Le ransomware, nouvelle poule aux œufs d’or des hackers

Auteur
Caroline Besse
Thématique
Cybercriminalité et nouvelle technologie

En octobre 2019, l’hôpital suisse de Wetzikon, dans le canton de Zurich, a été victime d’une cyberattaque au moyen d’un ransomware. Dans ce cadre, l’hôpital s’est vu contraint de débrancher plusieurs dispositifs médicaux du système central, mais ne semble pas avoir subi de dégâts majeurs, après avoir pu isoler rapidement les machines infectées 1SEYDTAGHIA, Anouch, 2019. Un hôpital suisse victime d’une cyberattaque. In : Le Temps [en ligne]. 20 décembre 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.letemps.ch/economie/un-hopital-suisse-victime-dune-cyberattaque . D’autres n’ont pas eu la même chance. Aux États-Unis notamment, des médecins, des dentistes et de petits établissements hospitaliers de quartier victimes d’une cyberattaque par ransomware ont dû refouler des patients, voire pour certains mettre la clé sous la porte 2JANOFSKY, Adam, 2019. Smaller Medical Providers Get Burned by Ransomware. In : Wall Street Journal [en ligne]. 6 octobre 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.wsj.com/articles/smaller-medical-providers-get-burned-by-ransomware-11570366801 . CrowdStrike, une société de cybersécurité californienne, met en exergue dans son rapport 2019 le succès grandissant des attaques par ransomware menées contre le secteur privé : cette année, près de 40% des entreprises interrogées, provenant des quatre coins du monde, se sont résolues à verser les sommes conséquentes exigées par les hackers pour récupérer l’accès à leurs fichiers, soit un nombre nettement plus élevé qu’en 2018 3HUVELIN, Grégoire, 2019. En 2019, les attaques par ransomware contre le secteur privé ont été encore plus efficaces. In : Cyberguerre [en ligne]. 20 décembre 2019 [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://cyberguerre.numerama.com/2059-en-2019-les-attaques-par-ransomware-contre-le-secteur-prive-ont-ete-encore-plus-efficaces.html .

Cette brève sélection d’attaques récentes, qui font désormais des victimes en Suisse non plus seulement dans les PME mais aussi dans les collectivités publiques, illustrent la croissance exponentielle de ce phénomène et les dégâts conséquents qu’elles causent. Elles nous alertent aussi sur le fait que chacun d’entre nous peut être une victime directe ou collatérale d’une attaque par ransomware.

Un ransomware, qu’est-ce exactement ?

Passons d’abord par la case définition, pour mieux cerner cette drôle de bête qu’est le ransomware. Ce terme anglais, qui se traduit en français littéralement par « rançongiciel », désigne un type de logiciel malveillant qui chiffre l’accès à votre ordinateur ou à vos fichiers personnels 4ANON., 2019. What is Ransomware? | Definition, Examples, & Prevention. In : crowdstrike.com [en ligne]. 2 août 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.crowdstrike.com/epp-101/what-is-ransomware/ en modifiant souvent l’extension des fichiers (par exemple .locked ou .locky). Il exige ensuite de votre part, par un message affichant les instructions de paiement 5ANON., [sans date]. Ransomware / Rançongiciels. In : CommentCaMarche.net [en ligne]. [Consulté le 22 décembre 2019]. Disponible à l’adresse : https://www.commentcamarche.net/faq/45808-ransomware-rancongiciels , une rançon pour récupérer vos fichiers, souvent dans un certain laps de temps, le montant exigé augmentant parfois après un (ou plusieurs) délai(s) échu(s) 6Ref. 4. Le paiement se fait souvent en monnaie virtuelle (par ex. Bitcoin) à travers un site sur le darknet, si bien qu’il est impossible de remonter jusqu’aux hackers. Le montant des rançons, initialement fixé à quelques centaines de dollars, se chiffre désormais à plusieurs centaines de milliers de francs 7Ref. 4 .

« Comment serai-je touché ? »

Le ransomware peut infecter l’ordinateur de plusieurs manières. La plus commune est celle de l’e-mail par phishing et spam 8Ref. 4 . L’attaque menée contre l’hôpital de Zurich a d’ailleurs « très certainement été réalisée par e-mail » 9Ref. 1 . Ces e-mails contiennent soit une pièce jointe infectée par un logiciel malveillant, soit un lien sur un site malveillant ou piraté. Une fois que l’utilisateur ouvre la pièce jointe ou clique sur le lien, le ransomware infecte la machine de l’utilisateur et peut se répandre sur son réseau (y compris sur ses éventuels supports périphériques connectés tels que clé USB, disque dur externe, etc.). Une autre manière consiste à exploiter une faille de sécurité dans un système ou un programme, comme le fameux ver WannaCry qui a infecté des centaines de milliers d’ordinateurs dans le monde entier en utilisant une faille Microsoft. Enfin, le ransomware peut également prendre la forme d’une fausse mise à jour d’un logiciel, poussant les utilisateurs à activer les droits d’administrateur et installant ainsi le code malveillant 10Ref. 4 .

Une fois l’ordinateur infecté par le ransomware, celui-ci bloque soit l’accès au disque dur, soit il chiffre tout ou une partie des fichiers de l’ordinateur. Il sera peut-être possible de retirer le logiciel malveillant de l’ordinateur et de restaurer le système, mais les fichiers resteront chiffrés du fait que le ransomware les a déjà rendus illisibles, et que le déchiffrement est mathématiquement impossible sans la clé de déchiffrement du hacker 11Ref. 4 .

Le montant de la rançon en lui-même est fixé à la fois à un niveau suffisamment bas pour que la victime puisse la payer, et à un niveau suffisamment élevé pour que l’opération soit rentable pour le hacker. Les cybercriminels visent certaines organisations ou industries afin de tirer profit de leurs vulnérabilités spécifiques et de maximiser ainsi les chances que la rançon soit payée. Les organisations médicales peuvent par exemple être visées du fait qu’elles nécessitent souvent d’un accès immédiat à leurs données et que des vies peuvent être en jeu, ces facteurs les conduisant à payer immédiatement. Les établissements financiers et les cabinets d’avocats seront également plus enclins à payer la rançon en raison du caractère sensible de leurs données et auront tendance à le faire discrètement pour éviter toute publicité négative 12Ref. 4 . La tendance est également désormais de cibler des gouvernements étatiques et locaux ainsi que les collectivités publiques, ceux-ci étant plus enclins à payer les rançons demandées, en raison d’une part des données sensibles qu’ils détiennent et d’autre part, de caisses plus généreusement garnies 13NG, Alfred, 2019. Ransomware froze more cities in 2019 as hackers got smarter. In : CNET.com [en ligne]. 5 décembre 2019. Consulté le 22 décembre 2019]. Disponible à l’adresse : https://www.cnet.com/news/ransomware-devastated-cities-in-2019-officials-hope-to-stop-a-repeat-in-2020/ . Il n’empêche qu’une attaque par ransomware peut toucher n’importe lequel d’entre nous, ainsi que de nombreux systèmes d’exploitation (Windows, Linux, MacOS).

Il faut également être conscient qu’il n’existe aucune garantie pour la victime que le paiement de la rançon lui permettra de récupérer la clé de déchiffrement des fichiers (mise par ailleurs sur un serveur du darknet qu’il est impossible de retracer), puisqu’elle a en face d’elle des hackers sans foi ni loi qui se soucient peu de respecter leur engagement, leur seul but étant de maximiser les profits à moindre effort. Il y a ainsi de fortes chances qu’une fois la rançon payée, la victime n’obtienne strictement rien en retour… On pense ici notamment à la cyberattaque ayant visé le groupe d’ingénierie français Altran en janvier 2019 : l’entreprise, en dépit des recommandations des experts exhortant à ne jamais payer les rançons exigées 14MELANI, Centrale d’enregistrement et d’analyse pour la sûreté de l’information, 2019a. Mise à jour rançongiciels: nouvelle façon de procéder. In : Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI [en ligne]. 30 juillet 2019. [Consulté le 26 décembre 2019]. Disponible à l’adresse : https://www.melani.admin.ch/melani/fr/home/dokumentation/newsletter/update-ransomware-neue-vorgehensweise.html , a versé 300 bitcoins (soit près d’un million d’euros selon la valeur du bitcoin à ce moment-là), et fin février, elle n’avait pas reçu la clé de déchiffrement des fichiers 15GROS, Maryse, 2019. Cyberextorsion contre Altran : un coût estimé à 20 M€ – Le Monde Informatique. In : LeMondeInformatique.fr [en ligne]. 28 février 2019. [Consulté le 23 décembre 2019]. Disponible à l’adresse : https://www.lemondeinformatique.fr/actualites/lire-cyberextorsion-contre-altran-un-cout-estime-a-20-meteuro-74492.html . D’un autre côté, si la victime ne paie pas, elle est doublement pénalisée : non seulement elle n’a plus accès à ses données, mais elle est en outre dans l’incapacité de poursuivre son activité, ce qui engendre pour elle des pertes de revenus considérables. L’impact financier de l’attaque par rançongiciel contre Altran a été estimé à 20 millions d’euros en février 2019 16Ref. 15 . Ce choix cornélien pour la victime illustre le potentiel de nuisance extrêmement élevé du ransomware.

Comment me protéger ?

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI liste sur son site plusieurs mesures de précaution pour minimiser autant que faire se peut les risques d’être victime d’un ransomware ou les conséquences d’une attaque par ransomware, dont nous reprenons ci-dessous les plus importantes :

Mesures préventives

  • Effectuer des sauvegardes régulières des données importantes sur un support externe et déconnecter ce dernier de l’ordinateur après la sauvegarde afin d’éviter que le rançongiciel ne le chiffre également lors d’une infection.
  • Maintenir à jour son système d’exploitation, toutes les applications installées sur l’ordinateur, l’antivirus et le pare-feu personnel.
  • Procéder avec grande prudence en présence de courriels suspects, inattendus ou provenant d’un expéditeur inconnu : ne pas cliquer sur les liens indiqués et ne pas ouvrir les pièces jointes au courriel.

Mesures après infection de l’ordinateur

  • En cas d’infection, déconnecter immédiatement l’ordinateur de tous les réseaux. Procéder à une réinstallation du système et à un changement de tous les mots de passe.
  • Restaurer les données à partir de copies de sauvegarde (par ex. depuis disque dur externe non connecté au réseau lors de l’infection).
  • Signaler l’incident au Service national de coordination de la lutte contre la criminalité sur Internet (SCOCI) et porter plainte auprès des services de police locaux.
  • Ne pas payer la rançon.

Mesures supplémentaires pour les entreprises

  • Renforcer la protection de l’infrastructure informatique contre les maliciels en utilisant Windows AppLocker.
  • Bloquer la réception de courriels contenant des fichiers dangereux (par ex. .js, .jar, .exe, .scr, .pif, .ps1) sur le service de messagerie.

17MELANI, Centrale d’enregistrement et d’analyse pour la sûreté de l’information, 2019b. Rançongiciels. In : Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI [en ligne]. 6 août 2019. [Consulté le 21 décembre 2019]. Disponible à l’adresse : https://www.melani.admin.ch/melani/fr/home/themen/Ransomware.html

Liste complète des mesures disponible ici.