Le rançongiciel (ou ransomware) est avant tout un outil de chiffrement. Une fois installé sur une machine, il va crypter des données qui s’y trouvent afin de les « prendre en otage ». Les rançongiciels s’attaquent aux PC, aux Mac mais aussi aux smartphones et tablettes quel que soit leur système d’exploitation.
Certains ransomwares ne vont s’attaquer qu’à des informations spécifiques (les fichiers du répertoire « mes documents », les fichiers de données texte ou image…), tandis que d’autres, comme le redoutable (et très récent) Petya, ne feront pas de détails et crypteront l’ensemble du ou des disques durs présents sur la machine infectée. Au final, les informations visées, sans être détruites, deviennent totalement inaccessibles.
Attention : beaucoup de rançongiciels (Locky, CTB-Locker…) ne vont pas se contenter de chiffrer les fichiers contenus sur le ou les disques durs de l’ordinateur infecté. Ils vont aussi s’attaquer aux données présentes sur les supports que la machine contrôle (clés USB, disque dur portable, données enregistrées sur un serveur en cas de connexion à un réseau).
Et il faut savoir que le niveau de chiffrement utilisé par la plupart des rançongiciels est très élevé. Dès lors, parvenir à décrypter les données sans endommager les informations et dans des délais raisonnables est presque impossible, même avec l’aide d’informaticiens très compétents.
Lorsqu’il a crypté les données, le rançongiciel informe sa victime de la situation. Généralement, un encart prend place sur l’écran de la machine contaminée (et dans certains cas est enregistré comme « fonds d’écran »). Dans cet encart sont présentés : le fonctionnement du rançongiciel et son but, les données cryptées ; la conduite à tenir et le montant de la rançon à verser.
Par exemple, Locky, un des rançongiciels les plus répandus, fait apparaître, dans un encart baptisé «
À noter : Locky propose des liens sur les pages Wikipédia dédiées à ces algorithmes de chiffrement pour convaincre ses victimes de leur efficacité.
- «
- «
À noter : une fois connecté sur le serveur, la victime devra entrer son identifiant afin de se voir attribuer la bonne clé privée. Une clé privée qu’elle n’obtiendra qu’après avoir réglé la rançon.
La rançon
Le plus souvent, les rançongiciels sont lâchés sur Internet par leurs auteurs « au petit bonheur la chance ». Les entreprises comme les particuliers pouvant être touchés, les rançons demandées sont standardisées et « peu élevées » (entre 200 et 400 €). En revanche, dans certaines situations, ces rançongiciels sont adressés (notamment via des faux courriels très personnalisés) à une victime identifiée (le plus souvent une entreprise) et choisie en fonction de sa solvabilité supposée. Dans cette hypothèse, le montant de la rançon peut dépasser plusieurs dizaines de milliers d’euros.
Le paiement pourra s’effectuer par virement (sur un compte offshore), le plus souvent en bitcoins (une monnaie électronique) ou, pour les rançons de faible montant, via des publicités en ligne sur lesquelles la victime est invitée à cliquer jusqu’à obtention du montant attendu par les hackers.
Attention : bien sûr, le paiement de la rançon ne garantit pas la récupération de la clé privée de déchiffrement.
Les rançongiciels se propagent comme tous les virus. Il convient donc pour éviter d’être contaminé :
En cas d’attaque, il est conseillé de :
Attention aux rançongiciels