Machine learning dans le management IT

Oracle Management Cloud

Qu’est-ce qu’un ransomware ?

Un ransomware, ou rançongiciel, est un malware qui prend en otage des données personnelles. Une rançon est demandée en échange de la clef de chiffrement des données cryptées.


Qu’est-ce qu’un ransomware ?

Les attaques de ransomware sont apparues en Russie mais se sont développées dans d’autres pays, notamment en Australie, en Allemagne et aux Etats-Unis. Selon une étude de Vanson Bourne pour Sophos, 48% des responsables informatiques français interrogés ont rapporté avoir connu une attaque par ransomware en 2017.

Quels sont les types de ransomware ?

Techniquement, un ransomware se propage comme un cheval de Troie et peut se présenter de différentes façons, dans le but d’extorquer de la monnaie numérique à ses victimes :

  • La victime peut recevoir un message ou une demande de rançon par courriel l'avertissant que si la somme demandée n'est pas payée à une certaine date, la clé privée requise pour déverrouiller l'appareil ou décrypter les fichiers sera détruite.
  • La victime peut être dupée en croyant qu'elle fait l'objet d'une enquête officielle. Après avoir été informé que des logiciels non autorisés ou des contenus illégaux ont été trouvés sur son ordinateur, la victime reçoit des instructions sur la façon de payer une amende électronique.
  • L'attaquant crypte les fichiers sur les périphériques infectés et gagne de l'argent en vendant un produit qui promet d'aider la victime à déverrouiller les fichiers et à prévenir de futures attaques de logiciels malveillants.
  • L’extorsion peut être faite avec la menace non pas tant que les données ne seront pas disponibles, mais que les données seront exposées au grand public dans leur état non crypté si la rançon n'est pas payée dans un délai donné.

Les paiements sont effectués soient par virements bancaires, SMS surtaxés, paiements en ligne ou, le plus courant, en cryptomonnaie, afin que l'identité du cybercriminel ne soit pas connue.

Des ransomwares célèbres : CryptoLocker et WannaCry

En septembre 2013, l’attaque de CryptoLocker, un cheval de Troie, fut un ransomware largement répandu utilisant le chiffrement à clé publique. Le malware exigeait un paiement en bitcoin ou en bon prépayé, et les experts croyaient généralement que la cryptographie RSA utilisée - lorsqu'elle était correctement mise en œuvre - était impénétrable. En mai 2014, cependant, une entreprise de sécurité a obtenu l'accès à un serveur de commande et de contrôle utilisé par l'attaque et a récupéré les clés de cryptage utilisées dans les attaques. Un outil en ligne qui permettait la récupération gratuite des clés a été utilisé pour défendre efficacement l'attaque.

En mai 2017, une attaque appelée WannaCry a pu infecter et chiffrer plus d'un quart de million de systèmes dans le monde. Le logiciel malveillant a utilisé un cryptage asymétrique de sorte que l'on ne pouvait raisonnablement s'attendre à ce que la victime récupère la clé (privée et non distribuée) nécessaire pour décrypter les fichiers rançonnés. Les paiements étaient exigés en bitcoin, ce qui signifie que le bénéficiaire de la rançon ne pouvait pas être identifié, mais aussi que les transactions étaient visibles et que l'ensemble des paiements de la rançon pouvait être comptabilisé. Pendant le moment de la semaine où WannaCry était le plus virulent, environ 100 000 $ en bitcoin a été transféré (en vain : il n'y a pas de comptes de données ayant été décryptées après paiement).

L'impact de WannaCry a été décrié dans certains cas. Par exemple, le National Health Service du Royaume-Uni a été fortement affecté et a été contraint de mettre les services hors ligne pendant l'attaque. Selon les rapports publiés, les dommages causés aux milliers d'entreprises touchées pourraient dépasser le milliard de dollars.

Des logiciels de rançon mobile existent également depuis 2015. Une application Android malveillante appelée Porn Droid a verrouillé le téléphone de l'utilisateur et changé son code PIN d'accès, exigeant un paiement de 500 $.

Comment se protéger des ransomwares ?

Pour se protéger contre les attaques de rançon et d'autres types de cyberextorsion, les experts recommandent vivement aux utilisateurs de sauvegarder régulièrement les dispositifs informatiques et de mettre à jour régulièrement les logiciels, y compris les logiciels antivirus. Bien qu'il soit presque impossible d'arrêter les ransomwares, il existe d'importantes mesures de protection des données que les individus et les entreprises peuvent prendre pour s'assurer que les dommages soient minimes et que la récupération soit aussi rapide que possible. Les stratégies comprennent la compartimentation des systèmes d'authentification et des domaines, la mise à jour des snapshots de stockage à l'extérieur du pool de stockage principal et l'imposition de limites strictes quant à l'accès aux données et au moment où l'accès est autorisé.

Devenez un Super Héros de l’IT
E-Book