Qu’est-ce qu’un rançongiciel (ransomware) ?

Apprenez-en davantage sur les rançongiciels, leur fonctionnement et la manière dont vous pouvez vous protéger, vous et votre entreprise, contre ce type de cyberattaque.

Définition des rançongiciels

Les rançongiciels sont des logiciels malveillants qui menacent une victime en détruisant des données ou systèmes critiques ou en bloquant l’accès à ceux-ci jusqu’au paiement d’une rançon. Historiquement, la plupart des rançongiciels visaient des particuliers, mais, plus récemment, les rançongiciels exploités par des humains, visant des organisations, sont devenus la menace la plus importante et la plus difficile à prévenir et à inverser. Avec ces derniers, un groupe d’attaquants utilisent leur intelligence collective pour accéder au réseau d’entreprise d’une organisation. Certaines attaques de ce type sont si sophistiquées que les attaquants utilisent des documents financiers internes qu’ils ont découverts pour fixer le prix de la rançon.

Attaques par rançongiciel récentes

Malheureusement, les mentions de menaces de rançongiciels dans l’actualité sont devenues monnaie courante. Rien qu’en 2021, les attaques par rançongiciel ont augmenté de 935 %. Comme on peut l’imaginer, les effets peuvent être dévastateurs. Voici un aperçu de quelques attaques récentes par rançongiciel et de la manière dont elles ont affecté des organisations.

 

Kronos
 

Le géant des ressources humaines (RH) Kronos a fait l’objet d’une attaque par rançongiciel en décembre 2021, date à laquelle son système de paie et de gestion des congés au service des clients qui utilisent son cloud privé a été affecté. Étant donné que de nombreuses organisations font confiance à Kronos pour leurs services RH, dont le réseau de transport métropolitain de la ville de New York, l’Université George Washington et le ministère des Transports de l’Oregon, la violation des données à caractère personnel et des informations sur les employés eut un effet retentissant.

 

Colonial Pipeline
 

En mai 2021, l’exploitant de gazoduc américain Colonial Pipeline a fermé ses services pour éviter de nouvelles violations de données après qu’une attaque par rançongiciel eut compromis les informations à caractère personnel de milliers de ses employés. Les effets furent catastrophiques, faisant monter en flèche les prix du gaz sur toute la côte est qui dépend fortement du distributeur. En fin de compte, l’entreprise a payé une rançon en cryptomonnaie de 4,4 millions de dollars au groupe de piratage informatique criminel DarkSide. Par la suite, le FBI est parvenu à récupérer quelque 2,3 millions de dollars.

 

Brenntag
 

Comme Colonial Pipeline, la société allemande de distribution de produits chimiques Brenntag a subi une attaque par rançongiciel orchestrée par DarkSide. Lors de cette attaque menée en avril 2021, DarkSide affirme avoir pu pénétrer dans le réseau de Brenntag grâce à des informations d’identification volées achetées à un vendeur anonyme. L’attaque a permis de dérober les dates de naissance, numéros de sécurité sociale et numéros de permis de conduire de plus de 6 000 personnes, ainsi que certaines données médicales. Après avoir négocié la rançon initiale, Brenntag a fini par payer 4,4 millions de dollars.

 

JBS
 

En mai 2021, JBS, le plus grand fournisseur de viande au monde a été la cible d’une attaque par rançongiciel qui a affecté ses activités en Amérique du Nord et en Australie. Après avoir temporairement mis son site web hors ligne et arrêté sa production, JBS a dû agir afin d’éviter une interruption de la chaîne d’approvisionnement alimentaire et l’augmentation subséquente des prix des denrées. JBS a fini par payer une rançon de 11 millions de dollars en bitcoins au groupe cybercriminel REvil.

Comment fonctionne un rançongiciel ?

Une attaque par rançongiciel consiste à prendre le contrôle des données ou appareils d’une personne ou d’une organisation afin de lui extorquer de l’argent. Par le passé, les attaques résultaient le plus souvent de piratages psychologiques mais, récemment, des rançongiciels exploités par des humains ont gagné en popularité auprès des criminels en raison de leur énorme potentiel de paiement.

 

Rançongiciels basés sur un piratage psychologique


Ces attaques utilisent le hameçonnage, une forme de tromperie dans laquelle un attaquant se fait passer pour une entreprise ou un site web légitime, pour inciter une victime à cliquer sur un lien ou à ouvrir une pièce jointe qui installera un rançongiciel sur son appareil. Ces attaques véhiculent souvent des messages alarmistes qui amènent la victime à prendre peur. Par exemple, un cybercriminel peut se faire passer pour une banque bien connue et envoyer à une personne un courriel l’avertissant que son compte a été gelé en raison d’une activité suspecte, et l’incitant à cliquer sur un lien pour régler le problème. Quand la personne clique sur le lien, le rançongiciel est installé.

 

 

Rançongiciels exploités par des humains


Un rançongiciel exploité par un humain commence souvent par le vol d’informations d’identification de compte. Une fois que l’attaquant a accès au réseau d’une organisation par ce biais, il utilise le compte volé pour obtenir les informations d’identification de comptes ayant un accès plus large, et recherche des données et systèmes vitaux pour l’entreprise, qui présentent un potentiel de gain financier élevé. Il exécute ensuite un rançongiciel sur ces données sensibles ou systèmes vitaux, par exemple, pour les chiffrer afin que l’organisation ne puisse plus y accéder tant qu’elle n’a pas payé de rançon. Les cybercriminels ont tendance à demander un paiement en cryptomonnaie afin de préserver leur anonymat.

 

Ces attaquants ciblent des grandes organisations capables de payer une rançon plus élevée que le particulier lambda, réclamant parfois des millions d’euros ou de dollars. En raison des enjeux élevés d’une violation de cette ampleur, de nombreuses organisations choisissent de payer la rançon plutôt que de voir fuiter leurs données sensibles ou de rester exposées à de nouvelles attaques cybercriminelles, même si le paiement ne garantit pas l’élimination de la menace.

 

À mesure que les attaques par rançongiciels exploités par des humains se multipliaient, les criminels à l’origine de celles-ci se sont organisés. En fait, de nombreuses opérations de rançongiciel utilisent désormais un modèle de rançongiciel en tant que service. Cela signifie qu’un groupe de développeurs criminels créent le rançongiciel proprement dit, puis engagent d’autres cybercriminels affiliés pour pirater le réseau d’une organisation et installer le rançongiciel. Les deux groupes se partagent ensuite les bénéfices de l’opération.

Types d’attaques par rançongiciel

Les rançongiciels sont principalement de deux types : les rançongiciels de chiffrement et les rançongiciels de verrouillage.

 

Rançongiciels de chiffrement


Quand une personne ou une organisation est victime d’une attaque par rançongiciel de chiffrement, l’attaquant chiffre des données ou fichiers sensibles de la victime afin que celle-ci ne puisse plus y accéder qu’en payant la rançon demandée. En théorie, une fois que la victime a payé, elle reçoit une clé de chiffrement lui permettant d’accéder à nouveau auxdits fichiers ou données. Cependant, même si la victime paie la rançon, rien ne garantit que le cybercriminel enverra la clé de chiffrement ou relâchera son emprise. Doxware est une forme de rançongiciel de chiffrement qui chiffre des informations à caractère personnel de la victime et menace de les révéler publiquement, généralement dans le but de l’humilier ou de lui faire honte, pour l’amener à payer la rançon.

 

Rançongiciels de verrouillage


Lors d’une attaque par rançongiciel de verrouillage, l’accès de la victime à son appareil est bloqué. Elle ne peut plus s’y connecter. La victime voit s’afficher à l’écran un avis de rançon expliquant qu’elle a été bloquée et contenant des instructions sur la manière de payer pour récupérer l’accès à son appareil. Cette forme de rançongiciel n’impliquant généralement pas de chiffrement, après que la victime a récupéré l’accès à son appareil, elle retrouve l’ensemble de ses fichiers et données sensibles intacts.

Réponse à une attaque par rançongiciel

Si vous êtes victime d’une attaque par rançongiciel, vous disposez de diverses options de recours contre et de suppression.

 

Évitez de payer la rançon


S’il peut être tentant de payer la rançon dans l’espoir de faire disparaître le problème, rien ne garantit que les auteurs de l’attaque tiendront parole et vous rendront l’accès à vos données. Les experts en sécurité et les autorités policières recommandent aux victimes d’attaques par rançongiciels de ne pas payer les rançons demandées, car cela les expose à des menaces futures et revient à soutenir activement une activité criminelle. Si vous avez déjà payé, contactez immédiatement votre banque qui pourra peut-être faire opposition si le paiement a été effectué à l’aide d’une carte de crédit.

 

Isolez les données infectées


Dès que possible, isolez les données compromises pour éviter la propagation du rançongiciel à d’autres zones de votre réseau.

 

Exécutez un logiciel anti-programme malveillant


De nombreuses attaques par rançongiciel peuvent être traitées en installant un logiciel anti-programme malveillant pour éradiquer le rançongiciel. Une fois que vous avez choisi un logiciel anti-programme malveillant réputé, tel que Windows Defender, veillez à le tenir à jour et à le faire fonctionner en permanence afin de vous protéger contre de nouvelles attaques.

 

Signalez l’attaque


Contactez vos services de police locaux ou fédéraux pour signaler l’attaque. Aux États-Unis, il s’agit du bureau local du FBI, de l’IC3, ou du Service secret. Même si cette étape ne permettra probablement pas de résoudre votre problème immédiat, elle est importante car ces autorités suivent et observent activement les différentes attaques. La fourniture de détails sur votre expérience pourrait leur apporter des informations utiles dans le cadre de la recherche et de la poursuite d’un cybercriminel ou d’un groupe de cybercriminels.

Protection contre les ransomware

Les attaques par rançongiciel n’ayant jamais été aussi nombreuses et une grande partie des informations à caractère personnel étant conservées sous forme numérique, leurs conséquences potentielles sont redoutables. Heureusement, de nombreux moyens sont à votre disposition pour préserver votre vie numérique. La vôtre, pas celle d’un autre. Voici comment gagner en tranquillité d’esprit grâce à une protection contre les rançongiciels proactive.

 

Installez un logiciel anti-programme malveillant


La meilleure forme de protection est la prévention. De nombreuses attaques par rançongiciel peuvent être détectées et bloquées avec un service anti-programme malveillant de confiance, tel que Microsoft Sentinel, Microsoft 365 Defender ou Microsoft Defender pour le cloud. Lorsque vous utilisez un logiciel anti-programme malveillant, votre appareil analyse les fichiers ou les liens que vous tentez d’ouvrir pour s’assurer qu’ils sont sûrs. Si un fichier ou un site web semblent potentiellement nuisibles, le logiciel anti-programme malveillant vous alerte et vous suggère de ne pas y accéder. Un tel programme peut également supprimer des rançongiciels d’un appareil déjà infecté.

 

Organisez des formations régulières


Tenez les employés informés de la manière de repérer les signes d’hameçonnage et d’autres attaques par rançongiciel au travers de formations régulières. Cela leur permettra non seulement d’apprendre des pratiques plus sûres au travail, mais aussi à être plus prudents lorsqu’ils utilisent leurs appareils personnels.

 

Migrez vers le cloud


En migrant vos données vers un service basé sur le cloud, tel que le  service de sauvegarde dans le cloud Azure, une sauvegarde de stockage d’objets blob de blocs Azure, ou les services de sauvegarde et de récupération Office 365, vous pourrez facilement sauvegarder vos données pour les conserver en un lieu plus sûr. Si vos données sont compromises par un rançongiciel, ces services veillent à assurer une récupération immédiate et complète.

 

Adoptez un modèle Confiance Zéro


Un modèle Confiance Zéro évalue les risques qu’encourent l’ensemble des appareils et utilisateurs avant d’autoriser ceux-ci à accéder à des applications, fichiers, bases de données et autres appareils, afin de réduire la probabilité qu’une identité ou un appareil malveillants puissent accéder à des ressources et installer un rançongiciel. Par exemple, il a été démontré que l’implémentation d’une authentification multifacteur, qui est l’un des composants d’un modèle Confiance Zéro, réduit de plus de 99 % l’efficacité des attaques par usurpation d’identité. Pour évaluer le niveau de maturité de votre organisation en lien avec l’approche Confiance Zéro, servez-vous de notre évaluation de la maturité pour la Confiance Zéro.

 

Rejoignez un groupe de partage d’informations


Les groupes de partage d’informations, fréquemment organisés par secteur d’activité ou emplacement géographique, encouragent les organisations de structure similaire à œuvrer ensemble à la recherche de solutions en matière de cybersécurité. Les groupes offrent également aux organisations différents avantages, tels que des services de réponse aux incidents et de forensique numérique, des informations sur les dernières menaces et la surveillance des plages d’adresses IP et des domaines publics.

 

Conservez des sauvegardes hors connexion


Étant donné que certains rançongiciels tentent de rechercher et de supprimer les sauvegardes en ligne dont vous disposez, il est judicieux de conserver une sauvegarde hors connexion actualisée des données sensibles, que vous testez régulièrement pour vous assurer qu’elle peut être restaurée en cas d’attaque par rançongiciel. Si une sauvegarde hors connexion ne peut pas résoudre un problème d’attaque par rançongiciel de chiffrement, elle peut être un outil efficace en cas d’attaque par rançongiciel de verrouillage.

 

Maintenez les logiciels à jour


Outre la tenue à jour du logiciel anti-programme malveillant (songez à opter pour des mises à jour automatiques), veillez à télécharger et à installer l’ensemble des mises à jour du système et des correctifs logiciels dès qu’ils sont disponibles. Cela permet de minimiser les failles de sécurité qu’un cybercriminel pourrait exploiter pour accéder à votre réseau ou à vos appareils.

 

Élaborez un plan de réponse aux incidents


Tout comme la mise en place d’un plan d’urgence pour savoir comment sortir de chez vous en cas d’incendie vous permet d’être plus en sécurité et mieux préparé, l’élaboration d’un plan de réponse aux incidents indiquant que faire en cas d’attaque par rançongiciel vous permettra de savoir les mesures concrètes à prendre dans différents scénarios d’attaque afin de pouvoir reprendre vos activités normalement et en toute sécurité dans les meilleurs délais.

Foire aux questions

|

Malheureusement, pratiquement toute personne en ligne peut être victime d’une attaque par rançongiciel. Les appareils personnels et les réseaux d’entreprise sont des cibles fréquentes des cybercriminels.

 

Toutefois, investir dans des solutions proactives, telles que des services de protection contre les menaces, est un moyen viable d’empêcher des rançongiciels d’infecter votre réseau ou vos appareils. Par conséquent, les personnes et organisations qui ont mis en place des logiciels anti-programme malveillant et d’autres protocoles de sécurité, tel un modèle Confiance Zéro, avant qu’une attaque se produise, sont les moins susceptibles d’être victimes d’une attaque par rançongiciel.

Une attaque par rançongiciel traditionnelle se produit quand une personne est amenée par la ruse à accéder à un contenu malveillant, par exemple, en ouvrant un e-mail infecté ou en visitant un site web nuisible qui installe un rançongiciel sur son appareil.

 

Lors d’une attaque par rançongiciel exploité par des humains, un groupe d’attaquants ciblent et violent des données sensibles d’une organisation, généralement en se servant d’informations d’identification volées.

 

En général, qu’il s’agisse d’un rançongiciel basé sur un piratage psychologique ou d’un rançongiciel exploité par des humains, la personne ou l’organisation victime reçoit un avis de rançon détaillant les données volées et le coût de leur restitution. Toutefois, le paiement de la rançon ne garantit nullement que les données seront effectivement restituées ou de nouvelles violations évitées.

Les effets d’une attaque par rançongiciel peuvent être dévastateurs. Aux niveaux tant individuel qu’organisationnel, les victimes pourraient se sentir contraintes de payer des rançons conséquentes sans garantie que leurs données leur seront restituées ou que d’autres attaques ne se produiront pas. Si un cybercriminel divulgue des informations sensibles d’une organisation, cela peut entacher la réputation de celle-ci et fragiliser la confiance qu’elle inspire. Par ailleurs, selon le type des informations divulguées et la taille de l’organisation, le nombre de personnes victimes d’un vol d’identité ou d’autres cybercrimes peut être considérable.

Les cybercriminels qui infectent les appareils de leurs victimes avec un rançongiciel veulent de l’argent. Ils ont tendance à fixer des rançons en cryptomonnaie en raison du caractère anonyme et intraçable de celles-ci. Dans le cas d’une attaque par rançongiciel basé sur un piratage psychologique visant un individu, la rançon peut s’élever à quelques centaines ou milliers d’euros ou de dollars. Dans le cas d’une attaque par rançongiciel exploité par des humains visant une organisation, la rançon peut atteindre des millions d’euros ou de dollars. Ces attaques plus sophistiquées contre des organisations peuvent utiliser des informations financières confidentielles que les cybercriminels trouvent lors de l’intrusion dans le réseau pour fixer une rançon que l’organisation est censée pouvoir payer.

Les victimes doivent signaler les attaques par rançongiciel à leurs services de police locaux ou fédéraux. Aux États-Unis, il s’agit du bureau local du FBI, de l’IC3, ou du Service secret. Les experts en sécurité et les autorités policières recommandent aux victimes de ne pas payer de rançon. Si vous avez déjà payé, contactez immédiatement votre banque et les autorités locales. Votre banque est peut-être en mesure de bloquer le paiement si vous avez effectué celui-ci avec une carte de crédit.