Le ransomware, l’ennemi sournois

Introduction

Le ransomware, ou rançongiciel en français, est un type de logiciel malveillant qui chiffre les données informatiques d'un ou de plusieurs ordinateurs, rendant les fichiers inaccessibles jusqu'à qu'une rançon soit payée, presque exclusivement en cryptomonnaie.

Au fil des ans, le ransomware est donc devenu une menace majeure pour les particuliers, les entreprises et les institutions publiques à travers le monde.

Cet article propose un aperçu détaillé de l'historique des ransomwares, des premières attaques aux menaces modernes, en passant par les techniques utilisées et les moyens de protection.

Le précurseur : le virus informatique AIDS

Le premier ransomware connu, appelé le virus AIDS ou PC Cyborg Trojan, est apparu en 1989.

Créé par un biologiste, l'extravagant Joseph Popp, ce virus était distribué via des disquettes envoyées par la poste et exploitant une vulnérabilité de MS-DOS, un système d’exploitation très répandu à l’époque.

Une fois installé, le virus chiffrait les noms des fichiers sur l'ordinateur de la victime et afficherait une note de rançon demandant 189 dollars pour déchiffrer les fichiers.

Bien que rudimentaire par rapport aux standards actuels, tout y était, et le virus AIDS a jeté les bases des ransomwares modernes.

L'évolution des ransomwares

Les années 2000 : l'émergence des rançongiciels modernes

Dans les années 2000, les ransomwares ont commencé à évoluer avec des attaques de plus en plus sophistiquées.

En 2005, le ransomware GPcode utilisait pour la première fois des techniques de chiffrement RSA pour verrouiller les fichiers des victimes. Cette période, notamment avec l’essor planétaire d’internet, vit une augmentation massive des attaques de ransomware, les cybercriminels exploitant les failles de sécurité des systèmes d'exploitation et des logiciels.

Cryptolocker, l'ère moderne

En 2013, le ransomware Cryptolocker a marqué un tournant dans l'histoire des ransomwares. Cryptolocker chiffrait les fichiers des victimes avec une clé RSA de 2048 bits et exigeait un paiement en bitcoins, une monnaie virtuelle difficile à tracer, mais aussi, à cette époque, relativement complexe à se procurer.

Les dommages causés par Cryptolocker s’estiment en dizaines de millions de dollars, mettant en lumière l'impact financier des ransomwares.

Les Types de Ransomwares

Locker ransomware

Le locker ransomware, ou rançongiciel bloqueur, empêche les utilisateurs d'accéder à leur système informatique ou à certaines fonctions de leur ordinateur. Il affiche généralement une note de rançon à l'écran, demandant le paiement pour débloquer l'accès. Ces types de ransomwares sont moins courants aujourd'hui, mais ils sont toujours utilisés par certains cybercriminels, notamment pour des attaques ciblées.

Crypto ransomware

Le crypto ransomware, ou rançongiciel chiffrant, est le type le plus répandu. Il chiffre les données des ordinateurs ciblés, mais aussi les sauvegardes accessibles, rendant les fichiers illisible.

Le paiement d'une rançon est exigé en échange de la clé de déchiffrement. Le crypto ransomware est particulièrement dangereux, car il peut causer des pertes de données irrécupérables.

Techniques et méthodes de propagation

Phishing

Les attaques dites d’hameçonnage (phishing) sont l'une des méthodes les plus courantes pour diffuser des ransomwares, mais aussi d’autres malwares.

Les cybercriminels envoient des courriels piégés, d'apparence bénigne, contenant des liens ou des pièces jointes malveillantes. Une fois ouverts, ces liens ou fichiers installent discrètement le ransomware sur l'ordinateur de la victime.

À noter que, selon la quantité de données à traiter, par exemple en entreprise, le chiffrement peut durer longtemps, des heures, voire des jours, et ce sans alerter les employés si des outils logiciels spécifiques ne sont pas installés.

Exploits de vulnérabilités

Les ransomwares exploitent souvent des vulnérabilités non corrigées dans les logiciels ou systèmes d'exploitation pour s'infiltrer. Les cybercriminels recherchent activement ces failles, dites Zéro Day, les exploitant pour installer leurs logiciels malveillants sur les systèmes vulnérables.

Les Attaques notables

Locky

Le Ransomware Locky fit son apparition en 2016 et passa à l’attaque dans quasiment toutes les régions du monde, mais particulièrement en Europe et en Amérique du Nord, où de nombreuses entreprises et institutions, parmi lesquelles des hôpitaux, furent particulièrement ciblées.

Son mode de propagation favori était le phishing, à savoir l’envoi de mails frauduleux accompagné d’une pièce jointe, généralement un fichier Word ou PDF d’apparence anodine qui contient une macro, le logiciel de cryptage proprement dit, qui s’installe discrètement à la moindre ouverture.

À la fin du cryptage, tous les fichiers de données, y compris les photos et les vidéos, étaient renommés et prenaient comme extension des noms issus de la mythologie nordique, comme .Odin, .Thor, ou .Locky…

Ces pirates-là étaient organisés, professionnels, répondant même au téléphone avec « un service client » dans un anglais très correct, notamment pour aider au versement de la rançon, car le bitcoin était moins connu qu’aujourd’hui et la plupart des victimes ne savaient pas comment s’en procurer, et encore moins le transférer.

Le montant de la rançon demandée était variable, adapté aux moyens supposés de la cible.

WannaCry

« Envie de pleurer », le bien nommé !

En mai 2017, le ransomware WannaCry (aussi nommé WannaCrypt) a infecté des centaines de milliers d'ordinateurs dans plus de 150 pays, ce qui est encore considéré comme la plus grande attaque de ransomware de l’histoire d’internet…

WannaCry exploitait une vulnérabilité dans le système d'exploitation des anciens systèmes Windows, en particulier XP et Seven, utilisant un exploit développé par la NSA qui avait été divulgué par le groupe de hackers Shadow Brokers.

L'attaque a causé des perturbations majeures dans des secteurs critiques, y compris les hôpitaux, notamment ceux du NHS britannique, les entreprises et les infrastructures publiques, alors qu’un correctif avait pourtant été développé auparavant par Microsoft !

La majorité des systèmes infectés par WannaCry étaient soit obsolètes (Windows XP et Seven) soit pas mis à jour, ce qui démontre une fois de plus l’intérêt d’un suivi rigoureux de son parc informatique, surtout quand il devient ancien.

NotPetya

Apparu en juin 2017, la même année que WannaCry, NotPetya était initialement présenté comme un ransomware, avec demande de rançon, mais il s'est avéré être un wiper, un logiciel qui détruit irrémédiablement les données, ce qui peut s’apparenter à une forme de guerre hybride.

D’ailleurs au début, NotPetya a ciblé principalement des entreprises et des grandes banques ukrainiennes, mais ses effets se sont rapidement propagés à travers le monde, causant des milliards de dollars de dommages.

Un groupe russe nommé Sandworm fut soupçonné d’être à l’origine de ces attaques...

Et en Suisse, en 2024 ?

Selon l’office fédéral de la cybersécurité (OFC) sur le premier semestre, les cyberattaques signalées ont presque doublé par rapport l’année précédente, alors que le nombre de celles imputables aux ransomwares sont en légère baisse : trois sont particulièrement signalées : Black Basta, Akira, 8Base, mais ce n’est que la partie visible, car bon nombre d’entreprises comme de particuliers se gardent de signaler leurs infortunes.

Alors, comment s’en prémunir ?

Au niveau préventif, exclusivement, car ensuite, le niveau de cryptage militaire de la plupart des ransomwares exclut la récupération des données autrement qu’en payant la rançon ou en actionnant des sauvegardes résilientes, si elle existent.

Mises à jour et correctifs

La mise à jour régulière des systèmes d'exploitation et des logiciels est cruciale pour se protéger contre les ransomwares, mais aussi contre d’autres types d’attaques.

Les correctifs de sécurité corrigent les vulnérabilités qui pourraient être exploitées par les cybercriminels dès leurs détections. C'est même leur principale raison d'être !

Sauvegarde des données

La réalisation de sauvegardes régulières des données est une mesure essentielle pour se protéger contre les ransomwares. En cas d'attaque, si elles sont correctement déployées et configurées, les sauvegardes permettent de restaurer les fichiers chiffrés sans avoir à payer la rançon.

Éducation et sensibilisation

Presque systématiquement négligée, surtout dans les PME, la sensibilisation des utilisateurs aux techniques de phishing et aux pratiques de sécurité informatique peut réduire considérablement le risque d'infection par un ransomware, mais aussi par d’autres type d’attaques informatiques.

Les campagnes de formation et les tests de phishing aident aussi à maintenir un niveau de vigilance élevé.

Conclusion

Les ransomwares représentent toujours une menace persistante, en constante évolution, pour les particuliers, les entreprises et les organisations du monde entier.

De leurs débuts modestes avec le virus AIDS, aux attaques dévastatrices à grande échelle de Locky et WannaCry, notamment, les ransomwares ont prouvé leur capacité à causer des perturbations majeures et des pertes financières considérables, sans parler des dégâts réputationnels difficiles à estimer dans certaines secteurs.

Pourtant, des mesures de sécurité robustes et la sensibilisation continue des utilisateurs permettent de se protéger contre cette menace numérique, mais force est de constater que c’est rarement le cas… ou alors, pas très longtemps, y compris dans les entreprises déjà touchées, un peu comme si on croyait encore qu'un obus ne tombait jamais deux fois au même endroit...