Locky, Cerber, Jigsaw, Petya… L’année 2016 a été marquée par l’arrivée en masse des ransomwares, ces logiciels malveillants qui infectent les ordinateurs et chiffrent les données pour extorquer ensuite une rançon. Ces attaquent semblent prendre de plus en plus d’ampleur. Même chez les forces de l’ordre, le ransomware est désormais l’ennemi public numéro un dans la catégorie du « cybercrime ». A l’occasion de la sortie de l’antivirus Avast 2017, Ondrej Vlcek, directeur technique de l’éditeur, nous livre son analyse de la situation.
Peut-on estimer le nombre de victimes de ransomware en France ?
Etant le leader du marché en France, nous disposons d’un assez grand set de données sur la question. En 2016, le nombre de victimes – i.e. de personnes dont l’ordinateur a été infecté – a triplé pour atteindre entre 20.000 et 30.000 tous les mois. Sur l’année, nous totalisons autour de 250.000 victimes en France. La rançon oscille généralement entre 500 et 1000 euros. Il n’est pas facile de savoir combien de personnes la payent au final, mais on estime que ce taux est d’environ 5 %. La montant total des rançons collectées tournerait donc autour de 12 millions d’euros. Au niveau mondial, on pense que les pirates arrivent à extorquer environ un milliard de dollars grâce aux ransomwares. Généralement, ces attaques ne sont pas ciblées. Elles peuvent toucher des particuliers, des entreprises, des administrations… Mais on a vu aussi des attaques ciblées sur des données ou des systèmes particulièrement sensibles. Dans ce cas, les rançons peuvent monter à plusieurs milliers voire dizaines de milliers d’euros.
Qui sont les auteurs de toutes ces attaques ?
Nous ne le savons pas précisément. Dans l’espace cyber, l’attribution des attaques est toujours très difficile. On pense, néanmoins, que les cybercriminels les plus en pointe dans ce domaine sont implantés en Russie ou en Ukraine. C’est en tous les cas ce que suggèrent l’analyse de ces malwares. Dans certains cas, des commentaires écrits en russe ont été découverts dans les codes source. Dans d’autres cas, on constate que les utilisateurs russophones ne sont pas pris pour cible, grâce à un mécanisme de liste blanche.
Ce qui ne fait aucun doute, en revanche, c’est que les auteurs font preuve d’un grand professionnalisme. Les ransomwares les plus efficaces, comme Locky et Cerber, ont un code sophistiqué. Il s’appuie sur des algorithmes de chiffrement symétrique pour bloquer les données, et des algorithmes de chiffrement asymétrique pour protéger les communications avec les serveurs de commande et contrôle. Ces pirates savent ce qu’ils font. Ce ne sont pas des amateurs.
Le professionnalisme se voit également dans la manière dont toutes ces opérations sont organisées. Ainsi, ces pirates n’hésitent pas à faire appel à des centre d’appels situés dans les pays en voie de développement pour guider les victimes dans la procédure de paiement en bitcoin. Ils développent également des canaux de distribution de type de « Ransomware as a service », où le malware est fourni prêt à l’emploi. Il suffit ensuite d’avoir une méthode de diffusion pour passer à l’action. Généralement, cela se fait par l’intermédiaire d’e-mails ou de sites piégés. Pour chaque rançon extorquée, les auteurs encaissent évidemment une commission.
Comment voyez-vous ce phénomène évoluer ?
Il devrait s’accentuer car pour les pirates, le ransomware est un moyen très simple pour se faire de l’argent. C’est beaucoup plus rentable que les campagnes de spam ou le vol de données de cartes bancaires. Par ailleurs, beaucoup de gens ne prennent pas toujours suffisamment de précautions vis-à-vis de leurs données. A l’avenir, les pirates vont également continuer à expérimenter de nouveaux modèles d’exécution toujours plus diaboliques. Récemment, par exemple, un ransomware proposait à la victime de déchiffrer ses données si elle arrivait à infecter deux autres personnes.
Une autre tendance est de mixer ransomware et doxxing (révélation d’informations personnelles, ndlr). Les données sont non seulement chiffrées, mais aussi copiées. Si la victime ne veut pas payer, on la menace d’une publication de ses données personnelles sur le web : e-mails, photos, etc. Du coup, elle se retrouve piégée même si elle a fait une sauvegarde de ses données en bonne et due forme. Enfin, il est probable que les pirates vont recruter toujours plus de partenaires pour maximiser l’impact.
Que faut-il faire pour se protéger et, le cas échéant, déchiffrer ses données ?
En matière de ransomware, il vaut mieux prévenir que guérir. Pour certaines variantes, il existe certes des outils de déchiffrement car les chercheurs en sécurité ont réussi à trouver des failles dans l’implémentation de l’architecture cryptographique. Mais pour d’autres, il n’en existe pas. Ce n’est donc pas une solution sur laquelle on peut compter. Le plus important est la prévention. Et pour cela, il faut déjà avoir un bon antivirus. Les vecteurs d’infection utilisés par les ransomwares sont assez classiques et peuvent souvent être détectés. Ensuite, il faut faire régulièrement des sauvegardes de ses données. Enfin, il faut toujours rester attentif et méfiant : ne pas ouvrir une pièce jointe d’une personne que l’on ne connaît pas, ne pas cliquer sur un lien qui peut sembler louche, ne pas activer les macros dans les documents Microsoft, etc.
A lire également : notre dossier Avast 2017
Télécharger Avast Antivirus Gratuit 2017
Télécharger Avast Premium 2017 (Version d’essai)
Télécharger Avast Internet Security 2017 (Version d’essai)
Télécharger Avast Pro 2017 (Version d’essai)
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.