Définition du ransomware ou rançongiciel
A la manière d’une prise d’otage, le ransomware (ou rançongiciel) prive l’utilisateur de ses données, sans pour autant les détruire. Le ransomware réalise cela en cryptant les données de l’utilisateur, puis en échangeant leur restitution (via la clé de décryptage) contre une somme d’argent, parfois très conséquente. Toutefois, une proportion importante de ces rançons ne sont jamais perçues par les voleurs, ce qui permet de douter de leurs réelles motivations. Néanmoins, les dégâts provoqués par un ransomware sont souvent considérables dans les entreprises qui sont touchées, notamment quand la cible est l’outil informatisé de production.
Définition
Le ransomware, que l’on peut également appeler rançongiciel, est un malware qui a pour fonction de crypter les données du terminal de l’utilisateur pour empêcher l’accès à celui-ci. L’utilisateur malveillant va demander une rançon à la victime pour obtenir une clé de décryptage, permettant de déverrouiller le terminal. Celle-ci est généralement payable en cryptomonnaie, pour effacer toute trace de transaction.
Selon une étude de Safety Detectives, le coût mondial du ransomware (rançons + perte de données + coût du temps d’arrêt d’activité) a atteint pour l’années 2019 11,5 milliards de dollars, soit plus du double que l’année 2017. La propagation de cette menace est favorisée par des concepteurs de ransomware, qui partagent leur logiciel malveillant à d’autres utilisateurs, en échange d’un pourcentage sur la rançon. Ce nouveau type de service est appelé RaaS : Ransomware as a Service.
Les bons réflexes à adopter
Afin de se prémunir contre le rançongiciel, l’ANSSI a mis à disposition des recommandations consultables sur son site.
A commencer par la prévention. En effet, une entreprise attentive à la menace ayant pris toutes les précautions en amont limitera fortement les risques et impacts d’une attaque au rançongiciel.
- Sensibiliser les collaborateurs de l’entreprise: il s’agit de l’étape la plus importante, car la plupart des rançongiciels s’infiltrent à la suite de l’ouverture d’un mail frauduleux et au téléchargement d’une pièce jointe contenant le programme malveillant.
- Sauvegarder ses données: les attaques de rançongiciels visent également les sauvegardes, c’est pourquoi il est important que les données sauvegardées (au moins pour les plus critiques) soient déconnectées du réseau.
- Effectuer des mises à jour: celles-ci doivent être effectuées dès que possible pour éviter d’utiliser des logiciels et OS possédant des failles de sécurité.
- Utiliser des antivirus : Bien que cela ne garantisse pas à 100% l’imperméabilité du système d’informations aux rançongiciels, ils peuvent dans bien des cas empêcher le cryptage des données.
Si toutefois l’entreprise vit une telle attaque, il existe également de bons réflexes à adopter :
- Déconnecter et isoler les équipements du réseau : en particulier les sauvegardes, afin que l’utilisateur malveillant ne puisse lancer de vague de chiffrement supplémentaire. Durant l’attaque, il est conseillé de laisser éteintes les machines non démarrées et de mettre en veille prolongée les équipements infectés. Cela afin de stopper l’activité du programme malveillant tout en préservant la mémoire de l’appareil, afin de l’analyser ultérieurement.
- Ne pas payer la rançon: cela ne fait que nourrir et entretenir un système frauduleux. De plus, la clé de chiffrement donnée par l’assaillant ne garantit pas le recouvrement de toutes les données. Ajoutons qu’en moyenne, selon une étude de Sophos, le coût de la rançon dépasse ceux de l’arrêt de l’activité et le recouvrement des données par un prestataire.
- Porter plainte: cela conditionne parfois le remboursement du sinistre par l’assurance et pourra peut-être permettre de présenter les attaquants à la justice.
Les solutions de virtualisation des postes de travail (VDI) sont également une parade qui permet aux entreprises d’échapper à ce risque. Avec le VDI en effet, c’est le réseau qui se protège du poste de travail et non le poste de travail qui se protège du réseau. La logique ainsi inversée permet de d’abstraite des risques du ransomware puisque si celui-ci venait à crypter les données du poste de travail, les conséquence seraient nulles, les données, les OS et les programmes résidant sur un serveur distant, bénéficiant lui-même de toutes les protections nécessaires.