exe, .scr, .cab…) associées à des courriels suspects. Tout courriel émanant d’un expéditeur non clairement identifié, doit être considéré comme un fichier suspect. Il en va de même des courriels « incongrus » (envoi d’une facture par un prestataire connu à la mauvaise personne, par exemple) ;
- de mettre à jour ses antivirus régulièrement ;
- d’activer les mises à jour automatiques des programmes permettant la navigation (systèmes d’exploitation, navigateur, Java…) pour limiter les risques d’être victime d’une faille de sécurité ;
- d’effectuer des sauvegardes régulières. Grâce à elles, il sera possible de réinstaller les données et les programmes sans devoir verser une rançon.

En cas d’attaque, il est conseillé de :
- déconnecter le poste contaminé de tout accès Internet (wifi, câble…) ;
- déconnecter le poste contaminé du réseau afin de limiter les risques de propagation au serveur ;
- de bloquer le système de sauvegarde automatique afin d’éviter que les données contaminées viennent « écraser » les fichiers sains enregistrés lors de la précédente opération de sauvegarde ;
- de ne pas payer la rançon ;
- de procéder au « nettoyage » de la machine infectée (formatage, réinstallation des logiciels et restauration des fichiers de données).

Article du 06/05/2016 - © Copyright Les Echos Publishing - 2021