Les rançongiciels : pour certains, ils font penser à l’intrigue d’un thriller futuriste. Mais l’époque où une rançon correspondait à une demande d’argent en échange de la sécurité d’une personne kidnappée (ou d’un animal – combien seriez-vous prêt à payer pour la libération de Fluffy ?) est révolue. À l’ère du numérique, ce sont plutôt vos données qui sont en danger. À quoi correspond donc cette prise d’otages numérique, comment fonctionne-t-elle et surtout, comment pouvez-vous vous en protéger ? De plus, quel est le rapport avec un certain biologiste évolutionniste de la fin des années 1980 ? Nous avons les réponses à vos préoccupations les plus pressantes en matière de rançongiciels.
Au plus près des rançongiciels : que sont-ils ?
Comme son nom l’indique, le rançongiciel est un type de logiciel malveillant qui empêche l’utilisateur d’accéder à ses fichiers, voire à l’ensemble du système d’exploitation, jusqu’au paiement d’une rançon. Il verrouille l’écran du système ou chiffre les fichiers jusqu’à ce que l’utilisateur fasse ce qu’il demande. Si vous en êtes victime, vous recevez une note de rançon vous informant que vous devez payer une certaine somme d’argent, souvent en cryptomonnaies, pour libérer votre système ou vos données. Il y a généralement une date limite pour effectuer le paiement et si vous ne la respectez pas, les cyberattaquants peuvent supprimer définitivement vos fichiers ou les rendre publics. Malheureusement, même si vous payez la rançon, il n’y a aucune garantie que vous recevrez la clé de déchiffrement qui vous permettra de retrouver l’accès à vos données. L’honnêteté n’est pas toujours la meilleure politique parmi les voleurs…
Saviez-vous que le rançongiciel avait un père fondateur ? Le premier cas documenté a été le cheval de Troie AIDS de 1989. Le biologiste évolutionniste Joseph L. Popp a envoyé 20 000 disquettes intitulées « AIDS Information-Introductory Diskettes » (Informations sur le sida – Disquettes d’introduction) aux participants de la conférence internationale sur le sida organisée par l’Organisation mondiale de la santé. Ces derniers étaient infectés par un cheval de Troie qui chiffrait les fichiers de l’ordinateur. Pour y accéder à nouveau, ils devaient envoyer 189 dollars à une boîte postale au Panama. Le Dr Popp a été arrêté mais, après avoir commencé à porter une boîte en carton sur la tête, il a été déclaré inapte à être jugé. (Malheureusement, le chapeau en carton ne constitue pas une défense efficace contre les rançongiciels. Nous y reviendrons plus tard.)
Que fait un rançongiciel et comment se déploie-t-il ?
Tous les rançongiciels se comportent de manière légèrement différente, mais essentiellement, ils peuvent être regroupés en deux catégories : les rançongiciels de verrouillage et les rançongiciels de chiffrement. Comme leur nom l’indique, les premiers bloquent la victime hors de son système d’exploitation, de sorte qu’elle ne peut pas accéder à son bureau, ni à aucune application ou fichier. Les seconds utilisent des algorithmes de chiffrement avancés pour bloquer les fichiers système et sont généralement les plus courants, mais le résultat est le même : la victime est bloquée et reçoit une demande de rançon pour la libération de son système ou de ses données.
Les méthodes d’infection suivantes sont les plus populaires auprès des cybercriminels. Rappelez-vous : ils cherchent l’accès le plus facile par des portes dérobées. Ils aiment aussi les utilisateurs qui ne sont pas très au fait de la cybersécurité et les aident involontairement à atteindre leurs objectifs. Soyez à l’affût des éléments suivants :
- Pièces jointes à des e-mails : ces pièces jointes malveillantes dans des e-mails apparemment innocents peuvent être livrées dans divers formats (fichier ZIP, PDF, document Word, Excel, etc.). Une fois la pièce jointe ouverte, le rançongiciel peut être déployé immédiatement. Parfois, les cyberattaquants attendent plusieurs jours, voire davantage, comme ce fut le cas dans les attaques de Trickbot, où le rançongiciel était initialement diffusé par un cheval de Troie bancaire. Ces e-mails sont souvent bien rédigés, ce qui leur confère une grande crédibilité. Après tout, plus la pièce jointe semble légitime, plus vous êtes susceptible de l’ouvrir.
Prenons comme exemple ce scénario catastrophe : un employé du centre médical de l’Université du Vermont a ouvert un fichier infecté reçu par e-mail, ce qui a conduit le plus grand hôpital de l’État à annuler des opérations chirurgicales et à retarder certains traitements contre le cancer.
- URL malveillantes : ces liens sont insérés dans des e-mails, des publications sur les réseaux sociaux et même des SMS. Pour déclencher l’action du lecteur, les messages évoquent généralement un sentiment d’indignation, d’urgence ou de mystère. Un chaton a-t-il été jeté dans une poubelle ? Cliquez sur le lien à vos risques et périls : cela pourrait déclencher le téléchargement d’un rançongiciel (mais heureusement, aucun animal n’a été blessé).
- Téléchargements automatiques intempestifs : cela commence en toute innocence. Vous visitez un site internet de confiance, sans vous rendre compte qu’un code malveillant y a été injecté. Il commence à scanner votre appareil à la recherche de vulnérabilités de sécurité… et tout à coup, dès qu’il repère une faiblesse, comme une application obsolète, il s’infiltre dans le système et en prend le contrôle. Le tour est joué.
- Malvertising : les publicités en ligne peuvent être plus qu’énervantes. Elles peuvent contenir des codes malveillants, grâce à des escrocs qui achètent des espaces publicitaires sur des sites internet légitimes et soumettent ensuite des images infectées. Il est difficile de distinguer les bonnes annonces des mauvaises. Ainsi, les utilisateurs ne se rendent pas compte qu’ils ont été redirigés vers un site malveillant après avoir cliqué sur l’annonce. Sur le site, un code malveillant s’infiltre ensuite dans le système.
- Exploitations de Remote Desktop Protocol : si vous travaillez à domicile pour une entreprise, il y a de fortes chances que vous vous connectiez à distance via le portail de l’entreprise. Ce protocole de communication est appelé RDP (Remote Desktop Protocol). Les cybercriminels parcourent internet à la recherche d’ordinateurs dont les ports (connexions) sont exposés. Ils tentent ensuite d’accéder à l’ordinateur par le biais de ses failles de sécurité ou en utilisant des attaques par force brute pour cracker ses identifiants de connexion.
- Lecteurs USB : ne soyez pas le malheureux collaborateur qui, sans le savoir, connecte un périphérique USB infecté. Le rançongiciel peut alors chiffrer non seulement votre ordinateur local, mais aussi se propager sur le réseau. Si les anciennes souches de rançongiciel n’étaient capables de chiffrer que le seul ordinateur qu’elles infectaient. Aujourd’hui, les variantes avancées se propagent automatiquement et peuvent donc se déplacer latéralement, vers d’autres appareils du réseau. Les attaques réussies peuvent paralyser des entreprises entières, ce qui ne fait pas très professionnel sur un CV.
- Logiciels piratés : les logiciels sans licence se cachent partout, mais ils peuvent être truffés de rançongiciels, comme ce fut le cas avec le fléau STOP/Djvu qui a débuté en 2018 et qui connaît aujourd’hui une résurgence. À moins que vous ne souhaitiez recevoir une note de rançon exigeant un paiement en bitcoins pour la libération de vos fichiers, ne téléchargez que des logiciels propres et authentiques provenant directement du fabricant.
Vous trouverez des conseils sur la façon de vous protéger contre cette liste de rançongiciels suspects à la fin de ce blog. Vous pouvez les consulter dès maintenant ou continuer simplement à lire…
Secteurs que les cyberattaquants aiment attaquer et principaux exemples de rançongiciels
Les cyberattaquants choisissent généralement les endroits où ils peuvent espérer un gain financier maximal, mais si vous pensez que vous ou votre entreprise êtes trop petits pour avoir de l’importance, détrompez-vous. Les rançongiciels peuvent être utilisés contre toutes sortes d’organisations, tant dans le secteur privé que dans le secteur public, et pas seulement contre les entreprises de 50 000 personnes et plus. Les domaines suivants sont généralement des cibles privilégiées : l’éducation (y compris les écoles, les collèges et les universités), les soins de santé, les services commerciaux et juridiques, le commerce de détail, le gouvernement, les technologies de l’information, l’industrie manufacturière et l’énergie/les services publics.
Les données confidentielles ont tendance à être lucratives pour les auteurs de rançongiciels, car les entreprises cherchent désespérément à les récupérer. C’est la raison pour laquelle les écoles et les hôpitaux sont des cibles populaires : ils recueillent de grandes quantités de données sensibles. Prenons comme exemple les attaques contre le service national de santé irlandais en 2021. Une bande criminelle, Wizard Spider, a perturbé les services et aurait demandé 20 millions de dollars (près de 21 millions d’euros) pour les rétablir. Cela a entraîné une quasi-fermeture des réseaux et, dans certaines régions, les rendez-vous ont chuté de 80 %.
De même, les services professionnels, tels que les services juridiques et de conseil, ont tendance à abriter un trésor d’informations confidentielles. De plus, ils peuvent ne pas disposer d’une cybersécurité adéquate, ce qui en fait des cibles faciles. Même les géants ne sont pas à l’abri, comme l’illustre cette cyberattaque contre l’industrie manufacturière : en 2021, le gang REvil, auteur de rançongiciels, a compromis le réseau du fabricant taïwanais de PC Acer et a formulé l’une des demandes de rançon les plus importantes jamais enregistrées : 50 millions de dollars. On ne sait pas si l’entreprise a payé la rançon. En 2022, Toyota et son principal fournisseur ont été victimes de cyberattaques, ce qui a apparemment entraîné une baisse de 5 % de la production mensuelle.
Ayez une pensée pour le gouvernement du Costa Rica : c’est la première fois qu’un pays est contraint de déclarer une urgence nationale en réponse à une cyberattaque. Le groupe Conti, auteur de rançongiciels, a exigé 10 millions de dollars (puis 20 millions de dollars), plongeant dans le désarroi le ministère des finances, le système de santé et même les importations/exportations du pays. Certains experts estiment que cette cyberattaque pourrait annoncer l’aube d’une nouvelle ère de rançongiciels.
Maintenant que vous savez tout à ce sujet, comment vous protéger contre les rançongiciels ?
Tout d’abord, examinez attentivement vos appareils. Sont-ils vieux et utilisent-ils des logiciels obsolètes ? Les navigateurs et les systèmes d’exploitation sont-ils obsolètes ? Manque-t-il un plan de secours ? Si vous avez répondu « oui » à l’une des questions ci-dessus, vous risquez d’être victime d’un rançongiciel. Avec plus de 35 ans d’expérience en matière de sécurité en ligne, Avira peut vous aider. Son logiciel gratuit Software Updater est conçu pour mettre à jour les logiciels et les pilotes et permet de s’assurer que toutes les mises à jour sont propres. Avira Free Antivirus est doté de fonctions de protection contre les rançongiciels. Il contribue également à protéger votre appareil et vos données contre toute une série de menaces en ligne, notamment les logiciels publicitaires, les logiciels espions, les chevaux de Troie, etc. Assurez-vous toujours que vos précieuses données sont sauvegardées, soit sur un disque dur externe, soit à l’aide d’un logiciel de sauvegarde sécurisé et fiable.
N’oubliez jamais que vous devez toujours agir avec prudence. Ne vous tirez pas une balle dans le pied !
- Ne cliquez jamais sur des liens dangereux dans des messages, sur des sites internet ou sur les réseaux sociaux.
- N’ouvrez pas les pièces jointes d’un e-mail, sauf si vous savez que la source est digne de confiance. Vérifiez attentivement que l’adresse e-mail de l’expéditeur est correcte en la survolant.
- Ne connectez jamais de supports tels que des clés USB à votre appareil si vous ne savez pas d’où ils proviennent.
- N’utilisez que des sources de téléchargement vérifiées pour les logiciels ou les fichiers multimédias.
- Utilisez toujours un VPN comme Avira Phantom VPN sur les réseaux Wi-Fi publics. Il permet de chiffrer vos cyber-communications afin d’améliorer votre confidentialité et votre sécurité en ligne.
Pour une tranquillité d’esprit encore plus grande, Avira propose également un large éventail de fonctions de cybersécurité sous forme d’abonnement mensuel pratique. Pour en savoir plus sur le service premium, Avira Prime, cliquez ici.
Payer ou ne pas payer ? Que faire si vous êtes infecté ?
Aïe. Nous sommes tous humains et les erreurs arrivent. Votre appareil a été infecté par un rançongiciel et vos fichiers ont été chiffrés… et maintenant ? Selon les experts du projet No More Ransom, « La recommandation générale est de ne pas payer la rançon. En envoyant votre argent à des cybercriminels, vous ne ferez que confirmer que le rançongiciel fonctionne, et il n’y a aucune garantie que vous obtiendrez la clé de déchiffrement dont vous avez besoin en retour ». No More Ransom est une initiative de la National High Tech Crime Unit de la police néerlandaise, du Centre européen de lutte contre la cybercriminalité d’Europol et de fournisseurs de logiciels de cybersécurité. Il vise à aider les victimes de rançongiciels à récupérer les données chiffrées sans payer les criminels.
Téléchargez vos fichiers chiffrés sur ce site internet et fournissez les détails de la demande de rançon dans l’espace prévu à cet effet. Bonne chance !
