10 choses à savoir sur les ransomwares

Le rançongiciel est en plein essor. Facile à mettre en œuvre, ultra rentable et mutant, il n’a pas fini de faire parler de lui. Voici de quoi décrypter le phénomène.

Vous souhaitez tout savoir sur les ransomwares, et les moyens de vous en protéger ? État des lieux en 10 points de ce type d’attaque informatique.

  1. Il existe 3 types de ransomwares

Le principe général d’un rançongiciel est de manipuler ou de bloquer l’accès à des données puis de réclamer de l’argent pour résoudre le problème. On peut en distinguer trois sortes. Le « scareware » se présente comme un faux utilitaire ou antivirus ayant prétendument détecté des programmes malveillants et réclamant un paiement en échange de leur suppression. Le « bloqueur » prend la forme d’un message d’apparence officielle demandant le paiement d’une amende du fait d’une activité illégale détectée sur votre ordinateur. Dans ces deux premiers cas, le système d’exploitation n’est probablement pas atteint et il est possible de récupérer l’accès aux données. Le rançongiciel « chiffreur » crypte pour sa part tous les fichiers et dossiers de l’ordinateur infecté ainsi qu’éventuellement tous ceux des autres appareils connectés au réseau. Cette forme est la plus dangereuse pour l’entreprise : un seul employé peut contaminer toute la société et l’amener à un arrêt complet de son activité.

  1. Les ransomwares se propagent essentiellement par courriel

La majorité des ransomwares se cache dans un courriel contenant un lien (31 %) ou une pièce jointe (28 %) infectée sur laquelle clique le destinataire, d’après Osterman Research. Celui-ci se méfie d’autant moins que l’expéditeur, dont le compte a été piraté ou dont on a copié le site, est souvent très plausible : banque, prestataire de services, police, cabinet d’avocats… Une fois la pièce jointe ouverte, l’attaque est pilotée depuis un serveur extérieur qui pénètre dans le réseau et bloque l’accès aux fichiers. Parmi les autres méthodes d’infiltration : le faux site Internet ou l’application malveillante (24 %), les réseaux sociaux (4 %), ou la bonne vieille clé USB (3 %).

  1. Les rançons demandées sont généralement assez faibles

Aux États-Unis, un tiers des rançons demandées sont inférieures à 500 dollars, d’après une étude Osterman Research de 2016. Il est en effet plus rentable pour les hackers de lancer des attaques massives et indifférenciées plutôt qu’une attaque sophistiquée avec une grosse somme d’argent à la clé. Une rançon peu élevée est aussi un moyen de dissuader la victime d’entreprendre des investigations poussées sur l’origine et la véracité de l’attaque et l’inciter à payer rapidement. Néanmoins, dans 20 % des cas, la demande de rançon dépasse les 10.000 dollars. Ce taux monte même à 48 % en Allemagne, où les attaques semblent plus ciblées.

  1. Les ransomware s’achètent en kit tout prêt

Nul besoin d’être un geek chevronné pour se lancer dans le métier de cybermaître-chanteur : on peut se procurer assez facilement un kit d’attaque sur le Dark Web, cet Internet parallèle où prospèrent toutes sortes de commerces illicites. C’est ce que l’on appelle le « ransomware as a service » (RaaS). « Le ransomware Philadelphia s’acquiert pour 300 dollars, avec un tableau de bord complet des pays et machines infectées », témoigne Nicolas Sterckmans, expert en cybersécurité chez l’éditeur de logiciels de sécurité Malwarebytes. Certains malwares sont même distribués gratuitement, moyennant une « commission » sur la rançon perçue. Ce modèle RaaS est particulièrement juteux pour le développeur, qui démultiplie ainsi les attaques tout en minimisant les risques. Il explique aussi le nombre très élevé d’attaques et leur niveau parfois rudimentaire.

  1. Les ransomwares mutent très rapidement

Ils s’appellent Cerber, TeslaCrypt, Crypt0L0cker, Sage ou Spora. Comme les virus, de nouveaux venus apparaissent en permanence sur le marché du ransomware. « En 2016, nous avons constaté plus de 400 variantes de ransomwares », explique Nicolas Sterckmans. Les cybercriminels se livrent en effet au jeu du chat et de la souris avec les spécialistes de la sécurité. « En l’absence de nouvelle version régulière, un rançongiciel périclite très rapidement. » Après TeslaCrypt au premier trimestre 2016, c’est Locky qui avait repris le flambeau, raflant jusqu’à 70 % des attaques sur Windows entre août et novembre, selon Malwarebytes. Un succès fulgurant, mais de courte durée. C’est un autre ransomware, Cerber, qui a pris le relai : ce dernier concentrait fin mars 2017 près de 90 % des attaques.

  1. Le rançonnage est rentable pour les pirates

Selon le FBI, les ransomwares auraient permis aux cybercriminels d’engranger plus d’un milliard de dollars en 2016. Il faut dire que la méthode est redoutablement efficace : d’après une étude d’IBM, 54 % des utilisateurs sont prêts à payer plus de 100 dollars pour retrouver leurs données. Chez les entreprises, la proportion monte même à 70 %, dont 20 % ont même accepté de débourser plus de 40.000 dollars, notamment lorsqu’il s’agit de données financières et commerciales. Le ransomware CryptoLocker affiche ainsi un « taux de réussite » de 41 % d’après une étude de l’université du Kent (Royaume-Uni).

  1. Les menaces de rétorsion se diversifient

Le 29 avril 2017, un groupe de pirates a dévoilé 10 épisodes inédits de la série Netflix « Orange is The New Black » dérobés aux studios Larson, une petite société de post-production. Du simple blocage des données à la diffusion de données sensibles, les pirates adaptent leurs menaces de rétorsion en fonction de leur cible. En 2016, des hackers ont ainsi envoyé des lettres de menaces à plus de 100 entreprises leur demandant de payer une rançon faute de quoi elles seraient ciblées par des attaques DDoS massives (saturation de service). Ils auraient ainsi amassé des centaines de milliers de dollars… sans lancer une seule attaque.

  1. Le bitcoin favorise le ransomware

Le bitcoin est de loin le moyen préféré des hackers pour se faire payer leur rançon. « La monnaie virtuelle leur offre l’anonymité et rend difficile la traçabilité des transactions », expliquent les experts d’IBM. Le hic pour les pirates, c’est que de nombreux utilisateurs ne savent même pas ce qu’est le bitcoin et ignorent comment s’en servir. Certains hackers n’hésitent donc pas à fournir un guide détaillé pour ouvrir un compte en bitcoin et payer la rançon.

  1. Les employés sont les cibles privilégiées dans les entreprises

Le salarié de base constitue la cible idéale des maîtres-chanteurs. Supposés moins informés sur les problématiques de sécurité et surtout bien plus nombreux, ils ont ainsi été 71 % à subir une attaque aux États-Unis en 2016 selon Osterman Research, contre 25 % pour les cadres dirigeants. Ces derniers sont d’ailleurs conscients de la faille : 48 % des chefs d’entreprises estiment que leurs salariés ne suivent pas les recommandations en matière de cybersécurité, d’après le baromètre du CESIN (Club des experts de la sécurité de l’information et du numérique). Notamment en téléchargeant des applications non autorisées ou en cliquant sur des offres commerciales alléchantes.

  1. Le ransomware est l’attaque la plus courante sur les entreprises françaises

80 % des entreprises françaises ayant subi une cyberattaque au cours de l’année 2016 ont eu affaire à un ransomware, d’après le dernier baromètre du CESIN. Loin devant l’attaque par déni de service (40 %) ou l’attaque virale générale (36 %), et en hausse de 19 points sur un an. De nombreux éditeurs de logiciels de sécurité confirment d’ailleurs la tendance. Les cas de ransomwares auraient ainsi augmenté de 267 % entre janvier et novembre 2016, d’après Malwarebytes.

 

Nicolas Sterckmans, Malwarebytes

Nicolas Sterckmans, Malwarebytes