Qu’est-ce qu’un ransomware ?

Ils s’appellent Petya, WannaCry, Cerber ou encore Locky. Leur nom vous dit peut-être quelque chose. Ils ont tous marqué l’actualité en 2017.

Définition d’un ransomware

Un ransomware, ou « rançongiciel » en français, est un malware de type virus qui prend en otage les données ou les fichiers de ce dernier en les chiffrant. Les données bloquées, une rançon est alors demandée en échange d’une clé permettant de les déchiffrer.

Il peut également bloquer tout accès à un machine jusqu’à qu’un outil de débridage soit envoyé à la victime, en échange d’une somme d’argent.

Il existe plusieurs types de ransomware classés selon leur gravité :

  • Le scareware (« logiciel alarmant ») : ce logiciel trompe les utilisateurs pour les amener à visiter des sites infestés de programmes malveillants. Il prend la forme d’un faux logiciel de sécurité, alerte d’une menace détectée sur l’appareil et demande une certaine somme pour s’en débarrasser.
  • Les verrouilleurs d’écran : une fois que le logiciel s’infiltre dans votre appareil, vous ne pouvez plus y accéder. Une fenêtre affiche qu’une activité illégale a été détectée et vous demande de payer une amende.
  • Les ransomwares chiffreurs (cryptolocker): les données personnelles sont volées et chiffrées. Sans clé de chiffrement, vous ne pouvez pas y avoir accès. La rançon est exigée en échange de cette clé. Aucun système de sécurité ni aucune restauration du système ne peut vous aider à retrouver vos fichiers dans le cas d’une cyberattaque de ce type. Il n’est même pas garanti que vous les récupériez même après avoir payé la rançon.

Comment un ransomware opère-t-il ?

Le ransomware peut prendre la forme d’un ver informatique pour s’infiltrer dans l’appareil d’un utilisateur à travers un fichier téléchargé ou reçu par mail ou se propager de la même manière qu’un cheval de Troie. Une fois dans l’appareil, il active un exécutable qui va chiffrer les fichiers de l’utilisateur sur son disque dur.

De plus en plus sophistiqués, certains rançongiciels utilisent des algorithmes de cryptographie hybride : le pirate est l’unique détenteur de la clé qui permet le déchiffrement des documents.

Par ailleurs, quelques ransomwares n’utilisent pas de chiffrement. Ils peuvent cependant changer le Master Boot Record et empêcher le système d’exploitation de redémarrer. On parle alors de scareware.

Dans tous les cas, la finalité principale des ransomware est l’extorsion d’argent (faire acheter à l’utilisateur un programme pour déchiffrer ses fichiers ou un code qui retire les verrous). Les paiements se font le plus souvent par virement bancaire, SMS surtaxés, bitcoins ou Paypal.

Que faire en cas d’infection ?

  • Débranchez la machine d’internet : la propagation du virus sera interrompue et le contrôle de l’appareil échappe au pirate.
  • Ne pas payer la rançon : céder au chantage encourage les pirates à continuer et ne garantit pas que vous retrouviez vos données.
  • Identifiez la source de l’infection : cela vous permettra de prendre les mesures nécessaires pour qu’elle ne se reproduise pas et vous aidera dans la désinfection de votre appareil.
  • Désinfectez et déchiffrez votre appareil (si c’est possible) : désinfectez votre système avec un antivirus ou un antimalware. Consultez des sites spécialisés de déchiffrement pour retrouver un accès à vos données. Si ce n’est pas possible, reconfigurez votre ordinateur, reformatez vos disques durs et restaurez vos données – dans le cas où la copie de vos fichiers n’est pas infectée.

Comment se protéger d’un ransomware ?

  • Sauvegarder ses données : vous aurez un coup d’avance sur les pirates et pourrez sacrifier vos données, puisqu’elles seront en sûreté ailleurs.
  • Mettre à jour son système et ses logiciels : désactivez les macros qui vous permettent d’automatiser certaines tâches. Veillez à ce que la mise à jour de vos logiciels soit toujours exécutée pour ne laisser passer aucune faille.
  • Être vigilant : vérifiez toujours l’expéditeur des messages que vous recevez et n’ouvrez pas les mails dont la provenance ou la forme vous paraît douteuse. Distinguez les messages piégés des légitimes.
  • Utiliser une solution de cybersécurité : choisissez un programme pour vous protéger en temps réel contre toutes sortes de menaces (virus, tentative de phishing, trojan, etc.)