Que faire si votre appareil (ordinateur, tablette ou téléphone portable) est bloqué et affiche un message exigeant une somme d'argent pour un retour à la normale ? Vous êtes probablement victime d’une attaque informatique appelée ransomware ou rançongiciel.
Les ransomwares sont un type d’attaque informatique qui constitue une menace en pleine croissance. De nouveaux malwares, disponibles clés en main sur le darknet, allient facilité de déploiement et chiffrement de haut niveau pour un effet toujours plus dévastateur.
Les conséquences d’une attaque par ransomware peuvent être très couteuses pour toute sorte d’organisations, que ce soient des multinationales ou des PME – les dernières étant d’autant plus vulnérables étant donné que le risque de faire faillite suite à une longue période d’inactivité forcée est plus élevé. En effet, les systèmes informatiques peuvent être paralysés pendant des jours voir des semaines. D’ailleurs, ce ne sont pas que les organisations qui sont concernées : les attaques peuvent également cibler des particuliers.
Ces recommandations ont été élaborées en collaboration avec le Computer Incident Response Center Luxembourg (CIRCL).
Qu’est-ce que le ransomware ?
Un ransomware est un programme malveillant créé dans le but d'obtenir de la victime le paiement d'une rançon. Il met l’ordinateur ou le système d’information de la victime hors de fonctionnement. En pratique, la plupart des ransomwares utilisent des mécanismes cryptographiques pour chiffrer les données de l'ordinateur ou du système, ce qui en rend l'accès ou l'utilisation impossibles. Dans certains cas, les fichiers « backup » présents sur le serveur de sauvegarde sont supprimés. L'attaquant envoie ensuite un message à la victime lui proposant de lui fournir les moyens de déchiffrer les données en échange du paiement d'une rançon. Il peut également effectuer des copies de données stockées dans vos systèmes informatiques afin de pouvoir les divulguer ou les vendre sur le darknet.
Comment fonctionne un ransomware ?
Accès
Les attaques de ransomware sont la plupart du temps des attaques opportunistes, au cours desquelles un attaquant envoie le logiciel malveillant ou des liens vers le logiciel malveillant par courrier électronique à un grand nombre d'adresses e-mail (similaire au spamming). Dans d'autres cas, des attaques ciblées sont menées soit en s'adressant à des utilisateurs spécifiques d’une entreprise, soit en s'introduisant dans l'infrastructure de l’entreprise en exploitant des vulnérabilités de son système informatique.
L’attaquant accède à l’ordinateur ou le réseau de la victime et y installe un logiciel de cryptage malveillant. Le plus souvent, l’attaquant obtient l’accès via :
- l’exécution de pièces jointes malveillantes envoyées par e-mails ;
- les e-mails contenant des URLs (liens), redirigeant vers des documents malveillants ; ou
- l’exploitation de navigateurs Web vulnérables ou d’un composant externe (un script HTML/JavaScript conçu pour créer des éléments spécifiques de l'interface utilisateur, p. ex. de petits widgets, des boutons ou blocs spéciaux, etc.)
Activation
Lorsqu’il est présent sur son « hôte » (le terminal cible), le logiciel malveillant s’activera, parfois longtemps après son installation, et procèdera de manière progressive au chiffrement de tous les fichiers auxquels il aura accès. Ces fichiers seront alors rendus illisibles et la victime ne pourra plus y accéder. Si le ransomware a infiltré un système informatique, p. ex. d’une entreprise, il tentera de se propager sur toutes les ressources accessibles.
Demande de rançon
Généralement, une notification de l’attaquant apparaît alors sur l’écran de la victime, expliquant la rançon et la manière d'effectuer le paiement pour déverrouiller l’ordinateur ou retrouver l'accès aux données. Le paiement est généralement demandé par le biais d'une page web anonyme et généralement en cryptomonnaie, comme le bitcoin.
Ransomware et la protection des données
Une attaque par ransomware entraîne très souvent une violation de données à caractère personnel. Alors que certaines attaques impliquent des informations comme des secrets d’affaires ou des données de processus industriels, les données à caractère personnel sont très prisées par les criminels du fait de leur valeur marchande potentiellement considérable.
S’applique dans ces cas le règlement général sur la protection des données (RGPD). Le RGPD exige de mettre en place des mesures organisationnelles et techniques pour garantir la sécurité des données personnelles, notion qui s’articule autour de trois principes clés : la confidentialité, l’intégrité et la disponibilité. Puisqu’un ransomware accède aux données personnelles et les encrypte, leur disponibilité voire leur confidentialité sont compromises. Il y a alors violation de données à caractère personnel, et l’organisme privé ou public en cause (le responsable du traitement) a l’obligation d’en notifier la CNPD et, le cas échéant, les personnes concernées. (Pour plus d’infos, veuillez cliquer sur « Professionnels » ci-dessous.)
Etant donné la nature confidentielle des notifications de violation qui lui sont soumises par les organisations touchées par une attaque ransomware, la CNPD peut exiger de celles-ci qu’elles informent les personnes concernées, si cela ne s’est pas encore fait jusque-là. Une telle obligation pour le responsable de traitement existe si l’analyse de l’incident indique que la violation est susceptible d'engendrer un risque élevé pour les personnes concernées.