De plus en plus souvent identifié par les éditeurs antivirus, un cryptolocker (ou ransomware, cryptogiciel, rançongiciel, cryptovirus) désigne un type d’attaque virale sur le web. Le ransomware est en effet un malware envoyé par des personnes malveillantes, dont le but est de chiffrer tout ou une partie des fichiers présents sur un ordinateur afin de les rendre inaccessibles. Pour désactiver l’infection et rétablir les données, une solution : payer une rançon demandée par le hacker (le plus souvent en crypto monnaie). Comment se protéger contre ce genre de pratique ?
Le contexte géopolitique actuel pousse de plus en plus d’internautes à s’interroger quant à leur utilisation du web, notamment via le prisme de la sécurité. Plus que jamais, il est extrêmement important de s’informer quant aux risques encourus par chacun lorsque l’on navigue sur Internet, et cela passe notamment par la connaissance des principaux types de virus, malwares et logiciels malveillants rencontrés à travers le monde. Ce souci lié à la sécurité pousse de nombreux internautes à redoubler de vigilance en passant par la souscription à une suite de sécurité, l'installation d'un antivirus gratuit, voire d'un VPN.
Un malware bien connu qui fait de plus en plus de ravages est le cryptolocker, un logiciel malveillant dont le but est de bloquer l’accès à l’ordinateur (Windows, macOS ou Linux) ou aux fichiers de ce dernier avec pour but d’extorquer de l’argent au particulier en échange de la promesse de retrouver l’accès aux documents corrompus grâce à une clé de déchiffrement détenue uniquement par le hacker.
Comment peut-on être infecté par un ransomware ?
Il existe en réalité de nombreuses méthodes utilisées pour infecter un ordinateur avec un ransomware, ce qui implique une vigilance sans faille. Mais les moyens les plus usités par ces personnes malveillantes sont les suivants :
Un ransomware peut généralement s’introduire dans un PC via une pièce jointe proposée dans un courriel. Il est donc important de faire attention à ne pas ouvrir les mails considérés comme suspects, et surtout de ne pas prêter attention aux pièces jointes de ces derniers.
Un cryptolocker peut également se manifester via un lien de téléchargement dans un mail, ou sur un site peu sécurisé.
Quand le virus s’est intégré au système d’un appareil, il effectue immédiatement un chiffrement des données personnelles de l’utilisateur. Ce dernier reçoit généralement rapidement un courriel ou une manifestation quelconque du hacker. Le ransomware, une fois ouvert par l’internaute, lance un algorithme de chiffrement sur l’ordinateur et peut cibler soit la totalité des fichiers, soit certains formats plus stratégiques (fichiers textes, images, PDF). Le seul moyen de se défaire de cette situation, c’est d’utiliser la clé de déchiffrement détenue par le hacker, pour stopper la procédure et récupérer les documents.
Les méthodes pour se protéger en amont
La meilleure manière de faire face à un ransomware, c’est donc de prendre les précautions nécessaires en amont pour limiter la possibilité de voir le logiciel malveillant faire son arrivée sur son ordinateur. Il est donc important de faire très attention à la gestion de ses mails, et à ne surtout pas ouvrir de pièce jointe si l’on ne connaît pas l’expéditeur.
Il est par ailleurs fortement recommandé de déployer un antivirus performant sur son ordinateur, et de suivre ses conseils. La plupart d’entre eux peuvent reconnaître des cryptolockers déjà connus grâce à une base de signatures virales, et peuvent également identifier les potentielles nouvelles menaces par le biais d’une analyse comportementale des fichiers.
Appliquer de manière régulière et systématique les mises à jour de sécurité du système d’exploitation, mais aussi des logiciels employés dans son ordinateur est également un bon moyen de se tenir à distance de ces potentiels pièges en ligne. Il est d’autre part recommandé de configurer son pare-feu pour une protection optimale, afin de faire en sorte qu’il ne laisse passer que des applications et services légitimes.
Si l’on suit bien toutes ces recommandations, les chances de se faire infecter par un cryptolocker deviennent minimes, mais pas encore nulles.
Que faire si l’on est infecté ?
Malgré la prise de toutes les précautions évoquées précédemment, il est néanmoins possible de se faire infecter par inadvertance par un ransomware. En effet, de nouveaux cryptolockers sont créés et déployés chaque jour, et les méthodes utilisées par les hackers se font de plus en plus ingénieuses, pour toucher un maximum de monde. Aucun antivirus classique ne peut encore garantir une protection totale face à cette menace, et le risque de se faire infecter reste réel. Dans ce cas, quelles démarches peut-on prendre ?
D’abord, si l’on a bien effectué une sauvegarde régulière de ses fichiers personnels, il faut la récupérer au plus vite, pour bien s’assurer de leur protection. Lorsqu’un poste est touché par un virus, quel que soit son type, la solution de base est de nettoyer son appareil, puis de restaurer les données sauvegardées.
Au moindre doute, mieux vaut ensuite se déconnecter de la Toile. Il est par ailleurs conseillé de faire conserver des preuves par un professionnel (à savoir par exemple un mail piégé, les logs de son pare-feu, des copies physiques) de l’appareil ou du serveur touché.
Enfin, la dernière étape est simple : déposer une plainte. Ainsi, il est fortement recommandé de se rendre immédiatement à son commissariat de police ou à la brigade gendarmerie la plus proche pour faire état de la situation. Il est également possible d’adresser sa plainte de manière écrite (avec les preuves collectées) au procureur de la République du tribunal judiciaire. Enfin, mentionnons que certains avocats spécialisés peuvent aider dans cette situation, dans les cas les plus graves.
Pour les professionnels et en entreprise, l’infection doit être immédiatement signalée à son service ou prestataire informatique pour qu’il puisse prendre les mesures nécessaires. La CNIL doit être informée au même titre s’il y a eu une violation de données à caractère personnel, en précisant la nature de la violation, les catégories et le nombre approximatif de personnes touchées par l’infection, les conséquences probables de cette violation des informations et enfin les mesures envisagées par l'entreprise pour éviter que cet incident ne se reproduise.
Les risques encourus si l’on est infecté par un ransomware
Le principal risque lorsque l’on est touché par un cryptolocker, c’est évidemment de céder et de payer la caution pour espérer récupérer ses données. On le répète : rien n’oblige le hacker à restituer le contrôle d’un appareil à son utilisateur une fois qu’il a été payé, et d’ailleurs les cas sont nombreux à aller dans ce sens. Pourtant, une étude de Bitdefender (2016) indiquait qu’en France, 32% des victimes seraient prêtes à payer la rançon pour récupérer leurs données. Aux USA, 50% des victimes ont bel et bien payé la rançon initiée par le hacker via son cryptolocker.
Selon le profil de la cible, les rançons peuvent monter jusqu’à 15 000 voire 20 000 €, et elles doivent être payées rapidement sous peine de perdre pour de bon les fichiers personnels. Actuellement, les entreprises sont les entités les plus touchées par cette pratique, et le chiffre des infections est en hausse : en 2020/2021, 37% des entreprises mondiales ont été la cible d’une ou plusieurs attaques de cryptolockers selon le cabinet IDC.
D’autre part, l’image de l’utilisateur (qu’il s’agisse d’un particulier ou d’un professionnel) peut être touchée si ses données sont inutilisables à cause d’un problème de sécurité. Certains témoignages et exemples de ce procédé ont pu être dévoilés au fil des années, le plus flagrant étant celui de l’hôpital de Los Angeles qui a été touché par des ransomwares, lesquels ont bloqué la majorité des fonctions administratives de la structure pendant une semaine. Le tout, contre une rançon de 3,6 millions de dollars. Dans le même genre, un rapport récent du cabinet Censinet affirme que les cryptolockers augmentent le taux de mortalité des hôpitaux. Bref, il s’agit d’une menace sérieuse, qu’il faut prendre en compte dans son utilisation personnelle et professionnelle d’internet.
Peut-on supprimer un ransomware ?
Actuellement, il n’est malheureusement pas possible de supprimer un cryptolocker. Quand un appareil est infecté par ces virus malveillants, il faut le nettoyer et restaurer les données sauvegardées. Il est donc important d’effectuer des sauvegardes régulièrement pour être sûr de ne jamais perdre de documents personnels ou professionnels cruciaux.
Est-il possible d’obtenir de l’aide officielle en cas d’infection ?
Il est possible d’activer d’autres canaux pour obtenir de l’aide face à une telle situation. Ainsi, l’utilisateur peut porter plainte auprès d’un ESCI (un enquêteur spécialisé sur la criminalité informatique) de son service régional de police judiciaire ou en passant par la plateforme Pharos.
D’autre part, de plus en plus d’assureurs proposent des solutions concernant le vol de données personnelles, l’erreur humaine, l’atteinte à l’e-réputation ou encore la tentative de détournement de fonds. Autrement dit, tous les principaux traits du ransomware. Il est donc possible de s’équiper d’une “cybercouverture” auprès de son assurance, afin de bénéficier d’aide financière pour faire face à la situation.
Glossaire Antivirus : nos autres définitions
- Qu'est-ce qu'un cheval de Troie (trojan) et comment s’en protéger ?
- Qu’est-ce qu’un malware de type wiper et comment s’en protéger ?
- Qu'est-ce qu'un bloatware et comment s'en débarrasser ?
- Qu'est-ce qu'un ransomware ou rançongiciel et comment s’en protéger ?
- Qu'est-ce que le phishing et comment s'en protéger ?
- Qu'est-ce qu'un logiciel malveillant (ou malware) et comment m'en protéger ?
- Qu'est-ce qu'un rootkit et comment s'en protéger ?
- Qu'est-ce qu'un keylogger et comment s'en protéger ?
- Qu'est-ce qu'un spyware et comment s'en protéger ?
- Qu’est-ce qu’un botnet et comment s’en protéger ?
Protégez-vous des cryptolockers avec une solution de sécurité
- moodEssai 30 jours
- devices3 à 10 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
- moodEssai 14 jours
- devices10 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
- moodEssai 30 jours
- devices5 à 30 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsPas de contrôle parental