Ransomware
Ransomware, une branche très organisée du cybercrime. Le ransomware ou rançongiciel, ou encore cryptorançongiciel, est une classe de logiciels redoutables qui cryptent les données présentes sur un ordinateur et tous les périphériques qui y sont rattachés, y compris en réseau local si ce dernier n’est pas sécurisé. Les premières attaques de ce type ont été référencées en 1989, mais elles sont restées marginales, pour ne pas dire rares, bien peu d’informaticiens les ayant rencontrées. Ce n’est qu’en 2012 que des vagues d’attaques à grande échelle débutèrent, le plus souvent par l’intermédiaire de pièces jointes accompagnant de faux messages d’entreprises connues et bien réelles. Qu’ils se nomment Locky, TeslaCrypt, Shade, CryptoWall, CryptoLocker, pour ne citer que les plus connus, leur mode d’action est similaire à celui d’un cheval de Troie ( Trojan horse ) : une fois ouverte d’un malheureux double-clic, la pièce jointe infectée (ou l’exécutable téléchargé sur un site corrompu) libère un petit programme qui va crypter l’ensemble des données à sa portée. L’utilisateur n’en sera averti qu’au terme de la procédure par un message indiquant l’état de fait, parfois le type de cryptage utilisé, souvent du RSA utilisant une clef assez longue pour être incassable. Et puis, bien sûr, la demande de rançon, libellée en Bitcoin, d’un montant très variable, mais toujours conséquent… À noter que certaines variantes, dont le très célèbre WannaCry, peuvent aussi se propager seules à la façon d’un ver, par le réseau, en exploitant une faille d’un système d’exploitation ancien ou en défaut de mises à jour. À partir de ce moment, si l’utilisateur (ou l’entreprise) possède un jeu de sauvegarde intact, après éradication du ransomware tout rentrera dans l’ordre. Sinon, il faudra accepter de perdre ses données ou, ultima ratio, payer la rançon… Dans ce dernier cas, la procédure passera souvent par Tor et son réseau chiffré, et pourra être très fastidieuse pour les personnes peu habituées aux transactions par cryptomonnaies, réputées difficilement traçables, mais pas si simples à se procurer. Pour les autres, les détenteurs d’un porte-monnaie électronique déjà garni en bitcoins, ce sera plus facile puisqu’un virement sur les coordonnées indiquées dans la demande de rançon déclenchera l’envoi d’une clef de décryptage, souvent contenue dans un exécutable de déchiffrement à lancer en ligne de commande. La procédure est si bien rodée que les plus organisés des indélicats (notamment ceux qui pilotaient Locky) disposent même d’un service technique joignable par messagerie qui répond avec célérité et efficacité à n’importe quelle heure du jour ou de la nuit ! Pour avoir testé la procédure, il faut reconnaître l’indéniable compétence de ceux qui mènent ces attaques et la difficulté de les contrer en aval. En amont, par contre, la partie est jouable en disposant de deux jeux de sauvegarde dont l’un est déconnecté du réseau local, ou suffisamment protégé par un NAS sécurisé, notamment. Sans oublier que la résistance s’organise du côté des suites logicielles de sécurité, même si la grande réactivité des pirates leur donne souvent un coup d’avance. Alors, comme tous les services informatiques le répètent inlassablement depuis des lustres, si vous ne pouvez pas vous passer de vos données, alors ne vous passez pas de sauvegardes ! Et depuis l’avènement des ransomwares, elles devront impérativement être adaptées à cette nouvelle menace sous peine de complète inutilité, puisqu’elle seront cryptées elles aussi…