Le développement vertigineux des systèmes informatiques dans les entreprises et pour les particuliers entraîne également l'apparition de logiciels malveillants de plus en plus perfectionnés. Les rançongiciels que l'on connaît aussi sous l'appellation anglaise de ransomwares sont devenus les bêtes noires des sociétés. Les cyberattaques menées par ce type de virus informatique sont, en effet, lourdes de conséquences. Les techniciens qui ont en charge la surveillance et la maintenance d'un parc sont prévenus de cette menace et doivent se tenir au fait des évolutions pour limiter les risques d'infection. Dans cet article, nous vous expliquons exactement le fonctionnement de ce malware et surtout, nous vous donnons les meilleurs conseils pour éviter une attaque de rançongiciel ou y remédier.
Qu'est-ce qu'un rançongiciel ?
Les ransomwares sont des logiciels d'attaque informatique qui permettent aux pirates de demander une rançon à la victime. Le rançongiciel infecte les serveurs et les postes en chiffrant les données utilisateurs et en particulier, celles qui sont essentielles et sensibles. Ces données en langage codé ne sont plus accessibles au propriétaire qui ne possède pas la clé de déchiffrement. L'utilisateur se voit contraint de verser une somme importante pour récupérer la précieuse clé.
L'attaque par rançongiciel est devenue courante ces dernières années et peut avoir d'énormes conséquences financières. S'ajoutent à cela des conséquences humaines et de fonctionnement. En effet, plusieurs scénarios sont possibles, car même si la rançon est payée, cela ne garantit en rien que l'utilisateur récupérera la clé de déchiffrement ou que les données seront en bon état.
Les comptes-rendus officiels des attaques signalées au gouvernement mentionnent, en plus de la perte financière :
l Les risques de récupérer des fichiers endommagés de manière irréversible.
l La diffusion de données sensibles et/ou confidentielles.
l Une atteinte à l'image de la société ou de la personne.
l Une perte d'exploitation et d'archives.
Akira, BlackCat, ou encore Cl0p sont les noms qui reviennent souvent quand on mentionne une attaque par rançonlogiciel. En France, l'exemple de la cyberattaque de la société Voyageurs du monde a mis en avant que LockBit est un des principaux ennemis sur le territoire.
Le site sur la cybermalveillance du gouvernement rappelle ce qu'encourent les criminels. Il s'agit d'une extorsion de fonds puisque la victime est forcée matériellement de verser une somme pour retrouver ce dont elle est officiellement la propriétaire. Pour ce délit, la peine peut aller jusqu'à 7 ans de prison et 100 000 euros d'amende. Si l'atteinte à un système de traitement automatisé de données (STAD) est retenue contre l'attaquant, le Code pénal prévoit 3 à 7 ans d'emprisonnement et 100 000 à 300 000 euros d'amende.
Quelles sont les caractéristiques d'un rançongiciel ?
Très efficace dans ses attaques, le rançongiciel possède ses propres caractéristiques de virus informatique et utilise un processus qu'il est important de connaître pour pouvoir facilement le parer.
Caractéristique 1 : recherche la moindre faille
Ce premier point est essentiel puisqu'il montre que vous avez un certain pouvoir contre ces logiciels malveillants. Le ransomware a besoin d'une négligence ou d'un manque de prudence pour entrer dans les systèmes. Pour pénétrer dans vos données ou vos fichiers, il utilise la faiblesse d'un de vos logiciels déjà corrompus ou dont la mise à jour n'a pas été faite.
Il emploie également la fameuse technique du phishing. Plus de 50 000 professionnels et particuliers ont été recensés par le gouvernement comme victimes de cette technique. Vous recevez par email une pièce jointe ou un lien sur lequel vous cliquez sans en connaître exactement le contenu. C'est votre action qui crée la porte d'entrée.
Caractéristique 2 : chiffrer les données
Une fois que l'accès au système est créé, le rançongiciel chiffre les fichiers et les données qu'il souhaite. Ainsi, il empêche l'utilisateur de les lire et bloque son activité tant que la clé de déchiffrement n'est pas installée.
Caractéristique 3 : demande la rançon
Pour récupérer la clé, la victime est obligée de verser une rançon. Les pirates réclament en général la somme en cryptomonnaie afin que le traçage du paiement soit trop complexe et qu'ils ne soient jamais retrouvés.
Caractéristique 4 : choisir les suites
Une cyberattaque est une attaque criminelle et les pirates ne sont pas tenus de tenir leur engagement. Ils ont donc le pouvoir de ne jamais délivrer la clé ou de prolonger leurs actions malveillantes en divulguant, par exemple, des données sensibles.
Comment s'en protéger ?
Afin de protéger avec efficacité et méthode les données de votre entreprise, nous vous conseillons de suivre une formation complète ou de faire appel à un expert du domaine. Un MBA cybersécurité propose des modules qui développent en détail le fonctionnement des rançongiciels et les comportements à adopter face à une attaque.
Nous vous donnons ici les principaux conseils pour réduire vos risques d'infection en tant que particulier ou professionnel.
Prévenir une attaque de rançongiciel
Le travail de prévention est essentiel pour que les risques d'infection soient significativement réduits. Voici les bonnes pratiques à adopter impérativement :
l Télécharger des logiciels pour sécuriser. De bons antivirus et anti-malwares installés sur tous vos appareils peuvent suffire à éviter une cyberattaque. En détectant et en bloquant immédiatement les logiciels malveillants, ces programmes empêchent les entrées et toute infection.
l Mettre à jour régulièrement l'ensemble de votre système informatique. En effet, le rançongiciel repère et profite des vulnérabilités pour infecter, mais les développeurs travaillent à améliorer chaque jour leurs services pour qu'ils soient infaillibles. Profitez des derniers correctifs de sécurité pour le système d'exploitation, le logiciel antivirus et les applications utilisées. Ce geste est un premier rempart essentiel.
l Rester toujours vigilant. La plupart du temps, les rançongiciels passent par des emails de phishing pour agir. Vous ne devez jamais ouvrir une pièce jointe sans être certain du contenu ni cliquer sur un lien qui risquerait de vous faire atterrir sur un site corrompu.
l Effectuer des sauvegardes rapprochées. La rançon porte sur vos données et sur vos fichiers importants. Si vous en possédez la sauvegarde, l'étape finale de l'extorsion devient inutile. Vous n'avez rien à payer et continuez à avoir vos accès.
Grâce à ces quelques clés de sensibilisation, les entreprises sont en mesure d'éduquer leurs employés qui deviennent chacun acteur de la sécurité du système.
Réagir efficacement en cas d'attaque
Si les mesures préventives n'ont pas été suffisantes et que l'attaque est lancée, nous vous indiquons les bons réflexes à avoir.
En tant que particulier, déconnectez-vous le plus rapidement possible. Pour cela, débranchez les connexions filaires ou désactivez votre serveur Wifi. La première réaction est de supprimer tout accès. En entreprise, lancez l'alerte auprès du service informatique interne ou de votre prestataire chargé de la surveillance du parc. Plus l'intervention sera rapide, plus il y aura de chance d'interrompre l'attaque grâce à des mesures appropriées.
Ne versez surtout pas la rançon qui vous est demandée. Comme nous l'avons vu plus haut, vous prenez le risque de ne pas récupérer les données. De plus, vous entretenez ce trafic. Gardez les preuves de l'attaque et faites-les conserver par un professionnel. Celles-ci seront précieuses pour l'investigation ainsi que pour les poursuites judiciaires. Emails, notifications du pare-feu, fichiers chiffrés… rassemblez tout ce qui a laissé une trace de l'attaque.
Avant d'effectuer les réparations ou réinstallations, portez plainte au commissariat de police ou à la gendarmerie la plus proche de chez vous ou du siège de votre entreprise. En fournissant l'ensemble des preuves récoltées, vous avez aussi la possibilité d'écrire au procureur de la République du tribunal judiciaire. L'association France Victimes aide gratuitement les particuliers dans leur démarche. Ils sont disponibles tous les jours de 9 h à 19 h. Au besoin, demandez à être assisté par un avocat spécialisé. Il vous demandera de nombreuses preuves techniques de l'incident à fournir aux enquêteurs. Vous devez donc effectuer cette démarche avant toute intervention de remédiation sur vos systèmes.
Si une violation des données à caractère personnel a eu lieu, les entreprises sont tenues de prévenir la CNIL. En cas de menace de divulgation des données par les rançonneurs, vous aurez l'obligation d'en notifier les personnes concernées. Dans ces cas-là, il faudra mentionner :
l la nature de la violation ;
l les catégories et le nombre de personnes touchées ;
l les catégories et le nombre de données concernées ;
l les conséquences envisagées ;
l les mesures prises pour diminuer l'impact de ces répercussions.
Enfin, votre entreprise doit présenter les mesures mises en place pour éviter qu'un tel incident se reproduise.
Recherchez la source de l'infection. Il y a obligatoirement eu une action de votre part pour que le rançongiciel puisse attaquer. Les causes les plus courantes sont l'ouverture d'un lien ou d'une pièce jointe infectée (technique de l'hameçonnage), une faille dans le système de sécurité, une intrusion par un accès extérieur (maintenance informatique, télétravail), ou encore la navigation sur un site corrompu.
Certains sites proposent des services de restauration fiables pour votre système qui peuvent marcher. Il s'agit de clés de déchiffrement qui parfois fonctionnent. Tentez votre chance.
Effectuez enfin une réinstallation soit des systèmes infectés, soit de l'ensemble si vous avez le moindre doute. Vous devez aussi formater les serveurs et les postes. Assurez-vous d'utiliser une sauvegarde saine pour la restauration de vos serveurs et de vos ordinateurs.
Le site du gouvernement sur la cybermalveillance possède un annuaire de professionnels de la cybersécurité qui peuvent vous accompagner. Ils pourront vous apporter leur assistance pour mettre en place la procédure la plus adéquate.