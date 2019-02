Entreprises – Particuliers

Personne n’est plus à l’abri de ces braqueurs du web.

Cybersécurité

Le ransomware, n°1 des attaques en France

La France fait partie des 5 pays européens au plus fort volume de trafic Internet malveillant, particulièrement les ransomware dont le nombre s’est multiplié par 3 l’année dernière.

Les hold-up 2.0 par des « rançongiciels », logiciels de rançon, se multiplient : en France, une entreprise sur deux aurait déjà été piratée de cette façon.

Enquête du magazine « Envoyé spécial » sur un fléau invisible en pleine explosion.

Vous êtes tranquillement installé derrière votre ordinateur, vous ouvrez un mail anodin… et soudain, un message d’alerte apparaît : votre ordinateur est bloqué, tous vos documents sont cryptés, vous devez payer une rançon pour en retrouver l’usage. Vous venez de vous faire braquer par un « rançongiciel », ces programmes informatiques qui diffusent des virus et qui vous réclament de l’argent : 150 euros pour un particulier, 6 000 euros pour une PME, des millions d’euros pour une multinationale. Et vous n’avez que quelques heures pour payer, sinon vous perdez tout !

Une enquête de Clément Le Goff et Guillaume Beaufils, diffusée dans « Envoyé spécial » le 14 décembre 2017.

Ransomware : n°1 de la cybercriminalité

Avec la fréquence accrue de la cybercriminalité, personne n’est plus à l’abri des attaques informatiques, surtout lorsqu’il est question d’utiliser et naviguer sur internet.

Mode opératoire

Un rançongiciel se propage typiquement de la même manière qu’un cheval de Troie (Trojan Horse en anglais) : il pénètre le système par exemple via des Web Exploit ou à travers des campagnes d’emails-malicieux. Il exécute ensuite une charge active (payload), par exemple un exécutable qui va chiffrer les fichiers de l’utilisateur sur son disque dur. Des rançongiciels plus sophistiqués utilisent des algorithmes de cryptographie hybride sur les données de la victime, avec une clef symétrique aléatoire et une clef publique fixée. Ainsi, l’auteur du logiciel malveillant est le seul qui connaisse la clef privée qui permette de déchiffrer les documents.

Certains rançongiciels n’utilisent pas de chiffrement. Dans ce cas, la payload est une simple application qui va restreindre toute interaction avec le système, couramment en changeant le shell par défaut (explorer.exe) dans la base de registre Windows, ou même changer le Master Boot Record (MBR), pour empêcher le système d’exploitation de démarrer tant qu’il n’a pas été réparé.

La payload des rançongiciels, plus particulièrement parmi ceux qui n’utilisent pas de technique de chiffrement de fichiers, utilise des tactiques des scarewares pour forcer l’utilisateur à payer pour le rétablissement de ses données. La charge active peut, par exemple, afficher une alerte à l’utilisateur, faussement issue d’une agence gouvernementale qui avertit l’utilisateur que son système a été pris à partie par un pirate informatique, qui aurait effectué des actions illégales ou bien aurait stocké des contenus illégaux comme des contenus pornographiques ou des logiciels piratés. Certains rançongiciels imitent l’apparence de Windows Product Activation, en indiquant que la version de leur logiciel est illégale ou requiert une ré-activation.

Dans tous les cas, un rançongiciel va tenter d’extorquer de l’argent à l’utilisateur, en lui faisant acheter soit un programme pour déchiffrer ses fichiers, soit un simple code qui retire tous les verrous appliqués à ses documents bloqués. Les paiements sont le plus souvent effectués sous la forme de virement bancaire, de SMS surtaxés, d’achats de monnaie virtuelle comme le bitcoin ou encore l’acquittement préalable d’une somme donnée effectuée par le biais de sites de paiement en ligne tels que Paysafecard ou Paypal.

Après avoir connu une hausse continue, la moyenne des rançons exigées se stabilise, en 2017, aux alentours des 550 dollars (pour les particuliers).

Moyens de lutte

Le système de chiffrement d’un crypto-verrouilleur vise certaines extensions de fichiers en particulier, notamment celles des fichiers Microsoft Office, Open Document, AutoCAD, mais aussi les images. Il s’attaque aux disques durs, aux disques partagés sur les réseaux, aux clés USB, et parfois aux fichiers synchronisés dans le cloud.

Les moyens de lutte préconisés contre un crypto-verrouilleur sont les suivants :

– Déconnecter les appareils infectés des réseaux partagés, avec ou sans fil.

– Changer ses mots de passe après avoir nettoyé le réseau.

– Faire des sauvegardes régulières de ses données, et les stocker hors ligne.

– Consulter un expert en sécurité informatique pour connaître la marche à suivre.

Les sociétés FireEye et Fox-IT, spécialisées dans la sécurité informatique, ont mis en ligne un service qui permet gratuitement aux victimes d’un crypto-verrouilleur de déchiffrer leurs fichiers . Ce service a cessé de fonctionner à la suite du détournement qui en a été fait . En effet, de nombreux pirates imitaient cet outil à des fins frauduleuses.

Les victimes de ce rançongiciel peuvent essayer de récupérer leurs fichiers avec d’autres solutions comme les sauvegardes instantanées de Windows si ces dernières ne sont pas effacées par le crypto-verrouilleur.

Face au développement des rançongiciels, les agences de police et les sociétés spécialisées en sécurité informatique se sont associées afin de combattre les entreprises cybercriminelles ayant des connections avec les rançongiciels. Ainsi la plateforme No More Ransom est une initiative de la police néerlandaise, d’Europol des entreprises de cybersécurité Kaspersky Lab et McAfee, dont le but est d’aider les victimes des rançongiciels à retrouver leurs données chiffrées sans avoir à payer les criminels.

CHANTAGE PAR MAIL – BITCOIN

Depuis plusieurs semaines, une campagne de diffusion massive de mails indiquant la récupération de vidéos suite au piratage de l’ordinateur des victimes et exigeant un paiement en bitcoin pour ne pas diffuser les vidéos récupérées a été constatée.

Cette campagne est en réalité une « escroquerie déguisée en chantage web cam ». – IL CONVIENT DE NE PAS PAYER LA SOMME DEMANDÉE –

Les comportements à adopter pour se protéger de ce type d’attaques :

– Ne jamais payer le montant demandé.

– Changer régulièrement les mots de passe, et opter pour des versions de plus de dix caractères, uniques à chaque site web.

– Privilégier un mot de passe mélangeant lettres, chiffres et caractères spéciaux.

– Désactiver la webcam ou la couvrir, pour s’assurer de ne pas être filmé à son insu.

Copie d’écran de Norse – IPViking Live (Cyberattaques – Données 2015)

