Cyberattaque : zoom sur le ransomware
Tout savoir sur la cyberattaque par ransomware
Les cyberattaques se multiplient depuis quelques années. Parmi les plus dangereuses figure le ransomware. Elle représente même l’attaque la plus fréquente pour les entreprises. Qu’est-ce que la cyberattaque par ransomware ? Comment réagir face à elle ? Et surtout, comment s’en prémunir ?
Attaque de type ransomware : comment ça marche ?
Le ransomware, appelé rançongiciel en français, est un logiciel malveillant. Il bloque l’accès à certains fichiers — ou carrément à l’ordinateur — en les chiffrant. Pour les déverrouiller, la personne dont l’ordinateur est infecté doit payer une rançon. Cette cyberattaque touche n’importe quelle entreprise, administration et particuliers.
Cyberattaque par ransomware : un peu d’histoire
L’attaque par rançongiciel fait partie de la famille des malwares, au même titre que les worms, les spywares ou encore le Cheval de Troie. L’origine du ransomware trouve sa source en 1989. Nommé « AIDS Trojan », le premier ransomware a été distribué par courrier postal sur des milliers de disquettes. Une fois celle-ci insérée dans l’ordinateur, le rançongiciel exigeait la somme de 189 $ US à envoyer par courrier au Panama. À l’époque, le ransomware chiffrait l’ensemble des fichiers après 90 redémarrages.
C’est en 2004 que le premier ransomware moderne a vu le jour. Appelé « GpCOde », celui-ci utilisait un chiffrement RSA sur les fichiers. En 2007, « WinLock » fut le premier rançongiciel à verrouiller l’ensemble de l’ordinateur. Puis, les ransomware entrèrent dans une nouvelle ère en 2012, avec l’apparition de « Reveton », un malware usurpateur d’identité. Dans ce cas, le ransomware imitait le site du FBI ou d’Interpol et demandait aux victimes de payer une amende pour avoir commis un crime informatique.
De nos jours, les ransomwares de chiffrement des données sont toujours couramment utilisés. Les pirates n’hésitent plus à infecter les systèmes informatiques de grandes entreprises dans des domaines aussi diversifiés que les médias, la santé ou les transports.
Comment fonctionne une attaque ransomware
Une attaque ransomware survient en plusieurs étapes. Tout d’abord, le système informatique est infecté après l’ouverture d’une pièce jointe issue d’un mail frauduleux. Parfois, le malware infecte l’ordinateur à partir d’un site internet compromis.
Puis, le logiciel malveillant prend le contrôle du système informatique. Les fichiers sont progressivement cryptés, l’utilisateur ne peut plus y accéder. Une notification surgit sur l’écran afin de l’informer de la présence d’un ransomware. Le montant de la rançon (généralement payable en bitcoins) et le processus de paiement sont détaillés.
En cas de paiement de la rançon, les cybercriminels permettent à la victime de retrouver son système sain et sauf. Toutefois, cela n’est pas garanti.
Les différents types de ransomwares
Il existe à ce jour trois types de ransomwares.
1. Le « ransomware de verrouillage ». Ce logiciel malveillant bloque l’accès au système informatique. En anglais, ce type de malware est nommé « computer locker ». L’utilisateur ne peut plus utiliser l’ordinateur et voit s’afficher à l’écran un message du pirate informatique. Ce dernier présente clairement ses intentions ou se fait passer pour une autorité légale pour demander le paiement d’une amende.
2. Le « crypto ransomware ». Celui-ci bloque et chiffre les données. Ce type de malware vise généralement les entreprises. Celles-ci accèdent à leur système informatique, voient les fichiers piratés, mais ne peuvent les lire. En général, les cybercriminels utilisent un compte à rebours pour obtenir un paiement rapide. Ils menacent alors de divulguer des informations sensibles ou des données de clients.
3. Le « scareware » ou faux logiciel de sécurité. Dans ce cas, l’utilisateur est alerté d’un problème de sécurité par le biais d’une fenêtre qui apparaît sur l’écran. S’il clique sur l’invitation à télécharger l’antivirus, c’est en fait un malware qui détournera les données du système informatique.
Quels sont les objectifs des pirates lors de ces cyberattaques ?
Les cybercriminels cherchent avant tout à extorquer de l’argent à la victime. Toutefois, certaines attaques visent à endommager le système informatique d’une entreprise pour lui faire subir des pertes d’exploitation. D’autres souhaitent porter atteinte à l’image de la société en divulguant des informations sensibles ou compromettantes.
Attaque par rançongiciel : pourquoi cette cyberattaque est la plus fréquente ?
Au fil du temps, les attaques par ransomware ont changé de cible. Des particuliers, elles sont passées aux entreprises, de plus en plus dépendantes de la digitalisation de leurs données.
Attaque par ransomware : les raisons du succès
Les entreprises se doivent d’amorcer une transformation numérique. Gain de temps, meilleure organisation des données, mise en place simplifiée d’une stratégie logistique ou commerciale, vente sur Internet… La digitalisation est devenue indispensable à toute entreprise qui souhaite progresser dans le monde actuel et celui de demain.
Seulement, le budget alloué à la cybersécurité est en inadéquation avec la transformation numérique. Manque de personnel qualifié, manque de vigilance des salariés, failles de sécurité du système informatique : les entreprises sont vulnérables à la moindre cyberattaque. La pandémie de COVID-19 et l’avènement du télétravail n’ont fait qu’accélérer le rythme des attaques par ransomware.
<h3>Nul besoin d’être un hacker pour lancer une attaque par ransomware</h3>
L’autre raison qui explique la multiplication des cyberattaques par ransomware est la facilité de lancer une attaque. Aujourd’hui, un cybercriminel limité en compétences informatiques peut faire appel à un sous-traitant sur le darknet pour lui confectionner un malware. Ces logiciels ont pour nom « Ransomware-as-a-service » (Raas).
Pourquoi la France est l’un des pays les plus touchés ?
La société de cybersécurité Sophos a mené une enquête pour l’année 2021 , auprès de 200 entreprises françaises. Les chiffres montrent que 73 % des organisations françaises ont été touchées par un ransomware. En 2020, elles n’étaient que 30 %. Si 78 % des sondés ont restauré leurs données informatiques, 34 % ont payé la rançon. Un chiffre trop important, qui favorise les pirates dans leur choix de cibler les entreprises françaises. D’autant que celles qui ont choisi de payer n’ont récupéré que 45 % de leurs données.
Selon l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information), les attaques par rançongiciel ont augmenté de 255 % en France, en 2020.
Que faire en cas de cyberattaque ?
Les cybercriminels espèrent réussir en se fondant sur l’importance des données prises en otage et sur le temps. Plus le blocage dure, plus les pertes financières risquent d’être élevées pour l’entreprise. C’est pourquoi nombreuses sont celles qui décident de payer la rançon sans délai. Pourtant, cette solution est loin d’être la meilleure. D’une part, le risque de ne pas voir ses données décryptées s’avère assez important. Forts de leur succès, les pirates informatiques pourraient, d’autre part, réitérer leur manœuvre pour soutirer plus d’argent. Plusieurs actions doivent être mises en place afin de contourner une attaque par ransomware.
Isoler le système informatique
Il faut commencer par débrancher les appareils du réseau Internet et du réseau local. Attention à ne pas éteindre les ordinateurs infectés ni à supprimer les e-mails et journaux de connexion. Ils représentent les preuves de l’attaque.
Communiquer sur l’attaque
Tous les collaborateurs doivent rapidement connaître l’existence de l’attaque. De même que les éventuels clients, fournisseurs et partenaires qui peuvent potentiellement en pâtir. Ensuite, le personnel référent doit contacter son assureur si l’entreprise a souscrit à l’assurance cyber.
Porter plainte auprès des autorités
La direction doit signaler l’attaque par ransomware aux autorités compétentes, puis déclarer à la CNIL l’étendue des données personnelles affectées.
Restaurer le système
L’équipe dédiée à la cybersécurité peut reformater les postes et serveurs touchés, puis restaurer les données depuis une sauvegarde récente.
Attaque par ransomware : renforcer sa cybersécurité
Les cyberpirates renouvellent constamment leurs plans d’action. La meilleure façon d’éviter une attaque et de se protéger convenablement.
1. Sensibiliser ses employés aux risques de phishing. Mieux formés, les salariés repèrent mieux les arnaques et autres attaques potentielles.
2. Sécuriser ses infrastructures. Cela passe par la constitution ou le renforcement d’une équipe chargée de la cybersécurité. Celle-ci doit régulièrement vérifier les mises à jour, les paramétrages et sécuriser les processus d’authentification des systèmes informatiques.
3. Sauvegarder ses données. Une sauvegarde fréquente des systèmes permet de les remettre en l’état sans trop de dommages. Il faut veiller à sauvegarder hors ligne, de façon déconnectée du reste de l’infrastructure.
À lui seul, le ransomware Clop a causé près de 500 M$ de préjudices à travers le monde en 2019, bloquant notamment le CHU de Rouen.
Continuez votre lecture
Foire aux questions sur les programmes de formation
Retour sur le projet 24h00 de CSB
