Le ransomware a la côte auprès des cybercriminels. S’il fait son apparition en 1989, c’est aujourd’hui qu’il est en plein boom, devenant de plus en plus sophistiqué. Le nombre d’attaques par ce biais a quintuplé entre 2014 et 2016 et une société sur deux en aurait déjà été victime. Qu’est-ce que le ransomware ? Zoom sur la cyber-menace la plus lucrative du moment.

Kaspersky Lab.
Kaspersky Lab.

Le ransomware, ou rançongiciel en français, est un logiciel malveillant qui bloque l’ordinateur ou l’accès aux données de la victime et les rend inaccessible en les chiffrant. Pour obtenir le déblocage de ses données, la victime se verra alors réclamer une rançon dont le montant peut varier.
 
Comment opère le cybercriminel ?  

  1. L’infection démarre suite à un téléchargement involontaire du ransomware à partir d’un site piraté, d’un mail piégé ou encore d’un autre malware. Le ransomware peut être de deux types :

– le ransomware classique qui bloquera l’ordinateur ou téléphone de la victime le rendant inutilisable ;
– le crypto-ransomware qui identifiera certains fichiers et les chiffrera de telle sorte qu’ils deviennent illisibles.
 

  1. La victime recevra ensuite une demande de rançon du cybercriminel qui se fera passer pour la Police nationale ou encore la SACEM et qui exigera la plupart du temps un règlement par Bitcoin. La victime n’a donc d’autres choix que de perdre ses fichiers ou de payer la rançon dans le délai imparti. La victime achètera alors des bitcoins et les transfèrera vers l’adresse bitcoin du cybercriminel.

 

  1. Une fois la transaction validée, le cybercriminel transmet à la victime les instructions de déchiffrement. Cependant, il n’y a aucune garantie que la victime puisse récupérer ses données intactes.

 

  1. Enfin, ces mêmes bitcoins seront en général à nouveau transférés vers des milliers d’adresses Bitcoin différentes. On appelle cela le « mixing service». Il s’agit d’une technique de blanchiment permettant au cybercriminel d’échapper aux services de police.

 
Pourquoi la rançon est-elle exigée en Bitcoin ?
Le Bitcoin est une monnaie virtuelle associant à la fois la cryptographie et un échange peer-to-peer décentralisé. Les bitcoins ne peuvent donc être dupliqués et sont infalsifiables.
Il s’agit en somme de la monnaie parfaite pour les cybercriminels qui souhaitent procéder à des transferts d’argent dissimulés puisque le système n’est lié à aucun compte bancaire, leur permet de garder l’anonymat et d’éviter ainsi la traçabilité de leurs délits.
 
Le ransomware, une menace réelle
Les américains sont les cibles de prédilection de ce genre d’attaque. En février dernier, l’hôpital de Los Angeles en a fait les frais : son système informatique a été bloqué durant plus d’une semaine et $17 000 de Bitcoin ont été versés à titre de rançon.
Des banques anglaises envisagent même de garder une petite réserve en bitcoins pour payer les auteurs de ransomwares en cas d’attaques. En effet, il semble moins cher pour les entreprises de payer la rançon plutôt que de payer les dommages provoqués sur les infrastructures, sans oublier la perte de réputation.
Le ransomware est aujourd’hui devenu un véritable business à l’échelle internationale, contribuant à mettre en place une nouvelle forme d’extorsion, voire de financement d’activités illégales. Les victimes ayant tendance à payer la rançon, une grande quantité d’argent est injectée dans cet écosystème clandestin et c’est pourquoi de nouvelles variantes de ransomware apparaissent quasi-quotidiennement.
 
Engagés dans la lutte contre les ransomware, Europol, Kaspersky Lab et Intel Security ont lancé en juillet 2016 un projet No More Ransom. À ce jour, treize pays y ont déjà adhéré, dont la France. Ce projet propose un outil permettant aux victimes de déchiffrer leurs fichiers au lieu de payer la rançon. Le projet rencontre un franc succès puisqu’il aurait déjà permis, en trois mois, de sauver plus d’un million d’euros.
 

A propos de Laura WODLING