Appelés « rançongiciels » (ou ransomware), ces codes malveillants bloquent un ordinateur. Les PME sont devenues la cible privilégiée de ces escrocs. Face aux logiciels-rançonneurs il n’existe pas de solution logicielle réellement efficace. Seule la prévention permet d’éviter le pire.
Apparu au début des années 90, ce type de programme malveillant provoque le chiffrement (ce qu’on appelle à tord le « cryptage ») de tous les fichiers d’un ordinateur. Les fichiers accessibles en écriture sur les dossiers partagés, si le PC est connecté à un réseau informatique, sont également bloqués.
Affichant les logos de différents services de police ou d’organisations connues du public, ce logiciel réclame une somme (entre 100 et 500 € avec parfois le doublement au bout d’une heure) pour obtenir une clé de décryptage.
En France, « plusieurs dizaines de milliers de PC ont été victimes de cette attaque et plusieurs centaines de personnes ont malheureusement essayé de payer l’amende réclamée par les escrocs », indique le Lieutenant-Colonel Éric Freyssinet, Chef de la Division de lutte contre la cybercriminalité du Pôle judiciaire de la Gendarmerie nationale, dans son livre « La cybercriminalité en mouvement », Ed.Hermes Lavoisier.
En France, « aucune arrestation n’a été faite à ce jour sur ce type de racket en ligne : c’est beaucoup moins risqué que d’autres formes de délinquance », a précisé au Monde l’adjudant de gendarmerie Nicolas Devin, chargé des enquêtes sur les technologies numériques en région Nord-Pas-de-Calais.
« Le schéma d’action est chaque fois identique. Le est adressé soit par mail, soit via un réseau social ou une plate-forme de partage. Une fois téléchargé, il s’installe sur le serveur ou le disque dur de sa proie et prend le contrôle d’un certain nombre de fonctionnalités. Suivent alors des messages menaçant de représailles si l’on ne paie pas une certaine somme », a expliqué au Point Paul-Henri Huckel du cabinet Lexsi.
« Ces logiciels de racket sont notre principale préoccupation du moment. Plus de 50 % des demandes faites à notre service de support viennent de particuliers et d’entreprises touchés par ces logiciels et qui n’ont plus accès à leurs données. Nous arrivons de temps en temps à déchiffrer quelques exemplaires de rançongiciels », nous a déclaré Boris Sharov, P-DG de léditeur russe DrWeb.
Après les particuliers, la cible des pirates semble être la PME. Ils adaptent leur prix à la taille de leur victime, soit entre 10 000 et 20 000 euros, selon une source policière.
« Une vraie catastrophe, car généralement les logiciels de sécurité n’y voient que du feu ! » se lamente un expert intervenu chez un cabinet d’avocats cet été.
Devant une telle situation catastrophique, les victimes ne doivent pas payer la rançon. Par contre, quelques mesures doivent être prises immédiatement :
– Déconnecter tous les postes de travail de l’Internet (arrêt du Wi-fi, câble Ethernet débranché).
– Tenter une désinfection en lançant Windows en mode sans échec : redémarrer le PC et avant le logo Windows, tapoter sur la touche F8 et choisir « Mode sans échec avec prise en charge du réseau » et appuyer sur la touche entrée du clavier.
– Télécharger RogueKiller : http://www.sur-la-toile.com/RogueKiller/ et lancer une analyse.
– Faire la même chose avec le LiveCD de DrWeb.
– Si ces deux opérations n’ont pas résolu l’infection (certains rançongiciels empêchant le redémarrage en mode sans échec…), il faut reformater le disque dur et réinstaller un système d’exploitation « sain ».
– Porter plainte au commissariat.
« Il est également très important d’analyser le virus, car une attaque ciblée (exfiltration de documents) peut se cacher sous une attaque de ransomware classique », prévient un expert.
Mais le plus important est de prévenir ce risque en instaurant immédiatement des pratiques élémentaires de sécurité :
- Effectuer des sauvegardes fréquentes : ainsi, en cas de chiffrement du disque dur, une restauration des données sera possible.
- Ne JAMAIS ouvrir les pièces jointes d’emails envoyés par des personnes qui ne sont pas parfaitement identifiées.
- Faire analyser par l’antivirus (mis à jour) toutes les pièces jointes y compris les documents téléchargés. Des cas dinfection ont été relatés après le téléchargement d’un banal document PDF sur un site officiel…
- Ne pas travailler avec un compte « Administrateur » mais avec un compte « Utilisateur ».
- Effectuer toutes les mises à jour des logiciels et du système d’exploitation.
- Enfin, si vous avez un poste de travail plus sensible que les autres, installer plutôt une distribution GNU/Linux comme Debian ou Opensuse, car ces systèmes d’exploitation sont peu touchés par les rançongiciels.
- À titre préventif, graver sur un CD ou enregistrer sur une clé USB une version « LiveCD » d’un antivirus comme Dr.Web LiveCD (www.freedrweb.com/livecd) ou Kaspersky Rescue Disk 10 (http://support.kaspersky.com/8093).
Pour plus de renseignements :
- Site stopransomware
- Signalement sur deux sites : https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action et http://www.pointdecontact.net/partenaires/oclctic
- Plate-forme Info-Escroqueries : 0811.02.02.17 (prix d’un appel local)