Qu’est-ce qu’un ransomware? – Numerama

L’actualité de la cybersécurité en est parsemée: ici, un ransomware aurait attaqué le ministère de la Justice, là-bas, l’hôpital de Dax s’est retrouvé paralysé par un logiciel malveillant du même type, dans d’autres cas, there sont des collectivités here sont touchées… Au classment des modalités de cyberattques les plus répandues, le rançongiciel truste la première place depuis plusieurs années. Corn, ça fonctionne comment, exactement, ce genre d’outil qui paralyze aussi bien des entreprises que des établissements de santé?

Qu’est-ce qu’un ransomware?

The existe différents types de logiciels malveillants (ou malware). Citons, par exemple, les spywarequi servent à espionner, les vers informatiques, qui se copient eux-mêmes pour étendre infection extrêmement vite d’un ordinateur à autre, ou encore les chevaux de Troie, qui entrent dans un système et attendent d’être activés pour attaquer de intérieur.

Les ransomware (ou rançongiciels en français), eux, ont la particularité de récupérer et chiffrer les données de l’organisation visée. Cela permet ensuite aux pirates de demander une rançon à la victim, généralement en crypto-monnaies, en l’échange d’une clé de déchiffrement. Si cette dernière refuse, les attaquants peuvent menacer de rendre publiques des informations critiques (données personnelles, projets confidentiels, code source, etc.).

À quoi ressemble une attaque par rançongiciel?

Le plus souvent, ce type de maliciel est diffusé chez la victime par hameçonnage (ou phishing): un mail trompeur est envoyé à l’organisation visée, qui pousse le destinire à ouvrir une pièce jointe ou télécharger un fichier. Quand la personne tombe dans le piège, au moment de cliquer, elle lance en réalité the installation du rançongiciel sur son ordinateur. À partir de la, le robot est programmé pour s’infiltrer dans le réseau informatique de l’enterprise et verrouiller les accès de tous les ordinateurs et systèmes connectés qu’il trouve.

Ce verrouillage peut se faire de différentes manières: certains ransomware chiffrent les données sur lesquelles ils tombent, c’est-à-dire qu’ils les rendent illisibles tant que l’attaquant n’a pas accepté de les décrypter. D’autres bloquent les écrans, souvent en y affichant des messages plus ou moins impressionnants, pour empêcher accès de la victim à son ordinateur, son téléphone, au système informatique.

Qui attaque par ransomware?

Dans la plupart des cas, les cyberattaques par ransomware sont motivées par appât du gain. Cela signifie those authors peuvent être des criminels de toute sorte d’envergure: pour les néophytes ou ceux qui ont peu de temps, the existe désormais a marché du “rançongiciel-as-a-service”. Celui-ci permet d’acheter tous les outils nécessaires pour organizer an attaque en échange d’un pourcentage sur les gains réalisés. Les cas les plus critiques, en revanche, sont le fait de groupes organisés. En 2021, un rapport de l’ENISA, the agency de l’Union européenne pour la cybersécurité, note ainsi que Conti, REvil / Sodinokibi (récemment démantelé) et DarkSide (démantelé aussi) sont les organizations criminelles qui ont engrangé le plus d ‘argent grâce à ce type de malware.

Qui est attaqué?

Des hôpitaux, des entreprises, des collectivités… Globalement, les cyberattaquants visent des organizations. “On l’oublie un peu, mais les particuliers ont beaucoup été visés jusqu’à peu près 2015”, signale Gérôme Billois, Partner Cybersécurité et confiance numérique chez Wavestone. The fallait alors payer cent, deux cents, trois cents euros pour débloquer son ordinateur. «Depuis, les cybercriminels ont compris que le retour sur investissement serait beaucoup plus large du côté du monde professionnel, donc la menace s’est déplacée. “ L’ENISA souligne d’ailleurs que le montant des rançons demandées ne fait qu’augmenter: en 2019, la plus haute était fixée à 15 millions de dollars, en 2020, ce chiffre grimpait à 30 millions, et en 2021, le groupe REvil a demandé 50 millions de dollars à Acer puis 70 millions à Kaseya, touchées à quelques mois d’écart.

Faut-il payer la rançon?

Dans la panique du moment, face à des écrans bloqués, ça peut paraître tentant. Problème: rien ne prouve que les attaquants vont réellement rendre accès aux données qu’ils ont chiffrées. Le risque est donc d’ajouter une perte financière à cella déjà provoquée par l’attaque. Par ailleurs, “Que vous payiez ou non, la durée de gestion de la crise sera sensiblement la même, indique Gérôme Billois, car une fois que vous recevez la clé de déchiffrement, si vous la recevez, il faut encore s’en servir sur chaque appearil corrompu. Et, rien ne dit que vous récupérerez les informations dans l’état dans lequel elles étaient juste avant l’attaque. “ Les autorités recommandent donc de ne pas payer les cyberrançons et ont mis en place a web site dédié vers lequel se tourner en cas de problème.

Comment se protéger des rançongiciels?

Lorsqu’ils déploient leurs ransomware for the intermédiaire d’hameçonnage, the attaquants utilisent des techniques of social engineering: ils cherchent à tromper des humains pour que ceux-ci cèdent l’accès à leur ordinateur. Face à ce type de tactique, la parade recommandée par la plupart des experts en cybersécurité est la formation: sensibiliser aux problématiques de cybersécurité, communiquer sur les risques spécifiques que présentent les mails, les pièces jointes, les URL, proposer des simulations de phishing pour informer, etc.

On a point de vue pratique, the sauvegarde et le dédoublement des données sont aussi importants. Avoir un double à jour de ses informations critiques rend beaucoup moins vulnérable aux rançongiciels et permet de reprise ses activités bien plus rapidement. Une autre recommandation fréquente consists à éviter d’utiliser des comptes “administrateurs”, car ceux-ci possèdent plus de droits sur les systèmes que des comptes “utilisateurs” – s’ils se retrouvent attaqués, les comptes “administrateurs” risquent de donner au ransomware un accès plus large aux systèmes de l’entreprise.