Zoom sur les ransomwares

Les ransomwares sont une variété de virus très récente. Le grand public les a découverts au début de l’année 2016 quand un hôpital américain a dû débourser par moins de 17.000 dollars pour retrouver l’accès à ses fichiers informatiques. Depuis, des affaires similaires ont fait la une des infos. Prenons le cas de l’usine Renault de Douai bloquée en mai 2017 par le ransomware Wannacry.

Si certains virus mettent les ordinateurs hors d’usage ou se limitent à polluer la machine en affichant des pubs, le ransomware a pour particularité de bloquer l’accès aux données d’un disque dur en les cryptant. Ainsi, seul le concepteur du virus peut déchiffrer vos données, en contrepartie du paiement d’une rançon.

En conséquence, les entreprises touchées se retrouvent dans l’incapacité partielle ou totale de travailler. Si elles n’ont pas de sauvegarde de secours, la situation peut devenir catastrophique. L’aspect le plus important de la chose est que la menace ne se limite pas aux grands groupes. Les PME et les petites structures sont largement exposées et touchées. Comme le principe du ransomware fonctionne sur le paiement d’une rançon, les pirates trouvent leur intérêt à cibler le plus grand nombre de sociétés et de collectivités.

Comment se fait-on prendre par un ransomware ?

En cliquant tout simplement sur un mauvais lien dans un email. Il y a quelques années, il était assez simple de reconnaître un mail douteux. Il suffisait de faire attention aux fautes ou à la qualité de la mise en page. Aujourd’hui, les techniques sont de plus en plus affinées et les pirates ont amélioré leurs pièges. D’une part, les emails sont des copies conformes de vrais emails. D’autre part, les pirates usent des technique d’ingénierie sociale pour se faire passer pour l’une de vos connaissances.

Deux exemples d’attaques par ransomware

En guise d’exemple, voici deux cas de figure d’attaques par ransomwares ayant touchées leur cible. Ces deux exemples vont vous permettre de comprendre que la partie la plus importante du piège consiste à se faire passer pour un tiers de confiance :

1. Un cabinet d’avocats reçoit un mail en provenance d’un logiciel uniquement utilisé par des avocats et juristes.
2. Un comptable reçoit un mail de la part de son cabinet d’expert-comptable.

Dans les deux cas, le mail imite très bien l’original et, surtout, le mail de l’expéditeur s’approche de celui du véritable expéditeur. Une fois confondu, l’utilisateur clique sur la pièce jointe sans vérifier. Aussitôt, le processus de cryptage se lance sur toutes les données accessibles par ce poste informatique. Selon la configuration du parc informatique, le cryptage des données peut toucher jusqu’aux serveurs d’entreprises ou les postes des collaborateurs.

Pourquoi est-ce si répandu ?

Le facteur temps joue en faveur des pirates. Pour être reconnu par un antivirus, il est nécessaire que le ransomware soit listé dans sa base de détection. Il peut se passer plusieurs heures entre l’attaque et la possibilité de détection. Entre les deux, le mal est fait. Posséder un antivirus à jour est important, mais parfois ce n’est pas suffisant.

Autre point expliquant la multiplication des cas : il n’y a pas besoin d’être un génie de l’informatique pour utiliser un ransomware. Il est désormais possible d’acheter une sorte de kit clé en main. Nous citerons l’exemple de Karmen. En 2017, il était possible, pour 160 euros, d’accéder à toutes les fonctions d’un ransomware, utilisable comme n’importe quel autre type de logiciel.

Payer la rançon ?

L’on parle de rançon alors qu’il faudrait plutôt parler d’extorsion de fonds. Si vous avez une sauvegarde récente et opérationnelle, il est préférable de ne pas payer et de prendre le temps de restaurer les données sans céder à l’urgence.

S’il n’y a pas de sauvegarde, ou alors incomplète, ou pas récente, il faut prendre le temps de réfléchir. La consigne des autorités française est claire : ne pas payer. Vous n’avez aucune garantie de récupérer la clé de décryptage et le paiement s’effectue en cryptomonnaie type bitcoin dont les échanges sont totalement intraçables. Mais face au blocage de l’activité, la question de payer se pose sans détour. Les prestataires informatiques tiennent également ce discours. Ici, il est important de faire appel à un prestataire spécialisé en sécurité informatique qui va pouvoir vous conseiller et juger du niveau d’infection.

Comment se prémunir contre les ransomwares ?

Avant toute chose, il convient de se faire aider pour la mise en place de solutions de sécurité (antivirus sur pc et serveurs, configuration des profils utilisateurs, solutions anticryptage…). Mais cela n’est pas suffisant. En cas de problème, il vous faut une sauvegarde, externalisée ou non. C’est une assurance-vie sur vos données et fichiers professionnels.

Et dernier point, le plus important, une attaque par ransomware ne touche sa cible que si un humain clique au mauvais endroit. Les entreprises doivent comprendre l’intérêt d’une sensibilisation aux problèmes de cybersécurité. Comment faire un premier pas en ce sens ? En instaurant une charte informatique et en mettant en place des actions de prévention.