AccueilđŸ‡«đŸ‡·Chercher

Rançongiciel

Un rançongiciel[1] - [2] (de l'anglais ransomware [ˈÉčĂŠnsəmwɛɚ][3]), logiciel rançonneur[2] - [4], logiciel de rançon[2] - [5] ou logiciel d'extorsion[2] - [6], est un logiciel malveillant qui prend en otage des donnĂ©es personnelles. Pour ce faire, un rançongiciel chiffre des donnĂ©es personnelles puis demande Ă  leur propriĂ©taire d'envoyer de l'argent en Ă©change de la clĂ© qui permettra de les dĂ©chiffrer.

Exemple de rançongiciel : Goldeneye Ransomware

Un rançongiciel peut aussi bloquer l'accĂšs de tout utilisateur Ă  une machine jusqu'Ă  ce qu'une clĂ© ou un outil de dĂ©bridage soit envoyĂ© Ă  la victime en Ă©change d'une somme d'argent. Les modĂšles modernes de rançongiciels sont apparus en Russie initialement, mais on constate que le nombre d'attaques de ce type a grandement augmentĂ© dans d'autres pays, entre autres l'Australie, l'Allemagne, les États-Unis.

En , « McAfee, l’éditeur de logiciels de sĂ©curitĂ©, rapporte avoir enregistrĂ© 120 000 nouveaux Ă©chantillons de ce genre de virus au deuxiĂšme trimestre 2012, soit quatre fois plus qu’à la mĂȘme pĂ©riode l’annĂ©e d'avant. »[7].

Les rançongiciels ont enregistrĂ© une augmentation de 36 % entre 2016 et 2017. Au premier semestre 2017, l'entreprise Symantec, spĂ©cialisĂ©e dans les antivirus, annonce avoir bloquĂ© prĂšs de 320 000 rançongiciels, un chiffre en augmentation notamment dĂ» aux diffĂ©rentes attaques de type WannaCry[8].

Mode opératoire

Un rançongiciel se propage gĂ©nĂ©ralement de la mĂȘme maniĂšre qu'un cheval de Troie (Trojan horse en anglais) : il s'insinue dans le systĂšme par exemple par le biais d'un Web Exploit ou d'une campagne de courriels malveillants. Il exĂ©cute ensuite une charge active (payload), par exemple un exĂ©cutable qui va chiffrer les fichiers de l'utilisateur sur son disque dur[9] - [10] - [11] - [12]. Des rançongiciels plus sophistiquĂ©s utilisent des algorithmes de cryptographie hybride sur les donnĂ©es de la victime, avec une clĂ© symĂ©trique alĂ©atoire et une clĂ© publique fixe. Ainsi, l'auteur du logiciel malveillant est le seul qui connaisse la clĂ© privĂ©e qui permette de dĂ©chiffrer les documents[13].

Certains rançongiciels n'utilisent pas de chiffrement. Dans ce cas, la payload est une simple application qui va restreindre toute interaction avec le systĂšme, couramment en changeant le shell par dĂ©faut (explorer.exe) dans la base de registre Windows[14], ou mĂȘme changer le Master Boot Record (MBR), pour empĂȘcher le systĂšme d'exploitation de dĂ©marrer tant qu'il n'a pas Ă©tĂ© rĂ©parĂ©[15].

La payload des rançongiciels, plus particuliÚrement ceux qui n'utilisent pas de technique de chiffrement de fichiers, se sert de tactiques dites scarewares pour forcer l'utilisateur à payer pour le rétablissement de ses données. La charge active peut, par exemple, afficher une alerte à l'utilisateur, faussement issue d'une agence gouvernementale qui avertit l'utilisateur que son systÚme a été pris à partie par un pirate informatique, qui aurait effectué des actions illégales ou bien aurait stocké des contenus illégaux comme des contenus pornographiques ou des logiciels piratés[16] - [17]. Certains rançongiciels imitent l'apparence de Windows Product Activation, en indiquant que la version de leur logiciel est illégale ou requiert une ré-activation[18].

Dans tous les cas, un rançongiciel va tenter d'extorquer de l'argent à l'utilisateur, en lui faisant acheter soit un programme pour déchiffrer ses fichiers, soit un simple code qui retire tous les verrous appliqués à ses documents bloqués. Les paiements sont le plus souvent effectués sous la forme de virement bancaire, de SMS surtaxés[19], d'achats de monnaie virtuelle comme le bitcoin[12] ou encore l'acquittement préalable d'une somme donnée effectuée par le biais de sites de paiement en ligne comme Paysafecard ou Paypal[20] - [21] - [22].

AprĂšs avoir connu une hausse continue, la moyenne des rançons exigĂ©es se stabilise, en 2017, aux alentours des 550 dollars[8].

Histoire

Logiciel de rançon à chiffrement ou crypto-rançongiciel

Le premier rançongiciel rĂ©fĂ©rencĂ© est apparu en 1989 : PC Cyborg Trojan (en), codĂ© par Joseph Popp, possĂ©dait une payload qui avertissait l'utilisateur qu'une certaine licence d'un certain logiciel aurait expirĂ©, en chiffrant des fichiers sur le disque dur, et en demandant Ă  l'utilisateur de payer 189 $ Ă  la sociĂ©tĂ© « PC Cyborg Corporation » pour dĂ©verrouiller le systĂšme. Les chercheurs ont toutefois dĂ©couvert que le chiffrement Ă©tait rĂ©alisĂ© symĂ©triquement, ce qui signifie que la clĂ© de chiffrement et de dĂ©chiffrement est la mĂȘme. Et pour que le logiciel soit capable de chiffrer le contenu du disque dur, il faut dĂšs lors qu’il transporte la clĂ© sur lui. Un travail de rĂ©tro-ingĂ©nierie permet ainsi de retrouver et l’algorithme utilisĂ©, et la clĂ©. Popp a Ă©tĂ© dĂ©clarĂ© psychologiquement irresponsable de ses actes, mais il a promis de donner les profits de ce logiciel malveillant Ă  la recherche contre le SIDA[23]. L'idĂ©e d'introduire de la cryptographie asymĂ©trique pour ce genre d'attaques a Ă©tĂ© Ă©mise par Adam L. Young et Moti Yung en 1996, qui a prĂ©sentĂ© une preuve de concept pour un virus cryptographique conçu contre les systĂšmes Macintosh SE/30, en utilisant les algorithmes RSA ou TEA. Young et Yung ont qualifiĂ© ce type d'attaques de « cryptovirus d'extorsion », une attaque non-dissimulĂ©e faisant partie de la plus grande famille de la cryptovirologie (en), qui inclut des attaques Ă  la fois ouvertes et dissimulĂ©es[9]. D'autres occurrences de rançongiciels sont apparus en [24]. En , des rançongiciels comme GPcode (en), TROJ.RANSOM.A, Archiveus (en), Krotten (en), Cryzip ou MayArchive ont commencĂ© Ă  utiliser des schĂ©mas de chiffrement RSA plus sophistiquĂ©s, notamment en augmentant la taille des clĂ©s de chiffrement. GPcode.AG, dĂ©tectĂ© en , utilisait un schĂ©ma de chiffrement RSA Ă  660 bits[25]. En , une nouvelle variante de cette souche virale connue sous le nom de GPcode.AK a Ă©tĂ© dĂ©couverte. Elle utilisait une clĂ© RSA Ă  1 024 bits, qui Ă©tait considĂ©rĂ©e comme suffisamment grande pour ĂȘtre incassable sans utiliser une puissance de calcul considĂ©rable, concertĂ©e et distribuĂ©e[13] - [26] - [27] - [28].

Le rançongiciel introduit aussi des fichiers texte, html ou au format image contenant les instructions de paiement. TrÚs souvent, la tentative de paiement se fait à travers des sites web hébergés sur le réseau TOR.

En sévit KeRanger, le premier rançongiciel visant les systÚmes MacOSX. Ce dernier était proposé à l'installation à travers un faux popup de mise à jour du logiciel Transmission. Le certificat du développeur a été révoqué pour limiter la contagion[29].

CryptoLocker

C'est un logiciel qui tourne sous Windows et Android[30]. Ce type de rançongiciel se diffuse principalement via des courriels infectĂ©s, dĂ©guisĂ©s en factures UPS, FedEx ou de banques amĂ©ricaines[31]. Une fois activĂ©, il chiffre les donnĂ©es personnelles de l'utilisateur via une clĂ© RSA secrĂšte – stockĂ©e sur des serveurs pirates – et demande une rançon (payable en bitcoins ou par des services externes comme GreenDot ou MoneyPack[32]) pour les rendre Ă  nouveau accessibles. Le message d'alerte s'accompagne d'un compte Ă  rebours de 72 ou 100 heures qui menace de supprimer les donnĂ©es si la rançon n'est pas payĂ©e. Une fois arrivĂ© Ă  zĂ©ro, il augmente en rĂ©alitĂ© fortement le montant de cette derniĂšre.

Logiciel de rançon sans chiffrement

En , les autoritĂ©s russes ont arrĂȘtĂ© dix pirates qui Ă©taient reliĂ©s Ă  WinLock, un rançongiciel qui affichait des images Ă  caractĂšre pornographique en demandant aux victimes d'envoyer un SMS surtaxĂ© (d'environ 8 euros de surtaxe) pour recevoir un code permettant de dĂ©verrouiller leurs machines. Un grand nombre d'utilisateurs de Russie et de pays voisins a Ă©tĂ© affectĂ© par ce virus, le montant du butin Ă©tant estimĂ© Ă  plus de 14 millions d'euros. Contrairement Ă  ses prĂ©dĂ©cesseurs du type GPCode, WinLock n'utilisait pas de chiffrement mais seulement un programme plus simple demandant un code d'activation[17] - [33].

En 2011, un rançongiciel imitant la notification du Windows Product Activation ; qui informait l'utilisateur que son systĂšme d'exploitation Windows devait-ĂȘtre rĂ©activĂ©, car il aurait Ă©tĂ© piratĂ© (victim of fraud). Une activation en ligne Ă©tait proposĂ©e (comme la vraie procĂ©dure d'authentification), mais elle Ă©tait indisponible. La victime devait alors appeler l'un des six numĂ©ros internationaux pour avoir un code Ă  six chiffres. Le logiciel malveillant indiquait, Ă  tort, que l'appel Ă©tait gratuit. En rĂ©alitĂ©, il Ă©tait routĂ© via un opĂ©rateur pirate vers un pays avec un fort surcoĂ»t, qui mettait l'utilisateur en attente. Cela engendrait des coĂ»ts de communication trĂšs Ă©levĂ©s[18].

Reveton
Reveton

Description de l'image Ransomware-pic.jpg.
Informations
Environnement Windows
Type virus

En 2012, un nouveau rançongiciel important est apparu : il est connu sous le nom de « Reveton », ou encore « the Police Trojan ». Ce dernier se propageait par des publicités malicieuses (malvertising) qui visent à charger un Web Exploit sur l'ordinateur, sa charge active affiche un faux avertissement d'une autorité gouvernementale, signalant que l'ordinateur infecté serait utilisé à des fins illégales, comme du téléchargement de logiciels crackés[34]. Un pop-up informe l'utilisateur que pour déverrouiller son systÚme, il doit acheter un coupon via un service de pré-paiement comme Ukash (en) ou Paysafecard. Pour accroitre l'illusion que l'ordinateur est surveillé par la police, le logiciel affiche aussi l'adresse IP de la machine, voire un aperçu de la webcam pour faire croire à la victime que la police enregistre son visage en temps réel[20] - [35].

D'autres variantes, plus spĂ©cifiques Ă  la Grande-Bretagne, se revendiquaient d'Ă©maner de la Metropolitan Police Service, de la SPRD (SociĂ©tĂ© de Perception et de RĂ©partition des Droits) PRS for Music (en) (qui accusait plus spĂ©cifiquement l'utilisateur de tĂ©lĂ©charger illĂ©galement des musiques), ou de la division nationale de police pour la CybercriminalitĂ© (Police National E-Crime Unit (en))[36] - [37]. En rĂ©ponse Ă  cette diffusion du virus, le Metropolitan Police Service a clairement expliquĂ© qu'il ne bloquait jamais un ordinateur pour mener une enquĂȘte[20] - [16].

Reveton s'est rĂ©pandu en Europe au dĂ©but de l'annĂ©e 2012[20]. En , la division de dĂ©tection de menaces de Trend Micro avait dĂ©couvert des variantes du logiciel malveillant Ă  destination des États-Unis et du Canada, ce qui laissait Ă  penser que ses auteurs cherchaient Ă  cibler des utilisateurs d'AmĂ©rique du Nord[38]. En , une nouvelle variante de Reveton est finalement apparue aux États-Unis, demandant une rançon de 200 dollars au FBI avec une carte de type MoneyPak (en)[35].

Par la suite, Reveton est aussi devenu un rançongiciel s'attaquant au navigateur web « BrowLock » (pour « Browser Locker »), le rançongiciel bloque la fermeture de la page par des popups incessantes. Cette nouvelle variante permet de toucher tous les systĂšmes d'exploitation. L'abandon de la diffusion de la version Trojan, pour la version Browlock coĂŻncide avec l'arrĂȘt du Web ExploitKit BlackHole. Enfin en 2015, Reveton s'est aussi attaquĂ© aux tĂ©lĂ©phones et tablettes Android Ă  travers la variante Koler.

Winwebsec

Winwebsec est une catĂ©gorie de logiciels malveillants s'exĂ©cutant sur des plateformes Windows et produisant des pop-ups, en se revendiquant ĂȘtre un vrai logiciel antivirus. Leurs pop-ups proposent Ă  l'utilisateur un scan de son systĂšme Ă  la recherche de logiciels malveillants, puis affiche de faux rĂ©sultats tels que « 32 Virus and Trojans Detected on your computer. Click on Fix Now button to clean these threats » (« 32 virus et chevaux de Troie ont Ă©tĂ© dĂ©tectĂ©s sur votre ordinateur. Cliquez sur « Corriger maintenant » pour Ă©liminer ces menaces »). Ensuite, un message est affichĂ© pour demander Ă  l'utilisateur de payer pour activer le logiciel, afin d'Ă©liminer les hypothĂ©tiques menaces.

Moyens de lutte

Le systÚme de chiffrement d'un crypto-verrouilleur vise certaines extensions de fichiers, notamment celles des fichiers Microsoft Office, Open Document, AutoCAD, mais aussi les images. Il s'attaque aux disques durs, aux disques partagés sur les réseaux, aux clés USB, et parfois aux fichiers synchronisés dans le cloud.

Les moyens de lutte préconisés contre un crypto-verrouilleur sont les suivants :

  • dĂ©connecter les appareils infectĂ©s des rĂ©seaux partagĂ©s, avec ou sans fil ;
  • changer ses mots de passe aprĂšs avoir nettoyĂ© le rĂ©seau ;
  • faire des sauvegardes rĂ©guliĂšres de ses donnĂ©es, et les stocker hors ligne ;
  • consulter un expert en sĂ©curitĂ© informatique pour connaĂźtre la marche Ă  suivre.

Les sociétés FireEye et Fox-IT, spécialisées dans la sécurité informatique, ont mis en ligne un service qui permet gratuitement aux victimes d'un crypto-verrouilleur de déchiffrer leurs fichiers[39]. Ce service a cessé de fonctionner à la suite du détournement qui en a été fait. En effet, de nombreux pirates imitaient cet outil à des fins frauduleuses. Les victimes de ce rançongiciel peuvent essayer de récupérer leurs fichiers avec d'autres solutions comme les sauvegardes instantanées de Windows si ces derniÚres ne sont pas effacées par le crypto-verrouilleur[40].

Afin de combattre les entreprises cybercriminelles exploitant des rançongiciels, les agences de police et les sociĂ©tĂ©s spĂ©cialisĂ©es en sĂ©curitĂ© informatique se sont associĂ©es. Ainsi, la plateforme No More Ransom est une initiative de la police nĂ©erlandaise, d’Europol et des entreprises de cybersĂ©curitĂ© Kaspersky Lab et McAfee, visant Ă  aider les victimes Ă  retrouver leurs donnĂ©es chiffrĂ©es sans avoir Ă  verser de l'argent aux criminels[41].

En France le Service statistique ministériel de la sécurité intérieure (SSMSI) publie une analyse et des statistiques relatives aux attaques par rançongiciel envers les entreprises et les institutions[42]..

Notes et références
  1. Martin Untersinger, « Cyberattaque : « On a l’impression que c’est crapuleux, plus qu’organisĂ© par un Etat » », sur Le Monde, (consultĂ© le ).
  2. « rançongiciel », Grand Dictionnaire terminologique, Office québécois de la langue française.
  3. Prononciation en anglais américain retranscrite selon la norme API.
  4. « Qu'est-ce qu'un logiciel rançonneur »(Archive.org ‱ Wikiwix ‱ Archive.is ‱ Google ‱ Que faire ?) (consultĂ© le )
  5. « Protection contre les logiciels de rançon »(Archive.org ‱ Wikiwix ‱ Archive.is ‱ Google ‱ Que faire ?) (consultĂ© le )
  6. « Cyberextorsion: l’horrible exemple sud-corĂ©en » (consultĂ© le )
  7. Le virus-rançon: les kidnappeurs de disque dur arrivent 30 octobre 2012.
  8. « Les demandes de rançons informatiques en trĂšs nette hausse en 2017 », FIGARO,‎ (lire en ligne, consultĂ© le )
  9. DOI 10.1109/SECPRI.1996.502676
  10. (en) Adam Young, Jianying Zhou et Javier Lopez, « Building a Cryptovirus Using Microsoft's Cryptographic API », Information Security: 8th International Conference, ISC 2005, Springer-Verlag,‎ , p. 389–401
  11. (en) Adam Young, « Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy? », International Journal of Information Security, Springer-Verlag, vol. 5, no 2,‎ , p. 67–76
  12. « Synolocker, le virus qui vous rançonne » [[vidéo] 19:30 le journal], RTS Un,
  13. (en) Ryan Naraine, « Blackmail ransomware returns with 1024-bit encryption key », ZDnet, .
  14. (en) Nicolas Brulez, « Ransomware: Fake Federal German Police (BKA) notice », SecureList (Kaspersky Lab),
  15. (en) « And Now, an MBR Ransomware », sur SecureList (Kaspersky Lab) (consulté le ).
  16. (en) « Police warn of extortion messages sent in their name »(Archive.org ‱ Wikiwix ‱ Archive.is ‱ Google ‱ Que faire ?), sur Helsingin Sanomat (consultĂ© le )
  17. (en) Robert McMillian, « Alleged Ransomware Gang Investigated by Moscow Police », PC World,
  18. (en) Gregg Keizer, « Ransomware squeezes users with bogus Windows activation demand », Computerworld, .
  19. Dancho Danchev, « New ransomware locks PCs, demands premium SMS for removal », ZDNet, (consulté le )
  20. (en) John E. Dunn, « Ransom Trojans spreading beyond Russian heartland », sur TechWorld,
  21. (en) Gregg Keizer, « Ransomware plays pirated Windows card, demands $143 », Computerworld,
  22. (en) Jacqui Cheng, « New Trojans: give us $300, or the data gets it! », Ars Technica,
  23. (en) Michael Kassner, « Ransomware: Extortion via the Internet », TechRepublic, 10 janvier 2010consulté le=
  24. (en) Susan Schaibly, « Files for ransom », Network World,
  25. John Leyden, « Ransomware getting harder to break », The Register, (consulté le )
  26. Robert Lemos, « Ransomware resisting crypto cracking efforts », SecurityFocus,
  27. (en) Brian Krebs, « Ransomware Encrypts Victim Files With 1,024-Bit Key », The Washington Post,
  28. (en) « Kaspersky Lab reports a new and dangerous blackmailing virus », Kaspersky Lab,
  29. « 1Úre attaque ransomware pour Mac bloquée par Apple - Le Monde Informatique », sur LeMondeInformatique (consulté le )
  30. Korben, « Comprendre CryptoLocker et ses clones : Et sur mobile ? », sur korben.info, Korben (consultĂ© le ) : « des variantes existent aussi comme Simplocker. Ce rançongiciel Ă  destination des tĂ©lĂ©phones sous Android »
  31. Zataz.com - CryptoLocker : nouveau ransomware destructeur « Copie archivée » (version du 23 juillet 2018 sur Internet Archive)
  32. Sécurité Publique Canada - Rançongiciel Cryptolocker
  33. (en) John Leyden, « Russian cops cuff 10 ransomware Trojan suspects », The Register,
  34. (en) « Fake cop Trojan 'detects offensive materials' on PCs, demands money », The Register (consulté le )
  35. (en) Mathew J. Schwartz, « Reveton Malware Freezes PCs, Demands Payment », InformationWeek,
  36. (en) Lance Whitney, « Ransomware locks up PCs in fake anti-piracy campaign », ZDnet.co.uk (consulté le )
  37. (en) John E. Dunn, « Police alert after ransom Trojan locks up 1,100 PCs », TechWorld (consulté le )
  38. (en) Lucian Constantin, « Police-themed Ransomware Starts Targeting US and Canadian Users », PC World (consulté le )
  39. (en) « FireEye - FoxIt Scanner »
  40. « Supprimer TeslaCryt ».
  41. « The No More Ransom Project », sur www.nomoreransom.org (consulté le ).
  42. Sylvie Plantevignes et Benoit Cotreuil, Attaques par rançongiciel envers les entreprises et les institutions, novembre 2021 lire en ligne sur Gallica

Voir aussi

Articles connexes

Liens externes
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplĂ©mentaires peuvent s’appliquer aux fichiers multimĂ©dias.