Go to Top

Ransomware : Faut-il payer ou non ?

Ransomware : faut-il payer ou non ?

Le ransomware représente une menace grandissante depuis maintenant plusieurs années. Son rôle est de pénétrer dans un ordinateur, de bloquer l’accès de l’utilisateur au système d’exploitation ou aux fichiers, et d’extorquer une rançon pour déverrouiller la machine. Le ransomware évolue rapidement et trouve de nouveaux moyens de mettre en danger les machines. En fonction des mécanismes utilisés, il peut être facteur de stress et d’irritation ou présenter une sérieuse menace. Mais comment fonctionne un ransomware, comment pouvez-vous vous défendre contre lui et que faire si votre machine a déjà été infectée ?

Le processus est presque toujours le même : le logiciel malveillant est joint à un spam envoyé en masse. À l’aide de méthodes très sophistiquées, les agresseurs génèrent de faux messages, incitent les victimes à ouvrir les pièces jointes et installent le virus sur leur ordinateur. Les emails, soi-disant envoyés par des entreprises de livraisons, des télécoms ou des boutiques en ligne, ont pour objectif de convaincre le destinataire que la pièce jointe contient une facture, un récépissé ou tout autre document important. Si l’utilisateur tombe dans le panneau et ouvre la pièce jointe, le logiciel malveillant sera installé sur son appareil, ce qui bloquera alors l’ordinateur et déclenchera l’affichage d’une demande de rançon.

À ce stade, pour maintenir une certaine pression psychologique sur la victime et se présentant comme des autorités officielles (comme la police, des organisations anti-piratage ou même le FBI), les agresseurs indiquent que l’ordinateur a été bloqué à cause d’opérations prétendument illégales de l’utilisateur qui doit payer une amende pour regagner l’accès à son appareil.

La pression est immense : le message est souvent accompagné d’une horloge indiquant le temps (par exemple, 72 heures) qu’il reste pour payer la rançon, après quoi les données seront irrémédiablement perdues. Y a-t-il une chance de regagner le contrôle de votre ordinateur et de vos données sans perdre beaucoup d’argent (les rançons varient de plusieurs centaines à plusieurs milliers de dollars) ?

Le ransomware : simple source d’agacement ou véritable danger ?

Tout dépend du type de virus dont il s’agit. Le ransomware opère à deux niveaux de base : tout d’abord, il bloque l’accès au système d’exploitation, mais il peut également chiffrer tous les fichiers et les dossiers accessibles depuis l’appareil infecté. Dans le premier cas, l’attaque est plus agaçante que dangereuse ; dans le second, vos données sont perdues.

Si le virus a simplement bloqué l’accès au système d’exploitation, vous avez affaire à l’attaque d’un scareware dont l’objectif est de vous effrayer pour que vous payiez la rançon. De telles attaques sont relativement simples à contrer. Même si l’ordinateur a été bloqué, vous pouvez utiliser un bon logiciel antivirus, par exemple en le faisant fonctionner depuis un disque de secours, pour scanner votre système et désactiver le virus. Les utilisateurs les plus aguerris peuvent même détruire le ransomware par leurs propres moyens.

CryptoLocker

Si vous tombez sur un ransomware plus perfectionné, après avoir débloqué le système, vous découvrirez peut-être que tous vos fichiers et dossiers ont été chiffrés. C’est ainsi que fonctionne CryptoLocker. Il s’agit de la variante de ransomware la plus sophistiquée jamais inventée, qui chiffre tous les fichiers sur l’ordinateur et peut même chiffrer des ressources de réseau. Ainsi, même si vous utilisez un logiciel de sauvegarde automatique et que la sauvegarde est disponible sur le réseau pendant l’attaque, elle sera elle-aussi chiffrée.

 

Lire aussi : Ransomware : la prise en otage de vos données

 

Après l’ouverture d’une pièce jointe infectée, CryptoLocker est installé sur votre ordinateur, télécharge une clé privée depuis un serveur contrôlé par les agresseurs, puis chiffre vos fichiers à l’aide d’un algorithme RSA 2048-bit. Ensuite, un message s’affiche indiquant que vous avez 72 heures pour payer la rançon. Passé ce délai, le programme sera automatiquement désinstallé – ainsi que la clé publique, ce qui rendra le décryptage de vos fichiers impossible.

La même chose se produira si vous désinstallez le programme vous-même ou avec n’importe quel logiciel antivirus : la clé publique sera également éliminée, vous laissant avec des fichiers inutilisables qui, pour l’instant, NE PEUVENT PAS ÊTRE DÉCHIFFRÉS (ceci pourrait être possible avec l’ordinateur quantique – des recherches sont en cours depuis des années, mais sans succès pour l’instant). En reformulant : avec les moyens techniques actuels, le RSA 2048-bit ne peut être craqué.

Dois-je payer la rançon dans ce cas ?

Les nouvelles ne sont pas bonnes : même si vous décidez de payer la rançon, il n’est absolument pas garanti que vous receviez la clé pour déchiffrer vos fichiers. Les auteurs ont été assez corrects pour s’assurer qu’après le paiement de la rançon le système déchiffre automatiquement le contenu de votre ordinateur, mais du fait des activités des experts en sécurité et de la police, certains serveurs sur lesquels le système entier fonctionne ont été fermés, ce qui fait que le processus de déchiffrage ne marche pas toujours comme prévu. Ce qui signifie qu’outre le fait de perdre de l’argent, vous pouvez finir par perdre toutes vos données chiffrées quoi qu’il arrive.

Comment puis-je me protéger ?

  • N’ouvrez pas d’emails, encore moins de pièces jointes, émis par des sources inconnues, non confirmées ou suspectes – le bon sens est la protection la plus efficace contre les virus,
  • Protégez votre ordinateur à l’aide d’un logiciel fiable et n’oubliez pas de le mettre à jour; de nouvelles générations et variantes de ransomware continuent à hanter la toile, c’est pourquoi il est recommandé de toujours avoir une base de données à jour,
  • Toujours créer une sauvegarde de vos fichiers les plus importants et la stocker hors ligne (sur un CD, une carte mémoire ou un disque dur externe),
  • si possible (c’est-à-dire, dans le cas où il ne s’agit pas de données sensibles), stockez vos fichiers dans le cloud, en utilisant DropBox, Google Drive, etc.

 J’ai été attaqué : que faire à présent ?

Si vous êtes victime de l’attaque d’un ransomware, ne vous précipitez pas dans votre décision. Essayez de savoir à quel genre de menace vous avez affaire et si vous pouvez retrouver l’accès à vos fichiers en utilisant des outils disponibles au public. Heureusement, des versions plus anciennes de ransomware de chiffrage utilisent des algorithmes moins sophistiqués, et une partie des nouvelles versions possèdent des bugs de chiffrage, ce qui signifie qu’il peut être possible de les craquer. Lorsque vous avez un doute, consultez un expert et quoi qu’il arrive, souvenez-vous : on ne négocie pas avec des terroristes ! En payant la rançon, vous aidez à financer une autre génération de logiciels malveillants et rendez son développement et sa distribution rentables. De plus il n’est pas garanti que les agresseurs vous envoient la clé privée…

One Response to "Ransomware : Faut-il payer ou non ?"

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *