Nos experts Hervé Thalmensy, responsable de l’offre réseau et sécurité et Abdoulaye Wague, ingénieur virtualisation, nous parlent cette semaine des ransomwares (ou en français rançongiciels – traduction pas très élégante au demeurant)
Mais qu’est-ce qu’un ransomware ?
Il s’agit d’une catégorie de malware (logiciel malveillant) infectant l’équipement d’une victime (ordinateur, téléphone, tablette, etc.). Ces programmes sont créés pour que l’utilisateur infecté ne puisse plus utiliser son système d’information ou consulter ses documents sans payer une rançon à l’attaquant (d’où leur nom).
Selon Wikipédia, le premier rancongiciel référencé est apparu en 1989 et s’appelait PC Cyborg Trojan. Il utilisait une clé de chiffrement symétrique c’est-à-dire identique pour chiffrer et déchiffrer (donc « cassable » avec un peu de rétro-ingénierie, puisque pour chiffrer les données, il devait embarquer cette fameuse clé).
Depuis ces 10 dernières années, de nouveaux ransomwares sont apparus, beaucoup plus évolués utilisant cette fois-ci des clés de chiffrement asymétriques, rendant ainsi leur action plus complexe à stopper.
Deux grandes familles de ransomwares peuvent être considérées :
- Les ransomwares qui s’attaquent au SI, rendant l’utilisation des équipements de ce SI limitée avec généralement une impossibilité de se connecter à internet par exemple.
- Les crypto-ransomwares qui s’attaquent aux données de la victime qui ne peuvent plus être consultées car chiffrées.
Dans tous ces cas les attaquants ne fournissent les clés de déchiffrement ou les logiciels de déblocage qu’après avoir reçu une rançon, ou tenté de l’avoir.
Toute la difficulté ici réside dans l’analyse de l’attaque qui doit permettre de comprendre quels sont les algorithmes de chiffrement utilisés ainsi que les mécanismes de blocage mis en place. Dans le meilleur des cas, des erreurs d’implémentation ou des algorithmes faibles permettent souvent de restaurer les fichiers de la victime sans payer aucune rançon.
Dans le cas où le système d’information est visé, l’équipement est limité dans son utilisation. Par exemple, il est impossible de se connecter sur Internet. Dans ce cas, l’attaquant se propose de fournir un logiciel de déblocage après avoir reçu la rançon.
Dans le cas où ce sont les données qui ne peuvent plus être consultées, le ransomware chiffre les fichiers et l’attaquant ne donnera la clé de déchiffrement qu’après avoir reçu la rançon. Ce type de ransomware est appelé un locker.
Il faut garder à l’esprit que ces programmes malveillants peuvent infecter n’importe quel utilisateur, particulier ou collaborateur d’une entreprise. Ce n’est pas parce qu’on est dans une entreprise qu’on est à l’abri … En effet, les ransomwares exploitent « l’ignorance des utilisateurs », pour se propager et causer des dégâts.
- Dans la catégorie des ransomwares s’attaquant aux SI, on peut citer les ransomwares dits intimidants et les bloqueurs par publicité.
Tout d’abord, les ransomwares intimidants :
Dans ce cas, les auteurs de ces codes malveillants utilisent les logos des services de police ou de gendarmerie ou encore de ministères pour réclamer le paiement d’une amende par exemple.
Points d’attention et de vigilance :
- La Gendarmerie nationale, la Police nationale ou même encore l’ANSSI et la SACEM (pour la France) mais aussi le FBI ou la NSA n’ont pas le droit de bloquer votre ordinateur à distance. Ils ne vous réclameront jamais le paiement d’une amende en bloquant votre ordinateur.
- La conduite à tenir dans ce cas est de signaler.
Bloqueur par publicité
Une autre variante des ransomwares consiste à bloquer l’équipement de la victime et l’inviter à cliquer sur des publicités. Ceci dans le but de permettre à l’auteur d’engranger des revenus à chaque clic.
- Les chiffreurs (crypto-ransomware)
Ce type de ransomware agit en chiffrant les documents de l’utilisateur. L’accès aux documents est alors rendu impossible tant que la clé de déchiffrement n’est pas utilisée. Cette clé est obtenue en échange d’une somme d’argent. Ces crypto-Ransomwares sont généralement détectés par les antivirus avec les appellations suivantes : Trojan.Ransom, Trojan/FileCoder ou Ransom.FileLocker par exemple.
Certains crypto-ransomwares changent le fond d’écran de leur victime en affichant un message stipulant que les dossiers ont été chiffrés (ex. CTB-Locker). Malheureusement, une fois les fichiers chiffrés, il n’existe aucun moyen de les récupérer.
L’année 2016 a été l’année des crypto-Ransomwares avec de nouvelles variantes chaque semaine. Ci-après, quelques exemples de crypto-ransomwares détectés en 2016 en France :
- Locky Ransomware:
- Ransomware Cerber :
- Ransomware CryptXXX :
Note : Il existe d’autres procédés apparentés aux ransomwares mais qui n’utilisent pas de produits cryptographiques. Dans ce cas, ils orientent la victime vers des numéros gratuits mais qui sont en réalité surtaxés ou alors vers de faux techniciens supports de Microsoft qui imitent des pages d’erreurs et bloquent l’ordinateur avec une prise de contrôle à distance par le biais d’outils tels que Team Viewer par exemple.
Mais comment fonctionnent les crypto-ransomwares ?
Les ransomwares peuvent infecter leurs victimes de la même façon que la plupart des autres malwares. Les plus communes étant le téléchargement (visite de sites compromis, clic sur des publicités malveillantes, ouverture de pièce jointe dans des mails malicieux, etc.) et l’exploitation de vulnérabilités.
Généralement, une attaque par crypto-ransomware suit les étapes ci-dessous :
D’un point de vue technique, un crypto-ransomware utilise les fonctionnalités offertes par le chiffrement de données.
Le chiffrement confère la confidentialité aux données, permettant seulement à ceux qui ont la clé secrète de récupérer ou d’accéder au contenu original.
Une fois le crypto-ransomware entré sur système cible, il commence par chiffrer les fichiers ou les structures du système de fichiers critiques de telle sorte qu’ils ne peuvent être lus ou utilisés par le gestionnaire de restauration. Cela nécessite l’utilisation d’une clé connue uniquement par les cybercriminels exploitant le logiciel malveillant.
Entre de mauvaises mains, le chiffrement et le déchiffrement des données est analogue à une prise d’otage suivie (ou pas) d’une libération. Ainsi, le chiffrement est utilisé comme un moyen de capturer les données des victimes et d’extorquer une rançon afin de libérer les données saisies.
Ces programmes malveillants sont généralement associés à des serveurs de commande et de contrôle (C&C) à distance. Pour sécuriser la communication entre le C&C et l’équipement infecté, le chiffrement est utilisé. Le C&C détiendra la clé nécessaire pour déchiffrer les données ou alors pour récupérer la clé de déchiffrement (dans le cas où celle-ci serait également chiffrée).
Les principales raisons du double chiffrement sont la performance et la commodité. Les chiffrements symétrique et asymétrique sont combinés afin d’obtenir le meilleur des deux méthodes.
Dans le chiffrement symétrique, la même clé secrète est utilisée dans les méthodes de chiffrement et de déchiffrement. Dans le cas du chiffrement asymétrique, 2 clés sont utilisées : une clé privée connue uniquement par le propriétaire pour déchiffrer les données et une clé publique connue par tout le monde permettant de les chiffrer.
Chiffrement symétrique :
Chiffrement asymétrique :
Le chiffrement symétrique est utile au crypto-ransomware car il est très efficace en matière de performances (moins de temps CPU nécessaire pour chiffrer/déchiffrer par rapport au chiffrement asymétrique). Ainsi, cela permet au logiciel malveillant d’être exécuté dans un délai raisonnable.
D’autre part, le chiffrement asymétrique est pratique car il permet à l’attaquant de surprotéger une seule clé privée quel que soit le nombre de victimes, sinon l’attaquant devrait conserver un enregistrement d’une clé secrète (symétrique) pour chacune des victimes.
Pour atteindre de hautes performances et conserver les avantages du chiffrement asymétrique, les crypto-ransomwares utilisent généralement le chiffrement symétrique pour chiffrer les fichiers des victimes et le chiffrement asymétrique pour protéger la clé secrète symétrique.
La protection de la clé symétrique varie, mais la plupart du temps, la clé publique du crypto-ransomware est intégrée dans le malware ou alors est extraite du serveur C&C.
Elle est ensuite utilisée pour chiffrer directement la clé symétrique ou pour prendre part à son processus de chiffrement. Après avoir servi au chiffrement, la clé symétrique est souvent exfiltrée ou stockée sur le système affecté.
Et d’un point de vue juridique ?
Pour ceux qui seraient intéressés pour lancer des attaques de type ransomware, le code pénal dispose d’un arsenal apte à répondre à ces menaces. En effet, la loi Godfrain du 5 janvier 1988, modifiée par la Loi pour la confiance dans l’économie numérique (n° 2004-575 du 21 juin 2004), permet de réprimer les atteintes aux systèmes d’information (cf. art. 323-1 à 7 du code pénal).
Les sanctions varient entre 2 et 5 ans d’emprisonnement et entre 60.000 et 150.000 € d’amende. Dans le cas des ransomwares, il faudra retenir l’article 323-3 du code pénal. En effet, cet article dispose que : ” Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende.”
L’article 323-3-1 peut être également appliqué car il permet de sanctionner l’offre, l’importation, la détention, la mise à disposition ou la cession de programmes malveillants. Enfin, un autre délit peut être associé à ce type d’attaque, même si les éléments constitutifs sont plus compliqués à établir ; il s’agit de l’extorsion de fonds qui lui est plus sévèrement sanctionné (art. 312-1 du code pénal qui punit de 7 ans de prison et 100.000€ d’amende).
Existe-t-il des outils de protection ?
Des outils logiciels développés par des sociétés de sécurité informatique existent tels que : Malwarebytes anti-ransomware, Kaspersky Ransomware Decryptor, McAfee Host Intrusion Prevention, Cisco Ransomware Defense, etc.
Néanmoins, la meilleure protection reste l’anticipation : procéder à la sauvegarde régulière des fichiers et données hors réseau et à la sensibilisation et au contrôle des utilisateurs. Mais surtout, ne pas oublier de souscrire une assurance cyber-risques adaptée.
Enfin, quelques informations et mesures pour se protéger contre les ransomwares :
- Toujours sauvegarder ses données. Cela vaut contre tous les types d’attaques. En effet, il existe toujours une possibilité de perdre des données. Ainsi, un backup régulier des fichiers importants sur des supports externes à l’équipement concerné peut prévenir toute perte de données. En cas d’infection, réinitialiser l’équipement et effectuer une restauration complète, hors réseau.
- Sur les plateformes Windows, il est recommandé d’activer la fonction UAC (User Account Control). Cela évite que des changements sur le système d’exploitation soient effectués sans l’autorisation de l’utilisateur.
- Toujours se poser la question de l’utilité d’un clic. Ne pas ouvrir de pièces jointes non attendues (risques de macros Excel, etc.) et ne pas cliquer sur des liens non-vérifiés vers des sites web. Il vaut mieux ignorer les mails de personnes vous promettant monts et merveilles ou alors de l’argent facile !
- Sécuriser son équipement : s’assurer que l’on dispose de solutions anti-malware à jour sur son équipement.
- Aucune autorité officielle ne demande le règlement d’une amende par un moyen de paiement tel que paysafecard, Ukash, MoneyPak, WesternUnion etc.
- Une bonne assurance peut également s’avérer utile.
- Enfin, ne pas payer : si malgré toutes ces précautions vous êtes malgré tout victime d’un ransomware, pas de panique, et surtout ne rien payer. En effet, même si vous payez, il n’y a absolument aucune garantie que l’attaquant vous envoie la clé de déchiffrement. Le mieux à faire dans ce cas est de signaler l’attaque dont vous êtes victime.
