Ransomware : Qu’est-ce que c’est et comment fonctionne-t-il ?

Cet article a été mis à jour le 1 avril 2023

Les ransomwares sont l’un des types de malware (logiciels malveillants) les plus nuisibles, provoquant chaque année des catastrophes se chiffrant en milliards de dollars. Pour les entreprises comme pour les particuliers, une infection par un ransomware peut signifier la perte de fichiers irremplaçables et des semaines de récupération des ordinateurs.

Dans cet article, nous examinerons la définition d’un ransomware, son fonctionnement et la manière de l’éliminer de votre ordinateur.

Définition d’un ransomware

Tout comme les adwares (logiciels publicitaires) et les logiciels espions, les malwares sont des logiciels malveillants. Contrairement à d’autres types de logiciels malveillants, les ransomwares ont une définition très précise : il s’agit de logiciels malveillants qui cryptent les fichiers de la victime et exigent une rançon pour les décrypter. En général, l’auteur du ransomware demande une rançon en bitcoins ou dans une autre crypto-monnaie difficile à tracer.

Si la plupart des ransomwares ne chiffrent que les fichiers de l’utilisateur, d’autres menacent de les publier également. C’est pourquoi les ransomwares peuvent être extrêmement préjudiciables à une organisation, tant sur le plan financier que sur celui de la réputation.

Des variantes de ransomwares sont constamment développées. La vague d’attaques de ransomwares a connu un pic lors de la pandémie de COVID-19, qui a révélé des vulnérabilités dans les systèmes à distance, car de nombreux travailleurs se sont mis à travailler à domicile.

Comment fonctionne un ransomware ?

En résumé, les ransomwares utilisent le cryptage, une technologie permettant de brouiller les données, pour empêcher les victimes d’accéder à leurs données, à moins qu’elles ne paient. Une fois qu’une victime l’a installé à son insu, le ransomware suit quelques étapes générales :

  1. En arrière-plan, le ransomware crypte (ou brouille) les fichiers de l’utilisateur un par un, en supprimant les originaux.
  2. Le ransomware affiche le message de la rançon, soit en modifiant l’arrière-plan du bureau, soit en ouvrant une application personnalisée en plein écran.
  3. Dans la demande de rançon, l’utilisateur se voit poser un ultimatum : soit il paie et voit ses fichiers restaurés, soit le pirate jette la clé de chiffrement et les fichiers sont perdus à jamais.
  4. Sur la même page que la demande de rançon, le programme affiche une adresse Bitcoin (ou autre crypto-monnaie). Lorsque l’utilisateur achète le bon nombre de bitcoins et les envoie à l’adresse indiquée, il reçoit un fichier ou un mot de passe.
  5. L’utilisateur saisit la clé de déverrouillage dans une partie du programme du ransomware. En théorie, le déverrouilleur décrypte les fichiers de l’utilisateur et s’efface ensuite. Mais ce n’est pas toujours le cas : il arrive que le criminel prenne l’argent de la victime et ne fasse rien.

Le cryptage est la même technologie que celle utilisée pour sécuriser les services bancaires en ligne. Il sécurise également la navigation sur le web, les messages instantanés et les emails (entre les principaux fournisseurs). Cependant, les pirates informatiques peuvent également utiliser le cryptage pour empêcher leurs victimes d’accéder à leurs propres données.

ransomware définition

Comment les malwares se propagent-ils ?

Il existe plusieurs façons d’infecter les utilisateurs avec un ransomware. J’ai répondu ci-dessous à certaines des questions les plus brûlantes sur la propagation de ce logiciel malveillant :

  • Les malwares peuvent-ils se propager par l’intermédiaire de documents infectés ? Oui. La plupart des types de malwares arrivent par le biais de téléchargements infectés ou de pièces jointes à des emails. Les logiciels malveillants basés sur des documents, dans lesquels des fichiers Microsoft Office malveillants abritent des logiciels malveillants cachés, sont de plus en plus répandus. Il suffit d’un clic pour « exécuter des macros » (et parfois de zéro clic, si le pirate utilise un bogue de sécurité) pour que vos données soient rançonnées.
  • Les ransomwares peuvent-ils se propager par Wi-Fi ? Oui. Certains malwares se propagent comme un ver une fois qu’ils ont pénétré dans un réseau. En d’autres termes, il utilise les failles de sécurité des logiciels du réseau pour se propager d’un ordinateur à l’autre. Les pirates ciblent souvent les failles dans les protocoles de partage de fichiers et de bureau à distance.
  • Les malwares peuvent-ils se propager par le biais d’une clé USB ? Oui. Si vous empruntez une clé USB infectée à un ami et que vous l’utilisez sur votre ordinateur, elle sera infectée par le ransomware.

Malheureusement, le ransomware est extrêmement rapide une fois qu’il s’est introduit dans votre système. Il ne lui faut que quelques secondes pour crypter tous vos fichiers. C’est pourquoi vous devez vous efforcer de l’éviter dès le départ.

Quels sont les types de ransomware ?

Les ransomwares sont l’un des types de logiciels malveillants les plus populaires et les plus efficaces de nos jours. Ils permettent aux cybercriminels de bloquer l’accès à vos données et à vos appareils, de voler des informations sensibles et de gagner une fortune en vous obligeant à payer une rançon.

C’est pourquoi les ransomwares sont en constante évolution et se déclinent même en quatre types différents : locker, crypto, double extorsion et ransomware RaaS. Mais les deux principaux sont le locker et le crypto-ransomware.

Locker Ransomware

Ce type de ransomware bloque complètement l’accès à votre appareil. Il utilise des informations d’identification volées et des techniques de social engineering pour s’introduire dans le système. Après s’être introduits dans le système, les cybercriminels vous demandent de payer la rançon. Cependant, les dommages ne sont pas résolus car les intrus possèdent déjà vos données.

Crypto-ransomware

En utilisant ce type de ransomware, le pirate cherche à décrypter vos informations sensibles sans compromettre les fonctionnalités de votre ordinateur. Une fois que le pirate est entré, vous ne pouvez que voir vos fichiers, mais pas y accéder. À ce stade, vous recevez également un message vous informant de la rançon et de la perte possible de vos fichiers si vous ne payez pas la somme d’argent demandée.

Comme nous pouvons déjà le constater, les ransomwares sont un moyen rapide et facile de voler des fichiers et de gagner de l’argent pour les malfaiteurs. L’une des meilleures façons de rester protégé est d’utiliser la meilleure protection contre les ransomwares parmi les logiciels que nous avons répertoriés.

Comment prévenir les ransomwares ?

La plupart des ransomwares nécessitent une erreur de la part de l’utilisateur pour se déclencher. Parfois, les ransomwares utilisent des failles de sécurité dans les logiciels ou les protocoles d’accès à distance pour se propager.

D’une manière générale, la prévention des attaques par ransomware est similaire à celle des autres types d’attaques. Voici quelques recommandations plus spécifiques :

  • Évitez d’ouvrir des fichiers téléchargés à partir de sites non fiables.
  • Soyez prudent avec les emails, n’ouvrez pas les pièces jointes ou les liens provenant d’expéditeurs non fiables ou inconnus.
  • Maintenez votre système d’exploitation et vos logiciels à jour. Veillez à ce que votre navigateur web, votre antivirus et les autres logiciels essentiels à la sécurité soient fréquemment mis à jour. Cela peut vous aider à éviter les ransomwares qui exploitent les failles de sécurité.
  • Utilisez le mode d’analyse en arrière-plan de votre logiciel antivirus pour vous assurer que chaque téléchargement est analysé à la recherche de logiciels malveillants. Étant donné qu’il est impossible de supprimer efficacement un ransomware une fois qu’il est installé sans effacer votre ordinateur, les analyses occasionnelles ne fonctionneront pas.

D’autres mesures de sécurité générales peuvent tenir les ransomwares à distance, mais l’utilisateur est l’élément le plus important du système de sécurité. En faisant preuve de prudence et de scepticisme à l’égard des sites web, des emails et des autres informations présentes sur votre ordinateur, vous pouvez éviter les ransomwares.

Comment supprimer un ransomware ?

Étant donné que vos fichiers sont complètement cryptés, il est impossible de supprimer un ransomware sans effacer et réinstaller complètement votre ordinateur. Vous ne pourrez pas récupérer vos fichiers sans disposer d’une sauvegarde datant d’avant l’installation du ransomware.

Voici comment effacer et restaurer votre ordinateur :

  1. Sur un ordinateur propre, créez un disque de récupération amorçable spécifique à votre système d’exploitation. Vous n’aurez pas besoin d’utiliser un deuxième ordinateur si vous utilisez un Mac.
    1. Sous Windows, utilisez l’outil de téléchargement USB/DVD de Microsoft. Il s’agit d’un téléchargement gratuit et facile directement à partir de Microsoft.
    2. Sous macOS, démarrez à partir du disque de récupération en maintenant les touches Commande et R enfoncées après le redémarrage. Le lecteur de récupération est intégré à votre système d’exploitation.
  2. Redémarrez votre ordinateur à partir du lecteur de récupération externe ou interne. Suivez les instructions à l’écran pour effacer votre disque dur et réinstaller le système d’exploitation.
  3. Redémarrez votre ordinateur lorsque vous y êtes invité et retirez le lecteur de récupération. Sur un Mac, ne maintenez aucune touche enfoncée.
  4. Configurez votre ordinateur comme s’il était neuf. Une fois la configuration terminée, transférez vos fichiers de la sauvegarde sur votre ordinateur.
  5. Évitez de faire la même chose que ce qui a provoqué l’installation du ransomware. Si vous ne suiviez pas de bonnes pratiques de sécurité auparavant, prenez le temps de réévaluer vos choix et soyez plus prudent la prochaine fois.

Si vous ne disposez pas d’une sauvegarde de vos fichiers, vous risquez de ne pas avoir de chance. Dans la dernière partie de cet article, nous évoquons brièvement les raisons pour lesquelles vous ne devriez pas payer la rançon. Rien ne garantit que le criminel ne se contentera pas de prendre votre argent sans restaurer l’accès à vos fichiers. D’un autre côté, si vous ne voyez pas d’inconvénient à perdre vos fichiers, effacez complètement votre ordinateur et ne restaurez aucune sauvegarde.

attaque c'est quoi

Exemples de malwares

Ces dernières années, les attaques de ransomware ont fait l’objet d’une attention constante. De la célèbre attaque WannaCry qui a touché des centaines de grandes organisations aux variantes Petya et NotPetya, Bad Rabbit, les ransomwares sont un sujet d’actualité depuis quelques années.

Vous pouvez consulter un résumé des variantes de ransomware les plus importantes ici :

  • WannaCry a été l’attaque de ransomware la plus connue. En exploitant la faille de sécurité EternalBlue dans Microsoft Windows, il s’est répandu à travers le monde à une vitesse sans précédent. Selon certaines estimations, les pertes liées à cette attaque pourraient atteindre quatre milliards de dollars.
  • SamSam a attaqué des infrastructures critiques en utilisant des identifiants Microsoft Remote Desktop volés. Contrairement à de nombreux autres types de ransomware, les victimes de SamSam n’ont pas nécessairement commis d’erreur de leur propre chef.
  • Locky est arrivé sur les ordinateurs des victimes par le biais d’une fausse facture Microsoft Word contenant des logiciels malveillants. Le document semblait être invalide et incitait l’utilisateur à activer des macros pour « réencoder » le document. Une fois les macros Word activées, l’ordinateur de la victime était verrouillé par le ransomware.
  • Petya et NotPetya sont des variantes d’un ransomware similaire qui écrase les secteurs d’amorçage critiques des ordinateurs de ses victimes. Par rapport à d’autres types de ransomware, Petya utilise une technique de bas niveau, plus complète, qui rend les systèmes des victimes complètement inopérants.
  • Ryuk a attaqué des systèmes d’entreprise fin 2018, plus récemment que beaucoup de ces autres exemples de ransomware. Il utilise des logiciels malveillants sans fichier (y compris des scripts PowerShell) pour se propager sur les réseaux d’entreprise, en chiffrant rapidement autant d’ordinateurs qu’il le peut.

Dois-je payer si je suis victime d’un ransomware ?

Dans la mesure du possible, ne payez pas la rançon. En payant la rançon, vous encouragez les auteurs du ransomware à continuer d’attaquer d’autres personnes et organisations. Cependant, il arrive que vous ne puissiez pas éviter de payer la rançon parce que vous n’avez pas de sauvegardes et que la valeur de vos données dépasse le coût de la rançon.

N’oubliez pas que les auteurs de ransomwares ne sont pas incités à déverrouiller vos fichiers si vous payez la rançon. Même si, la plupart du temps, ils débloquent les fichiers des victimes, il n’y a aucune garantie. Lorsqu’un hôpital du Kansas a été victime d’une attaque de ransomware, ses données ne lui ont pas été restituées, même après avoir payé la rançon.

Une autre raison de ne pas céder est la possibilité que d’autres logiciels malveillants aient été installés en même temps. Les logiciels malveillants se présentent souvent en groupes : même si vous payez pour supprimer le ransomware, votre ordinateur peut encore être infecté par d’autres logiciels malveillants plus subtils.

Si vous vous êtes bien préparé et que vous disposez de sauvegardes, effacez tous les ordinateurs infectés et restaurez-les à partir de vos sauvegardes. Vous conserverez ainsi vos données et n’encouragerez pas la cybercriminalité à l’avenir.

FAQ ransomware

Un ransomware peut-il infecter le disque dur externe ?

Oui. Parfois, les logiciels rançonneurs peuvent même crypter les dispositifs de stockage externes. Pour éviter cela, ne laissez pas votre disque dur externe connecté en permanence à votre ordinateur.

Quelle est la fréquence des attaques de logiciels rançonneurs ?

Malheureusement, elles sont assez fréquentes. On estime que quelques milliers d’attaques de ransomware se produisent chaque jour.

Faut-il payer un rançongiciel ?

Dans la mesure du possible, non. Le paiement de la rançon ne fait qu’encourager les pirates à infecter davantage d’appareils. De plus, il n’y a aucune garantie que vos données seront décryptées.

Les malwares peuvent-ils voler des données ?

Oui. Certains types de ransomware peuvent voler toutes vos données personnelles avant de crypter vos fichiers.

Envie d'en lire plus :

  • Qu’est-ce qu’une attaque DDoS ?
  • Qu’est-ce qu’un malware ?
  • Qu’est-ce qu’un adware et comment le supprimer ?
  • Qu’est-ce qu’un spyware et comment le supprimer ?
    • Damien

    Damien

    Journaliste, chercheur et rédacteur web. Efficace et compétent sur de multiples plateformes et dans divers médias. La technologie informatique et la sécurité sont mes spécialités.

    Informations

    Geek Newz participe au Programme Partenaires d’Amazon EU, un programme d’affiliation conçu pour permettre à des sites de percevoir une rémunération grâce à la création de liens vers Amazon

    Geek Newz

    39 chemin de Terron
    06200 NICE
    Contact@geeknewz.fr
    Mobile : 07 49 91 29 18

    Geek Newz
    Logo
    Lorsqu’activé, enregistrer les permaliens dans paramètres - permaliens