Nouvelles attaques de ransomware en vue

Après avoir défrayé la chronique plusieurs années d’affilée, les ransomware (rançongiciels en bon français) se sont fait plus discrets en 2018. Mais leur activité a été en forte croissance en 2019, et c‘est malheureusement une tendance qui devrait se confirmer en 2020.

Les rançongiciels sont un type très spécifique de virus informatique : ils prennent « en otage » les données de l’utilisateur ou de l’entreprise, en exigeant le paiement d’une rançon pour les récupérer. Le plus souvent, la prise d’otage se déroule sous la forme d’un chiffrement des fichiers auxquels le virus a réussi à accéder : sur le disque dur interne de l’ordinateur, mais également sur les clés et disques USB connectés à cet ordinateur, sur les disques réseau, et dans tout autre ordinateur vulnérable à sa portée. Les données ainsi chiffrées deviennent inexploitables pour l’utilisateur légitime. Une autre forme plus rare de prise d’otage consiste à menacer de diffuser des informations volées au préalable par le virus informatique.

Si à l’origine les rançongiciels visaient les particuliers, 2019 a vu une forte croissance des attaques visant les entreprises : +365% selon Techrepublic. Cette année 2019 a également vu le développement d’un marché occulte de la « location de rançongiciel » : moyennant finances, il est possible de louer « toute la panoplie » permettant de lancer des attaques, de chiffrer les données et de récupérer les rançons.

Les acteurs de la cybercriminalité se sont donc organisés : certains se chargent de diffuser le virus via des emailings de phishing, des infections de sites web, des campagnes publicitaires Facebook notamment… D’autres fournissent le logiciel, tels que Zeppelin ou Buran, et assurent « tranquillement » son support 24/7 ! D’autres enfin apportent l’expertise pour configurer et piloter ces outils. Tous se partagent un pourcentage des rançons ainsi obtenues.

Cette organisation criminelle laisse présager pour 2020 des vagues d’attaques plus spécifiques, ciblées par secteur d’activité : les médecins (faux message de leur syndicat par exemple), les artisans (faux message de l’URSSAF par exemple), les industriels (faux message de leur CCI par exemple)… en adaptant à chaque fois la forme du message et l’incitation à ouvrir une pièce jointe ou à cliquer sur une publicité, pour décupler l’efficacité de l’attaque.

Contre ces attaques, la meilleure défense reste la prévention : installation d’un antivirus/antispam performant en amont de la messagerie, sensibilisation des salariés, vérification de l’existence de sauvegardes déconnectées du réseau informatique

Werner KLINGER
Ingénieur Conseil Web & NTIC.