+02 41 75 60 60

Dossiers

Qu’est ce qu’un ransomware, et comment s’en protéger ?

ransomware

Parmi les sujets brûlants du moment, un seul représente une menace à faire frémir les organisations de toutes tailles, les ransomwares.

Premièrement, dans ce dossier va être définit simplement et concrètement ce qui se cache sous la désignation du ransomware ; ensuite, nous retracerons rapidement l’historique de l’évolution de ce type de menace.  Puis, nous évoquerons les responsables de ces attaques, et les victimes. Ces dernières subissent toujours un même mode opératoire, cela nous permettra de vous prodiguer quelques conseils sur l’attitude à avoir en cas d’attaque. Et encore mieux, vous découvrirez quelques moyens pour se protéger en amont d’une attaque.

Qu’est-ce qu’est un ransomware

Premièrement, il est intéressant de savoir à qui on a affaire dans ce combat. Un ransomware est un type de menace informatique au même titre qu’un virus. Son nom se traduit littéralement par « logiciel de rançon », malgré tout c’est majoritairement sous sa désignation anglophone qu’il est désigné.

Sont donc décrits comme des ransomwares tous les logiciels qui bloquent un utilisateur en lui demandant une contrepartie pour reprendre le contrôle de son matériel ou de ses données.

Histoire

Le tout premier programme informatique pouvant être considéré comme un ransomware a été codé en 1989 par Joseph Popp. L’utilisateur d’un poste infecté recevait un avertissement comme quoi la licence d’un des logiciels présents sur son PC n’était plus active. Les données du poste étaient alors chiffrées et la victime devait payer 189 dollars pour reprendre possession de son poste. Heureusement, ce précurseur des menaces actuelles utilisait un chiffrement basique et il était simple de récupérer ses données.

En 1996, des chercheurs en sécurité informatique ont été les premiers à émettre des avertissements. Ils ont pris conscience que les évolutions dans le domaine du chiffrement qui améliorait la sécurité des données chiffrées pouvaient également représenter de gros danger si ces techniques étaient utilisées à mauvais escient.

Effectivement, ces craintes étaient fondées, durant les années 2000 plusieurs virus ont utilisé des techniques de chiffrement avancées pour contraindre les utilisateurs à payer une somme d’argent via l’envoi de SMS surtaxés. Ces virus étant financièrement rentables pour les criminels, ils ont été diffusés à grande échelle, mais le paiement par SMS ayant des sommes ne dépassant pas la dizaine d’euros au maximum, cela n’a pas été la plus grosse menace ayant pesé sur les systèmes informatiques.

C’est dans les années 2010 que les monnaies telles que le bitcoin se sont massivement diffusées. Les criminels ont vu dans cette monnaie une opportunité de recycler le principe de ransomware mais en exigeant cette fois ci de plus grosses sommes d’argent. Fin 2015, les ransomwares se sont fortement diffusés et ont commencé à attirer l’attention vers eux.

Qui sont les attaquants, et les victimes

Les attaquants ne sont pas aisément identifiables, mais les observateurs ont remarqué une évolution dans les pratiques. Au début diffusé autant vers des usages personnels que des usages professionnels, des études ont démontrés que les entreprises étaient plus souvent à même de payer la rançon que les particuliers. Et ce, même si les montants demandés par les attaquants dépassent souvent la dizaine de milliers d’euros. C’est donc en toute logique que les attaquants ciblent désormais majoritairement les entreprises, et cela se ressent dans les techniques d’attaque.

Comment se déroule une infection

La technique favorite des ransomware pour pénétrer les systèmes d’informations de leurs victimes est la messagerie. Très souvent sous la forme de pièce jointe, ces attaques ne visent généralement pas une personne en particulier, souvent les mails sont des imitations grossières de factures ou de documents que nous côtoyons régulièrement dans les entreprises.

Tout est fait pour inciter le destinataire à cliquer sur la pièce jointe, et pour cause, une fois ouverte, le ransomware a infecté la machine de l’utilisateur et va pouvoir commencer à chiffrer les données accessibles. Généralement, tout commence par les données locales de l’utilisateur présentes dans « Mes Documents » et sur le bureau. Ensuite, suivant les virus,  les partages réseaux et les disques externes peuvent être ciblés.

Comment réagir au ransomware ? Que faire ?

Premier réflexe, déconnecter le poste du réseau, y compris en Wi-Fi et débrancher les supports de stockage externe. Ensuite, historiquement il était préconisé d’éteindre brutalement le poste coûte que coûte de manière à stopper le chiffrement. Désormais, il est conseillé, si possible, de mettre le poste en veille prolongée. Si vous ne parvenez pas à le mettre en veille prolongée, n’hésitez pas à le stopper brutalement, c’est mieux que de le laisser fonctionner.

Ensuite, ne surtout pas redémarrer le poste, et encore moins le reconnecter au réseau.

Contactez une personne en capacité de quantifier et d’estimer l’impact provoqué par le ransomware, et qui sera en mesure de restaurer les données touchées.

Comment anticiper et se protéger

Toujours au centre des problématiques de sécurité, l’antivirus installé sur les postes de votre organisation peut détecter le comportement anormal d’un fichier et l’interrompre au plus tôt. Les produits professionnels ont désormais bien pris en compte les menaces que représentent les ransomwares, mais nécessitent une configuration pointue pour être le plus efficace possible.

antivirus

Pour bloquer les pièces jointes dangereuses en amont de votre serveur de messagerie, des solutions se présentant comme des « pré-filtres » permettent d’analyser et de tester les pièces jointes aux mails adressés à votre organisation. Cette analyse comportementale permet de détecter les menaces qui ne sont pas encore connues.

Enfin, point souvent négligé, la sensibilisation de vos collaborateurs aux dangers que représentent les mails, vous permettrai de diminuer les risques d’infection.

Si vous êtes victime d’un ransomware, contactez-nous pour récupérer le maximum de données, et ensuite mettre en place des actions pour que vous ne soyez plus la cible d’une attaque similaire.