Les ransomwares (encore appelés rançongiciels en français) sont le nouveau fléau de la sécurité informatique pour le grand public et les entreprises. Qu’est-ce qu’un ransomware, en quoi diffère t’il d’un virus traditionnel, comment expliquer l’ampleur de cette nouvelle menace informatique et comment s’en protéger ?
Qu’est-ce qu’un ransomware?
Lorsqu’un ordinateur est infecté par un ransomware, le virus se met à crypter l’ensemble des données du disque.
Le principe est simple : les données de l’utilisateur sont prises en otage une fois cryptées, et une rançon est demandée à l’utilisateur pour obtenir une clé de décryptage permettant de retrouver ses données.
Et le virus est vicieux : il commence généralement par crypter les données en ciblant celles qui ont probablement la plus grande valeur pour l’utilisateur : les fichiers dont la date de modification est la plus récente, des emplacements particuliers (Mes Documents, etc.), des extensions de fichiers correspondant aux photos et documents bureautiques, etc.. Le virus peut aussi se propager sur les disques branchés en usb, les lecteurs réseau…
Et généralement, plus le temps passe, et plus le montant de la rançon demandée augmente également… Certains vont même jusqu’à supprimer définitivement des fichiers avec le temps, pour encourager le paiement de la rançon.
L’ampleur des ransomwares est inquiétante
Ce nouveau type de virus s’est propagé de manière rapide et importante ces dernières années, avec des dommages parfois très conséquents.
On a vu des entreprises entières de type PME, voire même des hôpitaux, se retrouver complètement piégés par un ransomware. Comment expliquer un tel phénomène?
- le ransomware apporte un dommage immédiat pour l’utilisateur : une entreprise entière peut se retrouver paralysée, les conséquences sont directes pour l’utilisateur qui est donc plus enclin à vouloir payer la rançon
- le modèle économique et financier pour les pirates et cybercriminels est redoutable : avec la monnaie Bitcoin, le paiement des rançons est intraçable. Et les pirates ont monté des modèles économiques innovants, par exemple sous forme de campagnes d’affiliation : les gens qui diffusent le ransomware touchent alors un pourcentage des rançons versées
- les antivirus traditionnels ne suffisent pas à arrêter tous les ransomwares
- de manière générale, l’importance des sauvegardes informatiques est trop souvent négligée
Pour mesurer l’ampleur de cette menace, rien ne vaut des chiffres. La société de sécurité informatique Check Point a récemment publié une analyse sur l’un des principaux ransomwares du moment, le virus Cerber. Les données recueillies sont impressionnantes:
- 209 millions de dollars de revenus générés pour les cybercriminels
- plus de 150 campagnes d’affiliation, et une dizaine de nouvelles campagne chaque jour
Se protéger des ransomwares : mieux vaut prévenir que guérir
Voir l’intégralité (ou même une partie) de ses données se faire crypter par un virus dont le seul but est d’enrichir un cybercriminel, n’est pas forcément très agréable.
D’autant plus quand vous verrez un message vous demandant de verser en Bitcoin un montant de l’ordre de 500€ à 1000€ pour obtenir la clé de décryptage pour retrouver l’accès à vos données. La rançon demandée peut d’ailleurs différer en fonction de la cible, il est évident que la rançon sera bien plus élevée pour une entreprise. Pour l’un des hôpitaux victimes d’un ransomware, la rançon demandée s’élevait à 30 000 dollars.
Soyez vigilants à ce que vous faîtes !
La première protection contre un ransomware est vous!
En effet, 99% des ransomwares se propagent à l’origine par un mail frauduleux (phishing, mails douteux avec pièce jointe ou lien dans le mail). Il est absolument impératif de ne jamais cliquer sur un lien ou ouvrir une pièce jointe d’un mail dont l’origine n’est pas connue ou dont l’adresse ressemble à une adresse officielle sans en être identique.
Mais les ransomwares se propagent également par d’autres biais : par exemple par des pubs sur des sites internet qui exécutent alors un code malveillant, des applications mobiles douteuses, etc.
Ou encore par des failles de sécurité, comme notamment le ransomware WannaCry utilisé dans une attaque mondiale en mai 2017 : celui-ci se propage par une faille de sécurité présente dans bon nombre de versions de Windows. Face à l’ampleur de l’attaque, Microsoft a même décidé de patcher les anciennes versions de Windows qui ne sont normalement plus supportées par l’éditeur.
La sauvegarde, le nerf de la guerre en informatique
Sauvegardez, sauvegardez, sauvegardez!
On ne le dira jamais assez, une stratégie de sauvegarde doit être réfléchie avant qu’un problème arrive ; après, il est trop tard.
Imaginez qu’un ransomware vienne de verrouiller vos données. 2 possibilités:
- vous n’avez aucune sauvegarde de vos données et vous êtes alors en panique totale
- vous avez une sauvegarde récente de vos données, et vous êtes content de n’avoir rien à payer, juste de reformater le disque dur et réinstaller le système
Il est absolument indispensable d’avoir une bonne stratégie de sauvegarde automatique.
Mais attention car il y a certains pièges à éviter avec les ransomwares : comme ils peuvent crypter les données des disques USB et réseau, il vous faut absolument une sauvegarde déconnectée. Des entreprises se sont fait avoir : les sauvegardes étaient sur des disques réseaux qui n’ont pas été épargnés par le cryptage du ransomware…
Si vous n’avez pas aujourd’hui de stratégie de sauvegarde efficace et clairement définie, je vous recommande de suivre ce tutoriel qui vous permettra d’avoir en permanence une sauvegarde automatique off-site, basée sur une rotation de 2 disques durs externes, l’un étant toujours dans un endroit physique séparé de l’ordinateur sauvegardé. L’avantage de cette solution (contrairement à une sauvegarde dans le cloud), c’est qu’une sauvegarde est toujours déconnectée de l’ordinateur, ce qui la rend inatteignable par le ransomware.
Tenir à jour son système et ses antivirus
De manière générale, il faut toujours tenir à jour son système d’exploitation et les logiciels, car ces mises à jour comblent des failles de sécurité qui sont détectées.
Optez pour un bon antivirus
Les antivirus n’arrêtent pas forcément les ransomwares. En effet, si le ransomware est encore inconnu de la base de données de l’antivirus, il ne sera pas détecté. Face à ce risque, les éditeurs de solution antivirus travaillent de plus en plus à rajouter une protection plus générique qui consiste à détecter un comportement suspect, mais qui n’est pas infaillible.
Gardez à l’esprit qu’un bon antivirus est forcément un antivirus payant. Personnellement je recommande Bitdefender ou Kaspersky. Après l’attaque de WannaCry par exemple, Bitdefender a notamment communiqué sur le fait que son système de protection générique avait su bloquer le ransomware dès le début de l’attaque.
L’usage de couches de sécurité complémentaires à l’antivirus peut aussi permettre de bloquer un ransomware, en particulier les antimalwares et antiexploits tels que Malwarebytes 3.
Que faire si vos données sont prises en otage par un ransomware ?
La décision vous appartient en fonction de la valeur que vous accordez à vos données verrouillées.
Avant de verser l’argent de la rançon, il faut garder en tête que vous n’avez aucune garantie que la clé de décryptage vous sera communiquée en retour ou qu’elle fonctionnera.
Certains éditeurs de sécurité informatique publient des programmes qui tentent de déverrouiller les données sans payer la rançon pour certains ransomwares.
Mais enlever un ransomware n’est pas anodin et pas sans risque pour les données cryptées (qui pourraient être supprimées comme le précisent certains ransomwares sur l’écran affiché).
Et vous, avez vous déjà eu à faire à un ransomware? Faites vous des sauvegardes régulièrement? Partagez votre expérience en commentaires ci-dessous!