Rançongiciel

De Design wiki
Aller à la navigation Aller à la recherche
Fichier:7169039.jpg
Illustration représentant les principes d'un rançongiciel. [1]

Définition

Un rançongiciel, logiciel rançonneur, logiciel de rançon,ou logiciel d'extorsion,, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.

Deux types de ransomwares sont notamment très populaires :

  • Les ransomwares Locker. Ce type d'applications malveillantes bloque les fonctions de base de l'ordinateur. Par exemple, l'accès au bureau peut vous être refusé alors que la souris et le clavier sont partiellement désactivés. Dans cette situation, vous pouvez continuer d'interagir avec la fenêtre contenant la demande de rançon afin d'effectuer le paiement. À part ces fonctionnalités, l'ordinateur est inutilisable. Cependant, nous avons une bonne nouvelle : l'application malveillante Locker ne cible généralement pas des fichiers critiques, elle cherche simplement à verrouiller votre ordinateur. Il est donc peu probable que vos données soient complètement détruites.
  • Les ransomwares Crypto. L'objectif des ransomwares Crypto est de chiffrer vos données importantes, comme des documents, des photos et des vidéos, mais pas d'interférer avec les fonctions de base de l'ordinateur. Cette action sème la panique car les utilisateurs peuvent voir leurs fichiers, mais ne peuvent pas y accéder. Les concepteurs de ransomwares Crypto ajoutent souvent un compte à rebours à leur demande de rançon : « Si vous ne payez pas la rançon avant la date limite, tous vos fichiers seront supprimés ». Or, étant donné le nombre d'utilisateurs qui ne sont pas conscients de la nécessité d'effectuer des sauvegardes dans le cloud ou sur des appareils de stockage physique externes, les ransomwares Crypto peuvent avoir des effets dévastateurs. Par conséquent, de nombreuses victimes paient la rançon dans le seul but de récupérer leurs fichiers.[2]

But recherché :

Extorquer de l’argent à la victime en échange de la promesse (pas toujours tenue) de retrouver l’accès aux données corrompues. Certaines attaques visent parfois simplement à endommager le système de la victime pour lui faire subir des pertes d’exploitation et porter atteinte à son image.[3]

Histoire

Le premier ransomware, connu sous le nom de PC Cyborg ou AIDS, a été créé à la fin des années 1980. PC Cyborg chiffrait tous les fichiers contenus dans le répertoire C: après 90 redémarrages, puis demandait à l'utilisateur de renouveler sa licence en envoyant 189 $ par courrier à la société PC Cyborg Corp. Le chiffrement était plutôt simple à réparer et n'a donc pas posé beaucoup de problèmes à ceux qui avaient des connaissances dans le domaine informatique.

Peu de nouveaux ransomwares ont vu le jour pendant la décennie qui a suivi. Il faut attendre 2004 pour voir arriver un ransomware présentant une véritable menace avec le GpCode, qui utilisait un chiffrement RSA faible pour prendre les fichiers personnels en otage.

En 2007, WinLock a lancé la mode d'un nouveau type de ransomware qui, au lieu de chiffrer les fichiers, empêche les utilisateurs d'accéder à leurs ordinateurs.

En 2012, le développement de la famille de ransomwares Reveton a marqué l'avènement d'une nouvelle forme de ransomware : le ransomware qui se fait passer pour une institution gouvernementale. Les victimes n'ont plus accès à leur ordinateur, qui est recouvert par une page semblable à celle pouvant appartenir à une institution gouvernementale (FBI, Interpol, etc.), incluant même les coordonnées de celle-ci.

En 2013, CryptoLocker a remis au goût du jour le ransomware chiffreur en le rendant encore plus dangereux. CryptoLocker utilisait une méthode de chiffrement puissante et stockait la clé de déchiffrement des fichiers sur un serveur distant. Il était donc pratiquement impossible pour les utilisateurs de récupérer leurs données sans payer la rançon. Ce type de ransomware chiffreur est toujours utilisé aujourd'hui puisqu'il s'est avéré pour les cybercriminels un moyen incroyablement efficace de gagner de l'argent. Des attaques de ransomwares de grandes envergures, telles que WannaCry en mai 2017 et Petya en juin 2017, ont utilisé des ransomwares chiffreurs pour piéger des particuliers et des entreprises dans le monde entier.

Fin 2018, Ryuk s'est imposé sur la scène des ransomwares avec de nombreuses attaques sur des quotidiens américains ainsi que sur l'Office des eaux et des égouts de Onslow en Caroline du Nord.

[4]

Mode opératoire

Le mode opératoire des ransomwares est le même que les chevaux de Troie. Il pénètre dans votre base de données via le cryptage de fichier et le blocage de l’écran. Les rançongiciels fonctionnent également grâce à différentes autres méthodes notamment les publicités malveillantes, les courriels d’hameçonnage ou le système de distribution du trafic.

Le mode de cyberattaque le plus commun sont aujourd’hui les courriels d’hameçonnage. En effet, les rançongiciels envoient un message à la victime la persuadant de cliquer sur un lien. De manière générale, le lien utilisé dirige les participants vers une fausse page web.

Une fois l’attaque lancée, les cybercriminels procèdent à une demande de rançon afin de faire pression à l’institution. Entre menaces, chantages et extorsion de données, les personnes derrière les rançongiciels sont prêtes à tout pour obtenir la rançon. De manière générale, si les victimes sont des grandes entreprises, les cybercriminels demandent une simple rançon pour débloquer l’ordinateur. Dans d’autres cas, les criminels menacent la divulgation totale des données personnelles de la victime dans l’objectif de nuire à sa réputation. Le blackmailing, tendance récente de menaces sur internet permet de faire pression à la victime en l’incitant à payer des sommes astronomiques en échange de ses données.

[5]

Comment s'en protéger ?

  1. Appliquer de manière régulière et systématique les mises à jour de sécurité du système et des logiciels installés sur votre machine.
  2. Tenez à jour l'antivirus et configurez votre pare-feu. Vérifiez qu'il ne laisse passer que des applications, services et machines légitimes.
  3. N'ouvrez pas les courriels, leurs pièces jointes et ne cliquez pas sur les liens provenant de chaînes de messages, d'expéditeurs inconnus ou d'un expéditeur connu, mais dont la structure du message est inhabituelle ou vide.
  4. N'installez pas d'application ou de programme "piratés" ou dont l'origine ou la réputation sont douteuses.
  5. Évitez les sites non sûrs ou illicites tels que ceux qui hébergent des contrefaçons (musique, films, logiciels,...) ou certains sites pornographiques qui peuvent injecter du code en cours de navigation et infecter votre machine.
  6. Faites des sauvegardes régulières de vos données et de votre système pour pouvoir le réinstaller dans son état d'origine au besoin.
  7. N'utilisez pas un compte avec des droits "administrateur" pour consulter vos messages ou naviguer sur Internet.
  8. Utilisez des mots de passe suffisamment complexes et changez-les régulièrement, mais vérifiez également que ceux créés par défaut soient effacés s'ils ne sont pas tout de suite changés.
  9. Éteignez votre machine quand vous ne vous en servez pas. [6]

Premier réflexe après une attaque

Que dit la loi ?

2 type d'infraction peuvent être retenue :

  • De tels procédés relèvent de l’extorsion de fonds et non de l’escroquerie. En effet, ils se caractérisent par une contrainte physique – le blocage de l’ordinateur ou de ses fichiers – obligeant à une remise de fonds non volontaire. L’article 312-1 du code pénal dispose que: «l’extorsion est le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque. L’extorsion est passible de sept ans d’emprisonnement et de 100 000 euros d’amende».
  • L’infraction d’atteinte à un système de traitement automatisé de données (STAD) peut aussi être retenue. Les articles 323-1 à 323-7 du Code pénal disposent notamment que : « le fait d’accéder ou de se maintenir frauduleusement » dans un STAD, « la suppression ou la modification de données contenues dans le système », « le fait […] d’extraire, de détenir, de reproduire, de transmettre[…] les données qu’il contient » ou « l’altération du fonctionnement de ce système » sont passibles de trois à sept ans d’emprisonnement et de 100 000 à 300 000 euros d’amende. – La tentative de ces infractions est punie des mêmes peines (article 323-7 du Code pénal). – Lorsque ces infractions ont été commises en bande organisée (article 323-4-1 du Code pénal), la peine peut être portée à dix ans d’emprisonnement et à 300 000 euros d’amende.[7]

Références

  1. https://fr.freepik.com/
  2. https://www.kaspersky.fr/resource-center/threats/ransomware-attacks-and-types
  3. https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares#
  4. https://fr.malwarebytes.com/ransomware
  5. https://esnenfrance.com/ransomware-mode-operatoire/
  6. https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares#
  7. https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares
Récupérée de « https://institut.design/DesignWiki/wiki/index.php?title=Rançongiciel&oldid=427 »