Les ransomwares (ou rançongiciels en français) illustrent bien de quelle manière les nouvelles technologies permettent de remettre certaines pratiques au goût du jour en les adaptant au monde du numérique. En effet, comme son nom l’indique, ce logiciel malveillant permet de prendre en otage des données sur un ordinateur. Cela est, par ailleurs, un nouvel exemple du fait que nos appareils contiennent des données constituant aujourd’hui une véritable mine d’or. Si la France n’est pas la cible privilégiée de ces pratiques pour le moment, l’emploi de ces ransomwares tend (tristement) à se démocratiser et à toucher tous types d’appareils : smartphones, ordinateurs (Mac et Linux inclus), tablettes. Suite à l’épidémie du malware « WannaCry » du 12 mai 2017, nul doute que les ransomwares commencent à être connus du grand public.
Les ransomwares actuels sont nés en Russie dans les années 2000 et le principe, simple, est dès lors resté le même : un logiciel malveillant infecte un ordinateur (puis parfois un réseau) généralement par un e-mail comportant un virus, ou par le phishing[1] et chiffre les données de l’utilisateur avec une clé asymétrique longue et complexe, les rendant indéchiffrables par le titulaire de celles-ci à moins qu’il ne dispose de la clé adéquate. Pour obtenir cette dernière, le titulaire des données doit payer une rançon aux hackers en Bitcoins.
Joseph Popp (un biologiste) fut le premier développeur de ce type de malware (ou logiciel malveillant). Découvert en 1989, le logiciel AIDS Trojan Horse avait pour fonction de modifier le nom des fichiers dans l’ordinateur, rendant celui-ci inutilisable. Il prévenait alors les utilisateurs que leurs logiciels n’étaient pas à jour et qu’ils devaient envoyer un chèque de 189$ (somme bien moins conséquente que les rançons actuelles, celles-ci s’étant élevées à 300$ dans le cas de WannaCry par exemple) à une entreprise au Kansas (PC Cyborg Corporation) pour déverrouiller le système. M. Popp avait pour ambition de faire don des sommes récoltées aux instituts de recherche contre le SIDA.
Des failles importantes existaient néanmoins avec ce premier ransomware. En effet, il se transmettait par disquette pour PC, ce qui ne permettait pas une propagation rapide et étendue du logiciel (contrairement à l’envoi massif d’e-mails gratuitement aujourd’hui). De plus, la clé de chiffrement était symétrique : la même clé était utilisée pour chiffrer et déchiffrer ce qui rendait le déchiffrement des données plus aisé tandis que le chiffrement est uniquement asymétrique aujourd’hui (faisant appel à une clé publique et une clé privée). Le développement d’Internet s’est donc accompagné d’une optimisation des ransomwares et autres logiciels malveillants.
.
De nombreux logiciels existent aujourd’hui mais reprennent tous un modèle ancien qu’ils adaptent au monde du numérique : la prise d’otage et la demande d’une rançon. Il est important de préciser que les malfaiteurs demandent un paiement en monnaie virtuelle comme le Bitcoin (en informant, au passage, les victimes du fonctionnement de ce mode de paiement) afin de rendre la traçabilité de cet argent et, ainsi, leur arrestation plus difficiles. Le monde du numérique permet non seulement une pratique étendue mais très rentable grâce à l’envoi massif d’e-mails gratuitement par les hackers. De plus, un ransomware ne se contente pas de crypter les données mais d’en effacer certaines, parfois essentielles au bon fonctionnement de l’ordinateur.
Des tentatives de lutte contre l’épidémie se développent aujourd’hui, mais la seule solution semble être une prévention de la pratique en avertissant le public du danger qu’elle constitue.
.
Moyens de prévention et risques des ransomwares
En quelques clics il est aisé de trouver des conseils, parfois intuitifs, afin d’éviter cette pratique pouvant toucher n’importe qui. Un conseil classique est de créer des sauvegardes externes (sur un cloud et sur un support physique) non modifiables afin de pouvoir récupérer les données sans payer la rançon. Il est aussi important de ne pas ouvrir les pièces jointes envoyés par des personnes que l’on ne connaît pas (ou même que l’on connait si cela paraît douteux). Il faut mettre à jour son logiciel d’exploitation régulièrement afin d’éviter toute faille. C’est notamment ce dernier conseil qui aurait pu empêcher l’expansion aussi étendue de « WannaCry ».
Les simples antivirus ne semblant plus suffire, des compagnies développent des services spécialisés, offrant une protection à des professionnels comme à des particuliers (tels que Altospam, Kasperski Internet Security, Stormshield ou encore stopransomware.fr par exemple). Si certains des sites d’antivirus proposent également des services pour déchiffrer les données piratées, il n’y a aucune garantie de les récupérer en raison du caractère unique de la clé de chiffrement et de la complexité à obtenir celle-ci. De plus, les ransomwares s’accompagnant de comptes à rebours au bout duquel les données sont effacées, il faut pouvoir les déchiffrer rapidement. Il vaut donc mieux prévenir que guérir et ne jamais payer la rançon car cela ne fait qu’encourager les malfaiteurs à poursuivre leurs pratiques alors qu’il n’y a aucune garantie de récupérer les données. Le ransomware peut également laisser d’autres virus dans l’ordinateur. Il paraît cependant nécessaire pour la victime de payer la rançon par moment.
.
En 2016, quatorze cas d’attaques de ransomwares sur des hôpitaux ont été recensés aux Etats-Unis. Les hôpitaux sont alors obligés de s’acquitter de la somme demandée car les données chiffrées par le logiciel sont nécessaires à la survie de certains patients et les hôpitaux ne peuvent donc fonctionner sans. De plus, les hôpitaux (et les autres entités publiques victimes d’attaques) sont généralement solvables : il est donc possible de leur réclamer des sommes plus élevées qu’à des particuliers. Il est important de noter que, comme dit précédemment, payer la rançon ne garantit pas que les données soient déchiffrées. En effet, le Kansas Heart Hospital paya la somme demandée mais se vit opposer en échange une nouvelle rançon par les responsables de l’attaque en mai 2016. L’hôpital refusa cette fois de payer la rançon, car aucune donnée vitale pour les patients n’était en cause. Ce genre de pratique est, par ailleurs, contreproductif pour les malfaiteurs : la victime n’a aucun intérêt à payer si elle sait qu’elle ne récupérera pas ses données.
Ces attaques concernent également les institutions étatiques (telles que les écoles) et gouvernementales. Généralement, la cause de l’infection par le ransomware est le manque de prévention des fonctionnaires (ou des employés dans le cadre des entreprises) : ils sont en charge de données très importantes sans pour autant avoir une formation adéquate en informatique. Il suffit d’une simple erreur (ouvrir un e-mail contenant un malware) pour engendrer des conséquences coûteuses et mettant en danger des données à caractère personnel. Par conséquent, les établissements (publics ou privés) atteints ne divulguent généralement pas l’existence d’une attaque afin d’éviter des poursuites. Il est donc difficile de connaître le nombre exact d’attaques.
.
Des établissements importants furent touchés par l’attaque de WannaCry le 12 mai dernier : Renault fit arrêter une de ses usines en raison du malware, la NHS (NDLR: National Health Service, système de la santé publique au Royaume-Uni) fut également touchée outre-Manche ce qui contraint certains hôpitaux à limiter leurs services. FedEx fut également touché. La cause est simple : une faille dans le système de Windows XP (encore utilisé par de nombreux établissements malgré son ancienneté). Selon un employé de la société Avast, les pays les plus touchés furent l’Ukraine, la Russie et Taiwan[2]. Les institutions étant aussi bien publiques que privées, le danger est réel. Les particuliers sont également victimes de telles pratiques.
Les créateurs de ransomwares s’adaptent en faisant parfois croire à une faute de l’usager. En effet, ils se font passer pour la police, la SACEM, EDF ou même une banque bloquant le fonctionnement de l’ordinateur et demandant le paiement d’une somme comme une « amende ». Il est important de savoir qu’aucun organisme, public ou privé, ne dispose du droit de verrouiller le fonctionnement de l’ordinateur d’une personne, peu importe sa faute.
.
Le logiciel Popcorn Time va même plus loin : ce ransomware montre clairement qu’il en est un mais il fait appel à la pitié de la victime en énonçant qu’il a été créé par des étudiants syriens cherchant à survivre (quand ce n’est en fait pas le cas) pour inciter à payer la rançon de 1 Bitcoin (environ 780€ au moment de son apparition en fin d’année 2016). Le logiciel donne deux possibilités à la victime : payer la rançon ou envoyer le ransomware à deux personnes. C’est une ruse dangereuse permettant de répandre le ransomware mais également d’autres virus.
Une prise de conscience sociale, et même légale, semble être le premier pas dans le sens de la lutte contre les ransomwares. La difficulté à y parvenir demeure néanmoins réelle.
.
La complexe résorption et sanction de la pratique
Depuis le 1er janvier 2017, les ransomwares sont un crime dans l’Etat de Californie (il en était un depuis 2014 au Wyoming). Les puissances publiques prennent donc conscience du danger de la pratique et de la nécessité de la réglementer afin de dissuader les malfaiteurs. Du côté du vieux continent, les législateurs européen et nationaux ne réglementent pas spécifiquement cette pratique. L’article 226-17 du code pénal[3] devrait être celui applicable aux utilisateurs de ransomwares. Il prévoit une sanction de 300.000 euros d’amende et 5 ans de prison qui peuvent s’accompagner de sanctions supplémentaires (notamment pour dédommager les victimes). De plus, à compter de mai 2018, (date d’entrée en vigueur du règlement européen (RGPD) n°2016/679 du 27 avril 2016 sur la protection des données) les entreprises auront l’obligation de notifier la violation de données personnelles (et donc les attaques de ransomwares).
Il est cependant complexe de retracer les adresses IP jusqu’aux véritables auteurs des infractions dans le monde numérique et donc d’appliquer les textes légaux. Les ransomwares n’échappent pas à cette constatation : ils ne sont généralement pas le fait d’un individu isolé mais l’œuvre de groupements très organisés dans lesquels chacun a son rôle. Le fait que les membres ne se trouvent pas au même endroit (voire dans des pays différents parfois) rend la cessation de la pratique difficile à mettre en œuvre : arrêter un des membres du réseau n’arrête pas les autres.
L’usage du Bitcoin est également un moyen de permettre aux malfaiteurs de ne pas être retrouvés : l’absence de nécessité d’un compte en banque et l’usage de pseudonymes leurs permettent de brouiller les pistes. Il est donc également important de réglementer l’usage de ces monnaies pour éviter les dérives.
.
Conclusion
Les ransomwares sont une réelle menace aujourd’hui ; en témoignent la fragilité des connaissances de cette pratique et des difficultés à l’endiguer. Ces logiciels montrent également l’importance des données stockées sur nos ordinateurs et à quel point il est nécessaire de faire attention à ce que nous conservons sur nos appareils connectés. Si nous ne pouvons pour le moment supprimer les ransomwares, il est essentiel de se prémunir contre toute attaque. En effet, WannaCry, la plus grosse attaque de ransomware connue à ce jour, fut partiellement arrêtée presque par chance par un jeune informaticien (Marcus Hutchins) en faisant enregistrer le nom de domaine utilisé par le ransomware pour se répandre[4]. Une faille pareille dans le malware est une réelle aubaine mais il faut craindre de nouvelles attaques de ransomwares plus complexes à mettre en échec.
Cerber est un autre exemple de ransomware révélant les dérives et les difficultés que vont rencontrer ceux chargés de faire disparaître ces logiciels. En effet, il est accessible à tous (les hackers ne seront pas les seuls à pouvoir en faire usage) : tout le monde pourra s’adonner à la pratique du ransomware car c’est un RaaS (Ransomware as a Service).
En somme, le monde du numérique devient un endroit dangereux si l’on ne se prémunit et ne s’informe pas des nouveaux dangers y apparaissant tous les jours.
Benjamin Chahkar
1ère année Master IP/IT
Sources :
- http://www.altospam.com/glossaire/ransomware.php
- https://stopransomware.fr/
- https://blog.kaspersky.fr/10-ways-ransomwares/5078/
- https://blog.kaspersky.fr/russian-ransomware/6714/
- https://www.stormshield.eu/fr/endpoint-security-2/the-2016-ransomware-generation-top-6-of-the-last-born-progeny-and-how-you-can-protect-yourself/
- https://fr.wikipedia.org/wiki/Ransomware
- https://www.statista.com/statistics/226492/leading-ransomware-infected-countries/
- http://www.healthcareitnews.com/slideshow/ransomware-see-hospitals-hit-2016?page=1
- https://www.wired.com/2016/03/ransomware-why-hospitals-are-the-perfect-targets/
- http://www.forbes.com/sites/leemathews/2016/11/10/22-million-government-workers-being-targeted-by-ransomware-attack/#252333f7756a
- http://www.silicon.fr/ransomware-locky-inonde-france-fausses-factures-free-140742.html
- http://www.cnetfrance.fr/news/infographie-le-ransomware-explique-en-image-39838662.htm
- https://www.franceinter.fr/emissions/le-monde-de/le-monde-de-14-decembre-2016
- https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-recap-january-1-13-2017
- https://blog.barkly.com/ransomware-statistics-2016
- http://www.usine-digitale.fr/article/droits-devoirs-et-ransomware-etre-pret-a-une-prise-d-otage-ou-racket-numerique.N396257
- http://www.francetvinfo.fr/replay-radio/le-17-20-numerique/ransomware-un-hopital-paye-la-rancon-pour-rien_1783817.html
- http://www.networkworld.com/article/3073495/security/kansas-heart-hospital-hit-with-ransomware-paid-but-attackers-demanded-2nd-ransom.html
- https://www.youtube.com/watch?v=T3NeuhpaPk0
- https://fr.wikipedia.org/wiki/Hame%C3%A7onnage
- http://www.lci.fr/high-tech/blocage-des-donnees-et-demande-de-rancon-une-vaste-cyberattaque-wcry-frappe-des-pays-du-monde-entier-2051871.html
- http://www.lemonde.fr/pixels/article/2017/05/12/des-hopitaux-anglais-perturbes-par-un-rancongiciel_5127034_4408996.html
[1] « La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. » (https://fr.wikipedia.org/wiki/Hame%C3%A7onnage)
[2]https://twitter.com/JakubKroustek/status/863045197663490053/photo/1?ref_src=twsrc%5Etfw&ref_url=http%3A%2F%2Fwww.lci.fr%2Fhigh-tech%2Fblocage-des-donnees-et-demande-de-rancon-une-vaste-cyberattaque-wcry-frappe-des-pays-du-monde-entier-2051871.html
[3] « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. »
[4] Il raconte d’ailleurs son exploit de manière détaillée sur son site : https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html