Le ransomware : comprendre les mécanismes de la prise en otage 2.0

Kévin Picciau
Dernière mise à jour :

Parmi la grande variété de cyberattaques qui ciblent les entreprises, le ransomware fait figure d’ennemi numéro un : il s’agit de l’attaque la plus fréquemment signalée par les entreprises, toutes tailles confondues. Assurer une défense efficace face à ce risque bien présent, c’est d’abord avoir une bonne connaissance de ce programme malveillant pas tout à fait comme les autres.

ransomware

Qu’est-ce qu’une attaque de type ransomware ?

La cyberattaque la plus répandue en entreprise

C’est l’histoire d’une mésaventure, bien connue des petites comme des grandes entreprises, qui commence souvent de la même manière : dans le flot des messages qu’il est amené à traiter dans la journée, un employé a téléchargé et exécuté par mégarde une pièce jointe infectée. Le mal est fait.

En l’espace de quelques secondes, c’est tout le système informatique qui est bloqué. Sur l’écran de chaque ordinateur apparaît un message, toujours le même – impossible de le faire disparaître : pour débloquer la situation, il va falloir payer. Les hackers demandent une rançon. Le travail ne peut pas se poursuivre : c’est toute l’entreprise qui est prise en otage.

Bon à savoir
La cyberattaque que l’on désigne sous le terme de « ransomware » en anglais est connue sous le nom de « rançongiciel » dans la terminologie française.

Deux grandes catégories de ransomwares

À ce jour, on distingue trois grands types de ransomwares, en prenant pour point de référence le cœur de l’attaque. Un rançongiciel peut ainsi :

  1. Bloquer l’accès au système informatique ou à l’interface d’un ordinateur en particulier. On parle alors de « ransomware de verrouillage » ou « computer locker ». L’utilisateur ne peut plus utiliser le système et voit s’afficher à l’écran un message de l’attaquant. Ce dernier peut clairement afficher son intention ou se présenter sous le nom d’une autorité légale, en faisant passer la rançon pour une amende.
  2. Bloquer et chiffrer les données. C’est le cas de figure auquel sont le plus couramment confrontées les entreprises, celui du « crypto ransomware ». Concrètement, l’utilisateur voit toujours apparaître ses fichiers mais ils sont illisibles. Les fonctions de base du système, elles, ne sont pas touchées. Lorsqu’ils ont recours à ce ransomware bien connu, les cybercriminels jouent la carte du compte à rebours : ils exploitent la peur de l’entreprise d’un trop long blocage ou d’un risque de fuite des données pour tenter d’obtenir le paiement rapide de la rançon.
  3. Les cas de cyberattaque par rançongiciel peuvent également prendre la forme très spécifique d’un scareware, c’est-à-dire d’un faux logiciel de sécurité. L’utilisateur est alerté d’un problème de sécurité par le biais d’un pop-up. Il est invité à télécharger sans délai un antivirus qui, en réalité, est un malware qui permettra de recueillir les données de l’entreprise.

Nouveauté 2021 : le ransomware-as-a-Service (RaaS)

L’année 2021 a aussi vu l’essor du ransomware RaaS ou Ransomware-as-a-Service : les pirates délèguent le développement de leur code et de leur logiciel auprès d’un intervenant tiers, repéré principalement sur le darkweb. Cette externalisation des tâches se traduit par un gain de temps pour les criminels utilisateurs de rançongiciels : ils peuvent se concentrer sur les attaques et le risque pour les entreprises s’aggrave.

Chiffre clé
En 2020, en France, le nombre d’attaques par rançongiciel a augmenté de 255 %, selon les chiffres publiés par l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) en novembre 2021.

Le rançongiciel, un mal(ware) parmi d’autres

Les ransomwares ou rançongiciels font partie de la grande famille des malwares. Ils rejoignent la longue liste des logiciels et codes malveillants que sont :

  • les worms (ou « vers »),
  • les spywares (des logiciels espions),
  • ou encore le Cheval de Troie, parmi de nombreuses autres formes d’ingénierie sociale développées par les criminels de l’espace numérique.

Ils poursuivent tous le même objectif : forcer l’accès d’un système informatique afin d’en tirer profit.

Un peu d’Histoire
Le tout premier ransomware de l’Histoire a été repéré en 1989. Il a été répertorié sous le nom de « cheval de Troie DU SIDA ». À l’époque, l’appât du gain n’est pas la motivation première : les cybercriminels sont davantage intéressés par la perspective de prouesse technique !

Comment fonctionne un ransomware ?

Pour résumer, la plupart des attaques de rançongiciel suivent les même schéma général du déroulement d'une attaque :

  1. Les cybercriminels s’introduisent dans le serveur d’une entreprise, le plus souvent par la simple technique du phishing ou hameçonnage : le mal, c’est souvent un mail !
  2. Ils prennent dès lors le contrôle d’autres serveurs et de comptes privilégiés.
  3. Après avoir récupéré les droits administrateur, les attaquants identifient les données sensibles afin de les chiffrer. Dans la très grande majorité des cas, les hackers font peser une seconde menace sur leurs victimes : celle d’exfiltrer et de faire fuiter les données en question.
  4. Une rançon est demandée à l’entreprise, généralement en bitcoins, en échange d’une clé de déchiffrage ou d’un mot de passe qui, si l’on se fie aux promesses des hackers, devraient permettre à la structure de récupérer ses données et de reprendre ses activités.
ransomware phishing

Les bon réflexes pour face à une attaque par rançongiciel

Les cyberattaquants fondent leurs espoirs d’extorsion sur deux leviers de pression : la sensibilité des données qui pourraient fuiter et le temps. En effet, plus la période de blocage du système informatique s’étend, plus les risques de pertes financières sont importants pour l’entreprise. Il serait donc tentant de payer la rançon sans délai. Ce n’est pourtant pas la bonne solution lorsque l’on est confronté à un ransomware. Alors que faire en cas de rançongiciel ?

Par où commencer ? Les étapes à suivre en cas d’attaque

Avant de restaurer son système informatique, l’entreprise visée doit veiller à respecter toutes les étapes de la procédure habituelle en cas de cyberattaque, à savoir :

  1. Isoler le système en débranchant tous les appareils du réseau internet et du réseau local. Les ordinateurs touchés ne doivent pas être éteints. Les e-mails et journaux de connexion ne doivent pas être supprimés : ils constituent des preuves de l’attaque.
  2. Contacter son référent de gestion de crise, à savoir son assureur si l’entreprise a souscrit une assurance cyber.
  3. Communiquer sur l’attaque auprès de tous les collaborateurs afin de relever le niveau de vigilance, mais aussi auprès des clients, fournisseurs et partenaires : les rassurer est essentiel afin d’éviter une perte de confiance dans les services proposés. Un ransomware peut entraîner bien plus qu’une perte financière à court terme : il peut entamer la notoriété de l’entreprise.
  4. Porter plainte : signaler l’attaque par ransomware à la police. Et faire une déclaration à la CNIL si des données personnelles sont affectées, ce qui est presque toujours le cas.
Un palmarès qui alerte
Sur l’année 2021, à l’échelle du globe, la France a été le 3e pays le plus touché par des attaques de rançongiciels, juste derrière les États-Unis et le Royaume-Uni.

L’injonction à ne pas payer : une recommandation ferme

En cas d’attaque par ransomware, l’ANSSI et le gouvernement français déconseillent catégoriquement d’accéder à la requête des hackers, malgré la pression existante.

Il existe en effet plusieurs bonnes raisons de ne pas payer la rançon :

  1. Rien ne garantit la récupération des données ou l’absence de fuite de données suite au paiement.
  2. Sur la base de ce succès, les attaquants seront encouragés à réitérer leurs opérations criminelles.
  3. L’argent de la rançon pourra aider les cybercriminels à financer des travaux de recherche afin de détecter de nouvelles failles : le risque de voir la cybercriminalité se perfectionner et s’intensifier augmente.

Bientôt un principe inscrit dans le droit ?

En octobre 2021, la député Valéria Faure-Muntian, présidente du groupe d’études Assurances de l’Assemblée Nationale, a proposé de casser le cercle vicieux du ransomware en inscrivant dans la loi l’interdiction pour les assureurs « de garantir, couvrir ou d’indemniser la rançon » dans les cas d’attaque par ransomware.

En mars 2022, un projet de loi propose d'encadrer le paiement des rançons en obligeant les entreprises qui les payent d'aller porter plainte. Outre le fait de faciliter les enquêtes, inciter les entreprises à déclarer une cyberattaque permettra notamment aux assureurs et institutions publiques de mieux chiffrer le nombre d'attaques.

législation ransomware

Renforcer sa cybersécurité face à la recrudescence des ransomwares

La bonne question à se poser, face au fléau du ransomware, n’est pas tant comment s’en débarrasser, mais bien plutôt comment s’en prémunir. Voici quelques conseils pour renforcer la cybersécurité en entreprise pour éviter une attaque par ransomware et minimiser les dégâts en cas d’attaque.

Trois axes de défense anti ransomware

Grandes et petites entreprises doivent prendre soin :

  1. de déployer des campagnes de sensibilisation au phishing auprès de leurs employés afin de renforcer leur capacité à repérer des attaques potentielles ;
  2. de sécuriser leur infrastructure externe en vérifiant avec le responsable informatique que les accès sont bien paramétrés, que les processus d’authentification sont robustes et que les services exposé au publique sont bien paramétrés pour bloquer les tentatives d’intrusion.
Mettez en place des campagnes de sensibilisation au phishing
L'assurance cyber Stoïk vous permet d'adopter des bonnes pratiques pour éviter une attaque.
Contacter un expert

La sauvegarde de données : le bon réflexe pour remettre en état son système rapidement

Pour éviter d’être à la merci des hackers, la bonne pratique consiste à effectuer des sauvegardes régulières des données, surtout une sauvegarde hors ligne, déconnectée du reste de l’infrastructure. En cas d’infection du système informatique par un rançongiciel, il suffira à l’entreprise qui a pris cette habitude préventive :

  • de remettre en place son système informatique,
  • puis d’utiliser le dernier back up afin de retrouver toutes ses données à jour.

La tentative de blocage de l’activité par les hackers reste dès lors infructueuse.

Des ransomwares qui ont fait et font trembler les entreprises

Parmi les cyberattaques ayant fait beaucoup de bruit au cours des dernières années, on peut citer l’exemple retentissant du rançongiciel Wannacry . En 2017, ce ransomware auto-répliquant a connu une propagation très rapide : en moins d’une semaine, il a affecté plus de 300 000 ordinateurs fonctionnant sous Windows, dans 150 pays différents !

Lancé en 2019, le ransomware Clop a, de son côté, causé 500 millions de dollars de préjudices à travers le monde. Il a notamment bloqué le CHU de Rouen et un éditeur de logiciels allemand, Software AG.

Le ransomware Conti, lui, est apparu pour la première fois en mai 2020. Il a connu différentes améliorations qui impliquent une vigilance accrue de la part des entreprises, notamment en Europe occidentale.

En savoir plus sur d'autres cyberattaques :

Foire aux questions

Qu’est-ce que le cas de l’attaque par rançongiciel Inetum ?

Inetum est une société de services numérique française, visée par une attaque par ransomware en décembre 2021, ayant entraîné la perturbation de certaine de ses opérations en France.

Pourquoi y a-t-il de plus en plus d'attaques ?

Covid-19, télétravail, et digitalisation des entreprises ont ouvert de nombreuses portes aux cybercriminels. Aussi, les ransomware ont connu une augmentation de +255% en 2020 par rapport à 2019 avec une concentration particulière de ces attaques pendant le premier confinement.

Quel est le lien entre ransomware et botnet ?

Les botnets ont pour particularité de prendre le contrôle de multiples machines pour réaliser des attaques massives. Principalement mobilisés pour mener des cyberattaques de type DDoS (distributed denial of service). Il n’y a pas d’intérêt particulier à combiner DDoS et ransomware, il s’agit d’un autre type de cyberattaque.

Sources :