Tous les ans, l’ensemble des principaux éditeurs de solutions de sécurité informatique (Symantec, Avast, McAfee, Sophos, Kaspersky,…) rédige un rapport synthétisant les grandes menaces de l’année en matière de cyber-sécurité.
Parmi les 317 millions de nouveaux nuisibles ayant circulé sur le réseau en 2014, une menace très inquiétante est en train de se répandre : il s’agit des Ransomwares, appelés Rançongiciels en français. Comme ce nom le laisse supposer, il est bien question de rançon avec des virus informatiques. Et l’otage, c’est l’ordinateur, avec les données qu’il contient.
Ce phénomène inquiète fortement les éditeurs, puisque selon la dernière étude de Symantec, cette race de malware a connu une augmentation de 113% en 2014. Et les membres de ce funeste bestiaire sont loin d’épargner la France, car le pays se situerait au quatrième rang mondial des pays victimes de rançongiciels.
Comment cela se passe-t-il ?
Concrètement, l’utilisateur contamine tout seul sa machine en cliquant sur un des nombreux pièges tendus sur un site de streaming ou de téléchargement. Le nuisible s’introduit alors le plus souvent via les failles d’un composant Flash ou Java non mis à jour.
L’autre voie de contamination privilégiée repose sur des pièces jointes ou des liens cliquables dans les mails. Ensuite, l’amorce du virus permet au pirate de prendre le contrôle à distance de l’ordinateur. Dans tous les cas, l’accès à toutes les données de l’utilisateur est bloqué. Pour le reste, tout dépend de la déclinaison du ransomware.
Vous payez, ou vous perdez vos données
Il y a quelques années j’avais interviewé Jaromir Horejsi, un analyste du laboratoire de la solution de sécurité Avast sur le sujet. Il m’avait expliqué que cette arnaque n’est pas une nouveauté. « Les premiers cas remontent à 2009. A l’origine, elle s’est développée dans les pays de l’Est avant de débarquer en Europe et aux Etats-Unis« . A l’époque il n’avait abordé que le cas des rançongiciels les plus « gentils« .
Ils se contentent de restreindre l’accès à la machine infectée sans altérer les données. Une page bloque alors l’accès à l’ordinateur en demandant rançon sous 48 ou 72 heures sous peine de destruction des données. De nombreuses variantes se font passer pour un service officiel (gendarmerie, commission Hadopi…). Un message explique alors que le propriétaire de l’ordinateur est en infraction des motifs divers (images pédophiles, pornographie, téléchargement illégal,…).
En général, la somme demandée est conséquente et il est demandé de la régler via un système de carte prépayée comme MoneyPak, Ukash ou Epay. Ces procédés souvent utilisés pour les sites de paris en ligne sont l’équivalent de certains mandats cash et permettent de brouiller les pistes.
Notez qu’aujourd’hui, la plupart des éditeurs d’antivirus peuvent bloquer ces tentatives.
De même, une personne qui possède quelques notions d’informatique pourra remettre la main sur ces données en quelques dizaines de minutes sans avoir à payer cette rançon.
Enfin, dans ce cas de figure, il faut savoir que même en réglant cette rançon, le pirate ne prendra certainement pas le temps de vous fournir la méthode pour déverrouiller l’ordinateur infecté. Et pour cause ! Il risquerait de se faire identifier.
La redoutable variante qui vient mettre toutes vos données sous clé
Mais voilà, depuis 2014, une variante beaucoup plus « méchante », circule. Aussi agressive qu’imparable.
Plutôt que de se contenter de bloquer l’accès aux fichiers de l’ordinateur, cette catégorie de rançongiciel va beaucoup plus loin en venant « chiffrer », c’est-à-dire encoder, l’ensemble des données de celui-ci. Impossible alors de récupérer les données !
C’est notamment le cas du malware CTB-Locker également appelé Critroni. La méthode employée repose sur le principe d’une clé publique qui, associée à une clé privée liée mathématiquement, permet de chiffrer et déchiffrer un fichier. Il faut donc disposer des deux clés pour pouvoir accéder aux fichiers. Cette méthode efficace est employée par les administrations, les entreprises ou les particuliers pour mettre à l’abri les données. C’est vrai qu’elle est redoutable d’efficacité. Mais voilà…, dans le cas des rançongiciels, seul le pirate dispose de la clé de chiffrement privée indispensable pour y accéder.
Dans le cas de CTB-Locker, la principale voie d’infection pour ce malware est la boîte e-mail. L’utilisateur reçoit un courrier doté d’une pièce jointe. A son ouverture, les fichiers de l’ordinateur sont alors chiffrés.
La rançon demandée s’élève à 3 bitcoins, soit pratiquement 700 euros. Pour renforcer la pression, le délai pour régler la somme est de 96 heures. Toutefois, en réalité, il est possible de payer cette somme après cette limitation. Car, pour cette catégorie de rançongiciel, le règlement de la rançon permet souvent de libérer les données, puisque le pirate sait comment faire pour ne pas être pisté.
Que faire si l’ordinateur est infecté par CTB-Locker ?
Lancer un antivirus mis à jour est le premier réflexe à avoir pour, au moins, se débarrasser du malware. Toutefois, le gros souci, c’est qu’il est impossible de calculer la clé privée que possède le cybercriminel. Autrement dit, une fois que le mal est fait, c’est trop tard !
Idéalement, il ne faudrait pas payer cette rançon, à moins que les données soient vraiment essentielles. Si toutefois c’était le cas, alors il est important de les stocker immédiatement après déchiffrement sur un support extérieur. En effet, il est fréquent que le malware, toujours présent sur l’ordinateur, vienne chiffrer à nouveau l’ensemble des données une fois la rançon payée.
Ensuite, il faut réinitialiser l’ordinateur complétement à partir de son disque d’installation. A l’issue de cette aventure, la machine retrouve ses paramètres d’usine et il faut réinstaller tous les logiciels que vous utilisez, ainsi que réaliser tous les réglages et réinjecter vos documents. Fastidieux !
La seule solution consiste donc à prévenir, puisque la guérison est improbable.
Comment se protéger de ces rançongiciels ?
Quelle est la parade pour éviter ces nuisibles ? Jaromir Horejsi me rappelle toujours qu’il faut appliquer les consignes habituelles de bon sens :
« Prendre son temps avant de cliquer accidentellement sur n’importe quoi et surtout mettre à jour l’ensemble des composants Flash et Java, ainsi que le système d’exploitation et la solution de sécurité.«
(Pour en savoir plus, n’hésitez pas à lire l’article concernantla mise à jour de Java paru il y a quelques semaines dans J’Agis !)
Mais surtout, si c’est possible, ne flanchez pas sous la pression des cybercriminels, sous peine de tomber dans un piège encore plus grand.
Sachez que dans certains pays, même les autorités gouvernementales sont tombées sous le coup de ces méthodes de chiffrement et ont dû négocier avec les cybercriminels pour pouvoir remettre la main sur leurs propres données.