Qu’est-ce qu’un rançongiciel (ransomware) ?
Apprenez-en davantage sur les rançongiciels, leur fonctionnement et la manière dont vous pouvez vous protéger, vous et votre entreprise, contre ce type de cyberattaque.
Définition des rançongiciels
Les rançongiciels sont des logiciels malveillants qui menacent une victime en détruisant des données ou systèmes critiques ou en bloquant l’accès à ceux-ci jusqu’au paiement d’une rançon. Historiquement, la plupart des rançongiciels visaient des particuliers, mais, plus récemment, les rançongiciels exploités par des humains visant des organisations sont devenus la menace la plus importante et la plus difficile à prévenir et à inverser. Avec ces derniers, un groupe d’attaquants utilisent leur intelligence collective pour accéder au réseau d’entreprise d’une organisation. Certaines attaques de ce type sont si sophistiquées que les attaquants utilisent des documents financiers internes qu’ils ont découverts pour fixer le prix de la rançon.
Attaques par rançongiciel dans l’actualité
Malheureusement, les faits d’actualité ayant trait à des menaces liées aux rançongiciels sont désormais monnaie courante. Des attaques récentes très médiatisées de ce type ont ciblé des infrastructures critiques, des établissements médicaux et des fournisseurs de services informatiques. Alors que ces attaques sont plus ambitieuses en termes d’envergure, leurs effets sont devenus moins prévisibles. Voici un aperçu de quelques attaques par rançongiciel et de la manière dont elles ont affecté les organisations touchées :
- En mars 2022, le système postal grec a été victime d’un rançongiciel. L’attaque a temporairement perturbé la distribution du courrier et affecté le traitement des transactions financières.
- L’une des plus grandes compagnies aériennes d’Inde a subi une attaque par rançongiciel en mai 2022. L’incident a provoqué des retards et annulations de vols, et empêché des centaines de passagers de voyager.
- En décembre 2021, un géant des ressources humaines a fait l’objet d’une attaque par rançongiciel qui a perturbé le système de paie et de gestion des congés de son service cloud.
- En mai 2021, un exploitant de gazoducs américain a arrêté ses services pour éviter de nouvelles violations de données après qu’une attaque par rançongiciel eut compromis les informations à caractère personnel de milliers de ses employés. L’incident a provoqué une flambée du prix des carburants sur l’ensemble de la côte Est.
- Un distributeur allemand de produits chimiques a du faire face à une attaque par rançongiciel en avril 2021. Les dates de naissance, numéros de sécurité sociale et numéros de permis de conduire de plus de 6 000 personnes, ainsi que certaines données médicales, ont été dérobés.
- Le plus grand fournisseur mondial de viande a été visé par une attaque par rançongiciel en mai 2021. Après avoir temporairement mis hors ligne son site web et cessé la production, l’entreprise a fini par payer une rançon de 11 millions de dollars en Bitcoin.
Fonctionnement des rançongiciels
Une attaque par rançongiciel consiste à prendre le contrôle des données ou appareils d’une personne ou d’une organisation afin de lui extorquer de l’argent. Par le passé, les attaques résultaient le plus souvent de piratages psychologiques mais, récemment, des rançongiciels exploités par des humains ont gagné en popularité auprès des criminels en raison de leur potentiel de gains substantiel.
Rançongiciels basés sur un piratage psychologique
Ces attaques utilisent l’ hameçonnage, une forme de tromperie dans laquelle un attaquant se fait passer pour une entreprise ou un site web légitime, pour inciter une victime à cliquer sur un lien ou à ouvrir une pièce jointe qui installera un rançongiciel sur son appareil. Ces attaques véhiculent souvent des messages alarmistes qui amènent la victime à prendre peur. Par exemple, un cybercriminel peut se faire passer pour une banque bien connue et envoyer à une personne un courriel l’avertissant que son compte a été gelé en raison d’une activité suspecte, et l’incitant à cliquer sur un lien pour régler le problème. Quand la personne clique sur le lien, le rançongiciel est installé.
Rançongiciels exploités par des humains
Un rançongiciel exploité par un humain commence souvent par le vol d’informations d’identification de compte. Une fois que l’attaquant a accès au réseau d’une organisation par ce biais, il utilise le compte volé pour obtenir les informations d’identification de comptes ayant un accès plus large, et recherche des données et systèmes vitaux pour l’entreprise, qui présentent un potentiel de gain financier élevé. Il exécute ensuite un rançongiciel sur ces données sensibles ou systèmes vitaux, par exemple, pour les chiffrer afin que l’organisation ne puisse plus y accéder tant qu’elle n’a pas payé de rançon. Les cybercriminels ont tendance à demander un paiement en cryptomonnaie afin de préserver leur anonymat.
Ces attaquants ciblent des grandes organisations capables de payer une rançon plus élevée que le particulier lambda, réclamant parfois des millions d’euros ou de dollars. En raison des enjeux élevés d’une violation de cette ampleur, de nombreuses organisations choisissent de payer la rançon plutôt que de voir leurs données sensibles divulguées ou de risquer de nouvelles attaques de la part des cybercriminels, même si le paiement ne garantit pas l’élimination de la menace.
À mesure que les attaques par rançongiciels exploités par des humains se multiplient, les criminels à l’origine de celles-ci s’organisent davantage. En fait, de nombreuses opérations de rançongiciel utilisent désormais un modèle de rançongiciel en tant que service. Cela signifie qu’un groupe de développeurs criminels créent le rançongiciel proprement dit, puis engagent d’autres cybercriminels affiliés pour pirater le réseau d’une organisation et installer le rançongiciel. Les deux groupes se partagent ensuite les bénéfices de l’opération.
Types d’attaques par rançongiciel
Les rançongiciels sont principalement de deux types : les rançongiciels de chiffrement et les rançongiciels de verrouillage.
Rançongiciels de chiffrement
Quand une personne ou une organisation est victime d’une attaque par rançongiciel de chiffrement, l’attaquant chiffre des données ou fichiers sensibles de la victime afin que celle-ci ne puisse plus y accéder qu’en payant la rançon demandée. En théorie, une fois que la victime a payé, elle reçoit une clé de chiffrement lui permettant d’accéder à nouveau auxdits fichiers ou données. Cependant, même si la victime paie la rançon, rien ne garantit que le cybercriminel enverra la clé de chiffrement ou relâchera son emprise. Doxware est une forme de rançongiciel de chiffrement qui chiffre des informations à caractère personnel de la victime et menace de les révéler publiquement, généralement dans le but de l’humilier ou de lui faire honte, pour l’amener à payer la rançon.
Rançongiciels de verrouillage
Lors d’une attaque par rançongiciel de verrouillage, l’accès de la victime à son appareil est bloqué. Elle ne peut plus s’y connecter. La victime voit s’afficher à l’écran un avis de rançon expliquant qu’elle a été bloquée et contenant des instructions sur la manière de payer pour récupérer l’accès à son appareil. Cette forme de rançongiciel n’impliquant généralement pas de chiffrement, après que la victime a récupéré l’accès à son appareil, elle retrouve l’ensemble de ses fichiers et données sensibles intacts.
Réponse à une attaque par rançongiciel
Si vous êtes victime d’une attaque par rançongiciel, vous disposez de diverses options de recours et de suppression.
Évitez de payer la rançon
S’il peut être tentant de payer la rançon dans l’espoir de faire disparaître le problème, rien ne garantit que les auteurs de l’attaque tiendront parole et vous rendront l’accès à vos données. Les experts en sécurité et les autorités policières recommandent aux victimes d’attaques par rançongiciel de ne pas payer les rançons demandées, car cela les expose à des menaces futures et revient à soutenir activement une activité criminelle. Si vous avez déjà payé, contactez immédiatement votre banque qui pourra peut-être faire opposition si le paiement a été effectué à l’aide d’une carte de crédit.
Isolez les données infectées
Dès que possible, isolez les données compromises pour éviter la propagation du rançongiciel à d’autres zones de votre réseau.
Exécutez un logiciel anti-programme malveillant
De nombreuses attaques par rançongiciel peuvent être traitées en installant un logiciel anti-programme malveillant pour éradiquer le rançongiciel. Une fois que vous avez choisi un logiciel anti-programme malveillant réputé, tel que Microsoft Defender, veillez à le tenir à jour et à le faire fonctionner en permanence afin de vous protéger contre de nouvelles attaques.
Signalez l’attaque
Contactez vos services de police locaux ou fédéraux pour signaler l’attaque. Aux États-Unis, il s’agit du bureau local du FBI, de l’ IC3, ou du Service secret. Même si cette étape ne permettra probablement pas de résoudre votre problème immédiat, elle est importante car ces autorités suivent et observent activement les différentes attaques. La fourniture de détails sur votre expérience pourrait leur apporter des informations utiles dans le cadre de la recherche et de la poursuite d’un cybercriminel ou d’un groupe de cybercriminels.
Protection contre les rançongiciels
Les attaques par rançongiciel n’ayant jamais été aussi nombreuses et une grande partie des informations à caractère personnel étant conservées sous forme numérique, leurs conséquences potentielles sont redoutables. Heureusement, de nombreux moyens sont à votre disposition pour préserver votre vie numérique. La vôtre, pas celle d’un autre. Voici comment gagner en tranquillité d’esprit grâce à une protection contre les rançongicielsproactive.
Installez un logiciel anti-programme malveillant
La meilleure forme de protection est la prévention. De nombreuses attaques de ransomware peuvent être détectées et bloquées avec un service anti-programme malveillant de confiance, tel que Microsoft Defender for Endpoint, Microsoft Defender XDR ou Microsoft Defender for Cloud. Lorsque vous utilisez un programme anti-programme malveillant, votre appareil analyse d'abord tous les fichiers ou liens que vous tentez d'ouvrir pour garantir leur sécurité. Si un fichier ou un site web semblent potentiellement nuisibles, le logiciel anti-programme malveillant vous alerte et vous suggère de ne pas y accéder. Un tel programme peut également supprimer des rançongiciels d’un appareil déjà infecté.
Organisez des formations régulières
Tenez les employés informés de la manière de repérer les signes d’hameçonnage et d’autres attaques par rançongiciel au travers de formations régulières. Cela leur permettra non seulement d’apprendre des pratiques plus sûres au travail, mais aussi à être plus prudents lorsqu’ils utilisent leurs appareils personnels.
Migrez vers le cloud
En migrant vos données vers un service basé sur le cloud, tel que le service de sauvegarde dans le cloud Azure ou la sauvegarde de stockage d’objets blob de blocs Azure, vous pourrez facilement sauvegarder vos données pour les conserver en un lieu plus sûr. Si vos données sont compromises par un rançongiciel, ces services veillent à assurer une récupération immédiate et complète.
Adoptez un modèle Confiance Zéro
Un modèle Confiance Zéro évalue les risques qu’encourent l’ensemble des appareils et utilisateurs avant d’autoriser ceux-ci à accéder à des applications, fichiers, bases de données et autres appareils, afin de réduire la probabilité qu’une identité ou un appareil malveillant puisse accéder à des ressources et installer un programme malveillant. Par exemple, il a été démontré que l’implémentation d’une authentification multifacteur, qui est l’un des composants d’un modèle Confiance Zéro, réduit de plus de 99 % l’efficacité des attaques par usurpation d’identité. Pour évaluer le niveau de maturité de votre organisation en lien avec l’approche Confiance Zéro, servez-vous de l’ évaluation de la maturité pour la Confiance Zéro de Microsoft.
Rejoignez un groupe de partage d’informations
Les groupes de partage d’informations, fréquemment organisés par secteur d’activité ou emplacement géographique, encouragent les organisations de structure similaire à œuvrer ensemble à la recherche de solutions en matière de cybersécurité . Les groupes offrent également aux organisations différents avantages, tels que des services de réponse aux incidents et de forensique numérique, des informations sur les dernières menaces et la surveillance des plages d’adresses IP et des domaines publics.
Conservez des sauvegardes hors connexion
Étant donné que certains rançongiciels tentent de rechercher et de supprimer les sauvegardes en ligne dont vous disposez, il est judicieux de conserver une sauvegarde hors connexion actualisée des données sensibles, que vous testez régulièrement pour vous assurer qu’elle peut être restaurée en cas d’attaque par rançongiciel. Si une sauvegarde hors connexion ne peut pas résoudre un problème d’attaque par rançongiciel de chiffrement, elle peut être un outil efficace en cas d’attaque par un rançongiciel de verrouillage.
Maintenez les logiciels à jour
Outre la tenue à jour du logiciel anti-programme malveillant (songez à opter pour des mises à jour automatiques), veillez à télécharger et à installer l’ensemble des mises à jour du système et des correctifs logiciels dès qu’ils sont disponibles. Cela permet de minimiser les failles de sécurité qu’un cybercriminel pourrait exploiter pour accéder à votre réseau ou à vos appareils.
Élaborez un plan de réponse aux incidents
Tout comme la mise en place d’un plan d’urgence pour savoir comment sortir de chez vous en cas d’incendie vous permet d’être plus en sécurité et mieux préparé, l’élaboration d’un plan de réponse aux incidents indiquant que faire en cas d’attaque par rançongiciel vous permettra de connaître les mesures concrètes à prendre dans différents scénarios d’attaque afin de pouvoir reprendre vos activités normalement et en toute sécurité dans les meilleurs délais.
Protégez tout avec la Sécurité Microsoft
Microsoft Sentinel
Bénéficiez d’une vue intégrale de votre entreprise grâce à une solution de gestion des informations et des événements de sécurité (SIEM) native cloud.
Microsoft Defender XDR
Sécurisez vos points de terminaison, vos identités, vos e-mails et vos applications grâce à la détection et réponse étendues (XDR).
Microsoft Defender pour le cloud
Défendez vos environnements multicloud et hybrides du développement à l’exécution.
Microsoft Defender Threat Intelligence
Cernez mieux les acteurs de menace et leurs outils grâce à une carte complète de l’Internet, continuellement mise à jour.
Combattre les menaces liées aux rançongiciels
Avec la Sécurité Microsoft, gardez une longueur d’avance sur les menaces grâce au blocage des attaques et à la réponse automatiques.
Rapport de défense numérique Microsoft
Familiarisez-vous avec le paysage actuel des menaces et découvrez comment développer votre défense numérique.
Élaborer un programme anti-rançongiciel
Découvrez comment Microsoft a créé le concept d’état de résilience optimal contre les rançongiciels pour éliminer les rançongiciels.
Utiliser un playbook pour bloquer les rançongiciels
Articulez et visualisez le rôle de chacun dans le processus de blocage des rançongiciels.
Foire aux questions
-
Malheureusement, pratiquement toute personne en ligne peut être victime d’une attaque par rançongiciel. Les appareils personnels et les réseaux d’entreprise sont des cibles fréquentes des cybercriminels.
Toutefois, investir dans des solutions proactives, telles que des services de protection contre les menaces, est un moyen viable d’empêcher des rançongiciels d’infecter votre réseau ou vos appareils. Par conséquent, les personnes et organisations qui ont mis en place des logiciels anti-programme malveillant et d’autres protocoles de sécurité, tels un modèle Confiance Zéro, avant qu’une attaque se produise, sont les moins susceptibles d’être victimes d’une attaque par rançongiciel.
-
Une attaque par rançongiciel traditionnelle se produit quand une personne est amenée par la ruse à accéder à un contenu malveillant, par exemple, en ouvrant un e-mail infecté ou en visitant un site web nuisible qui installe un rançongiciel sur son appareil.
Lors d’une attaque par rançongiciel exploité par des humains, un groupe d’attaquants cible et compromet des données sensibles d’une organisation, généralement en se servant d’informations d’identification volées.
En général, qu’il s’agisse d’un rançongiciel basé sur un piratage psychologique ou d’un rançongiciel exploité par des humains, la personne ou l’organisation victime reçoit un avis de rançon détaillant les données volées et le coût de leur restitution. Toutefois, le paiement de la rançon ne garantit nullement que les données seront effectivement restituées ou de nouvelles violations évitées.
-
Les effets d’une attaque par rançongiciel peuvent être dévastateurs. Aux niveaux tant individuel qu’organisationnel, les victimes pourraient se sentir contraintes de payer des rançons conséquentes sans garantie que leurs données leur seront restituées ou que d’autres attaques ne se produiront pas. Si un cybercriminel divulgue des informations sensibles d’une organisation, cela peut entacher la réputation de celle-ci et fragiliser la confiance qu’elle inspire. Par ailleurs, selon le type des informations divulguées et la taille de l’organisation, le nombre de personnes victimes d’un vol d’identité ou d’autres cybercrimes peut être considérable.
-
Les cybercriminels qui infectent les appareils de leurs victimes avec un rançongiciel veulent de l’argent. Ils ont tendance à fixer des rançons en cryptomonnaie en raison du caractère anonyme et intraçable de celles-ci. Dans le cas d’une attaque par rançongiciel basé sur un piratage psychologique visant un individu, la rançon peut s’élever à quelques centaines ou milliers d’euros ou de dollars. Dans le cas d’une attaque par rançongiciel exploité par des humains visant une organisation, la rançon peut atteindre des millions d’euros ou de dollars. Ces attaques plus sophistiquées contre des organisations peuvent utiliser des informations financières confidentielles que les cybercriminels trouvent lors de l’intrusion dans le réseau pour fixer une rançon que l’organisation est censée pouvoir payer.
-
Les victimes doivent signaler les attaques par rançongiciel à leurs services de police locaux ou fédéraux. Aux États-Unis, il s’agit du bureau local du FBI, de l’ IC3, ou du Service secret. Les experts en sécurité et les autorités policières recommandent aux victimes de ne pas payer de rançon. Si vous avez déjà payé, contactez immédiatement votre banque et les autorités locales. Votre banque est peut-être en mesure de bloquer le paiement si vous avez effectué celui-ci avec une carte de crédit.
Suivez la Sécurité Microsoft