Les ransomwares ou le chiffrement d’un ordinateur

Comme nous sommes constamment en ligne sur le Web, il existe différents dangers sur Internet qui doivent être abordés. Le TCS aimerait participer activement à la lutte contre ces dangers et risques et est donc devenu membre de la SISA Swiss Internet Security Alliance.

Le chantage numérique est en plein essor. Le ransomware, anglicisme provenant d’un mélange entre « ransom » = rançon et le suffixe « ware » de « malware », autrement dit maliciel, est une pratique de plus en plus répandue. La presse mentionne un tel cas pratiquement tous les jours. On peut lire des articles à ce sujet concernant les entreprises, les hôpitaux, les organisations – mais qu’en est-il de l’entourage privé ? Les ransomwares touchent-ils également les particuliers ?

Lorsqu’un ordinateur ou un réseau est infecté par un ransomware, celui-ci bloque l’accès au système (ransomware verrouilleur) ou chiffre ses données (ransomware crypteur). Les cybercriminels demandent ensuite une rançon à leurs victimes pour qu’elles puissent récupérer leurs données. Le montant exigé doit généralement être payé en cryptomonnaie, en utilisant par exemple des bitcoins. Le contact se déroule le plus souvent sur le darknet.

« La nouvelle génération » d’acteurs du ransomware n’est ni adepte des rabais, ni des longues négociations. Concrètement, cela signifie qu’au moment où elles chiffrent des données, ces personnes indiquent également un délai de paiement pour la rançon. Si la demande de rançon est ignorée, les données confidentielles sont alors directement publiées ou détruites.

Le malware peut arriver sur votre ordinateur par exemple sous la forme d’une pièce jointe dans un e-mail, lors du téléchargement d’un fichier ou via une « fausse » page Web d’un fournisseur fiable.

Une fois le malware installé sur votre appareil, vous n’y avez plus accès et vous ne pouvez pas non plus déchiffrer vous-même vos données. Il arrive que l’écran devienne soudainement noir et que votre ordinateur ne réagisse plus à votre souris ni à votre clavier. Ensuite, un texte écrit par les malfaiteurs dans un ton intimidant apparaît, menaçant de supprimer ou de transmettre à un tiers l’ensemble des données de l’ordinateur. Habituellement, le texte contient les éléments suivants :

• Un compte à rebours, une barre de chargement ou une date vous indiquant le temps dont vous disposez a priori. Cette caractéristique est destinée à mettre en valeur l’urgence de la situation et à faire monter la pression.
• On vous demande d’acheter des bitcoins et de les transférer vers un compte bancaire spécifique.
• En général, votre seule marge de manœuvre est d’accéder à une place de marché pour cryptomonnaies, sur laquelle vous devez vous procurer la rançon, puis l’envoyer en ligne au malfaiteur. Celui-ci privilégie ce mode de règlement, car il permet de dissimuler les opérations de paiement et il est donc plus difficile pour les autorités judiciaires de retracer les transactions.

Pour éviter de devoir supprimer un ransomware de votre ordinateur, faites preuve de prudence lorsque vous recevez des fichiers inconnus.

• Sauvegardez régulièrement vos données (backup). Une copie de sauvegarde doit toujours être enregistrée hors ligne, c’est-à-dire sur un support externe (par exemple un disque dur externe). Assurez-vous de bien déconnecter le support sur lequel vous effectuez la copie de sauvegarde de l’ordinateur après le processus de sauvegarde. Sinon, les données du support de sauvegarde risquent d’être également chiffrées et inutilisables en cas d’attaque par un ransomware.
• Traitez vos e-mails avec prudence.
• Ne connectez jamais à vos appareils des clés USB provenant de sources inconnues. Les malfaiteurs utilisent parfois des clés USB, voire des câbles de chargement USB (appelés câbles OMG) pour piéger les personnes qui se retrouvent en leur possession.
• Mettez à jour régulièrement vos logiciels ainsi que votre système d’exploitation. L’actualisation permanente des logiciels et des systèmes d’exploitation contribue à vous protéger contre les malwares.
• Fiez-vous uniquement à des sources de téléchargement connues. Ne téléchargez jamais de logiciels ou de fichiers média sur des sites inconnus. La précaution est également de mise lorsque vous effectuez un téléchargement sur votre appareil mobile. Passez par le Google Play Store ou bien l’App Store d’Apple en fonction de votre terminal.

En cas d’attaque par un ransomware, déconnectez immédiatement votre ordinateur d’Internet et de tous les supports de stockage rattachés afin d’éviter tout dégât supplémentaire. Pour la plupart des malwares, il est recommandé de formater le disque dur et de réinitialiser entièrement l’ordinateur, en y introduisant la copie de sauvegarde (backup).

Signalez le cyberincident au Centre national pour la cybersécurité NCSC.

N’acceptez jamais de payer une rançon! De nombreux particuliers et entreprises sont tentés de payer la rançon afin de reprendre le contrôle de leurs systèmes. Toutefois, il s’agit d’une solution à n’envisager qu’en dernier recours, et ce, en concertation avec la police. En payant une rançon, vous encouragez les extorqueurs à réitérer leurs attaques.