R comme rançongiciel. Pourquoi les entreprises et institutions sont à risque et comment réagir face à ce fléau

  • mai 16, 2016
  • 6 min read

Normalement, à l’hôpital, vous vous attendez à un « état d’urgence » et non à des cas de cybercriminalités. Mais imaginez-vous une seconde que des cybercriminels s’en prennent à des hôpitaux…

L’hôpital est un endroit où vous vous rendez pour demander des conseils ou de l’aide, pour être en sécurité. Vous faites appel aux spécialistes qui y travaillent pour leur expertise et leur professionnalisme, dans l’espoir d’aller mieux. Que se passerait-il alors si cet endroit si sûr venait à être la proie d’un « état de cyberurgence » ? Nous ne cherchons pas à vous effrayer inutilement mais souhaitons vous relater une histoire réelle, telle qu’elle s’est déroulée :

En février 2016 (c’est-à-dire il y a 3 mois), l’Hollywood Presbyterian Medical Centre s’est vu forcé de déclarer un « état d’urgence interne » car un rançongiciel avait pris en otage tous ses fichiers. Aucun employé ne fut plus en mesure d’accéder aux dossiers des patients, ni même aux e-mails. Et l’hôpital finit par ne plus savoir opérer normalement. Imaginez à présent que des médecins n’arrivent pas à accéder aux dossiers de leurs patients, ni leurs historiques médicaux voire les derniers rapports de laboratoire… qu’aucune communication ne puisse se faire entre personnel médical ni avec d’autres centres médicaux. En un mot, un vrai désastre.

rançongiciel en milieu hospitalier

Selon un bulletin d’informations de NBC, le centre hospitalier s’est vu contraint de devoir payer une rançon de quelque 15 000 euros. Le directeur de l’hôpital, Allen Stefanek, a déclaré « Payer cette somme […] était pour nous le moyen le plus rapide et le plus efficace de restaurer notre système informatique et nos fonctions administratives. »  Il confie que l’hôpital a agi ainsi dans le but de pouvoir à nouveau fonctionner normalement. En d’autres termes, leur priorité est de sauver des vies.

Pour mieux comprendre comment une telle attaque a pu se produire, regardons comment les événements se sont déroulés. Le malware a tout d’abord été détecté sur un des ordinateurs de l’hôpital le 5 février. Il a fallu 10 jours pour que le système informatique de l’hôpital fonctionne à nouveau à pleine capacité, la rançon ayant été payée. Nous vous demandons une troisième fois d’imaginer le scénario suivant : un hôpital n’étant pas capable de mener à bien ses activités habituelles de minutes en minutes, simplement à cause d’un « problème informatique ». Le Presbyterian Medical Centre à Hollywood a, en fin de compte, eu de la chance car les soins aux patients n’en ont pas pâti, et il semble qu’aucune donnée de patient n’ait été compromise, selon les dires de l’hôpital dans une déclaration officielle.

Cette histoire n’est malheureusement pas exceptionnelle. Certains services de police américains ont été victimes d’attaques similaires, tout comme des dizaines de milliers de particuliers au quotidien dans le monde entier. Certaines attaques ne sont jamais de notoriété publique car les entreprises touchées ont simplement peur de perdre la confiance de leurs clients. Nous pouvons dans une certaine mesure le comprendre, toutefois cela joue en faveur des développeurs de rançongiciels qui exploitent ainsi la peur et le silence découlant de leurs tactiques malsaines.

De quoi parlons-nous exactement ?

Les rançongiciels : un champ de bataille complexe et difficile.

Lorsque les rançongiciels sont apparus sur le marché, leur tactique consistait simplement à verrouiller l’écran de l’utilisateur et demander que soit payée une rançon de l’ordre de 100 à 200 $ pour le déverrouillage. Simple comme bonjour. Malheureusement pour les pirates, des solutions logicielles de déverrouillage étaient souvent disponibles et il était alors facile de ne pas payer la rançon. Aujourd’hui, les rançongiciels sont de plus en plus complexes et difficiles à déchiffrer. Nous vous expliquons pourquoi.

Les rançongiciels : une vraie bombe à retardement. Littéralement.

Les rançongiciels contemporains utilisent souvent un compte à rebours pour mettre la pression sur les utilisateurs ou les départements informatiques. Ce décompte indique le court délai restant pour le paiement de la rançon, comme 48 heures par exemple. La victime a peu de temps pour trouver une solution, ce qui fait qu’elle se sent obligée de payer la somme demandée sous peine de perdre ses données.

Il est impossible de joindre un cybercriminel qui vit sur le(s) nuage(s).

Les nouveaux rançongiciels sont généralement difficiles à déchiffrer sans paiement de rançon car les infos chiffrées sont stockées sur des serveurs sur le cloud, auxquels il est impossible d’accéder à temps ou tout court. Craquer le mot de passe de force (c’est-à-dire essayer toutes les combinaisons imaginables) est impossible car le chiffrage est complexe et ne peut être décodé dans un laps de temps raisonnable, même en utilisant les meilleurs superordinateurs au monde.

On dirait bien que le crime est parfait.

Nous pouvons lire autant d’articles que l’on veut sur ce monde continuellement sous surveillance, écouter toutes les histoires que l’on nous raconte et même dans une certaine mesure avoir peur, mais, dans ce cas-ci malheureusement, « Big Brother » ne sait pas tout. En fait, l’extorsion via Bitcoin donne aux pirates un moyen de paiement intraçable.

instructions_paiement_rançongiciel

Si vous voyez cet écran vous devez réagir très vite.

Les meilleures victimes pour les rançongiciels : les entreprises

Selon Security Magazine et le FBI (le principal service américain de police judiciaire et un service de renseignement intérieur), 2016 connaît déjà une recrudescence en matière de rançongiciels. Logiquement, les pirates et cybercriminels visent plutôt les entreprises et les institutions que les particuliers.

Pourquoi les entreprises sont-elles des cibles de choix ?

Les rançongiciels, une menace mondiale visant les entreprises et les particuliers

Combien cela coûte-t-il pour ne pas tomber dans les mailles du filet des rançongiciels ?

Les sommes varient grandement d’une attaque à l’autre, de quelque 200 € pour les particuliers à des sommes bien plus importantes et plus courantes, comme les 15 000 € payés par l’Hollywood Presbyterian Medical Centre, comme indiqué précédemment.

Nous avons déjà relaté maintes histoires sur les rançongiciels et le contenu ne cesse de changer. Emsisoft a écrit son premier article sur le sujet en 2011. Nous avons continué de traiter le sujet en 2013 et publié depuis des dizaines d’articles sur notre blog concernant toute une panoplie de ces logiciels malveillants. Nous ne sommes pas les seuls à dire que ce type de malware devient de plus en plus sophistiqué et donc une plus grande menace. Malheureusement, les principales sources d’actualités tirent la même conclusion.

Assez parlé, agissons : Que pouvez-VOUS faire pour éviter d’être la victime d’un rançongiciel ?

Pour éviter de se faire piéger, il est essentiel de veiller à ce que tous les logiciels sur votre ordinateur, comme Skype ou Adobe Reader par exemple, soient à jour, en installant la dernière version disponible. Faites-le maintenant, sérieusement !

Ensuite, installez un anti-malware de qualité et à jour, comme l’Emsisoft Anti-Malware ou l’Emsisoft Internet Security, capable de détecter les comportements inhabituels et d’empêcher la majorité des attaques. Cela dit, de par la nature des rançongiciels, aucun logiciel n’est en mesure d’offrir une protection imparable contre ce type de malware.

Comment Emsisoft contribue-t-il à empêcher les attaques de rançongiciels sur votre ordinateur ?

Tout rançongiciel exécuté sur un système à jour (nous nous répétons mais c’est nécessaire, procédez à une mise à jour maintenant si le vôtre ne l’est pas) doté de l’Emsisoft Anti-Malware ou de l’Emsisoft Internet Security, sera stoppé net avant d’avoir pu chiffrer une seule donnée de l’utilisateur. L’analyse de comportement d’Emsisoft est conçue pour détecter tout type de rançongiciel. Pour vous le prouver, nous avons enregistré comment Emsisoft se défend contre 20 types de rançongiciels.

Que faire en cas d’attaque par un rançongiciel ?

Notre équipe de recherche, et Fabian Wosar en particulier, développe des décodeurs pour les dernières versions de rançongiciels en date. Nous vous suggérons d’ajouter cette page à vos favoris afin d’avoir toujours à portée de mains les derniers décodeurs élaborés par Emsisoft.

Vous pouvez également demander aide et assistance à nos chers amis de Bleeping Computer qui mettent souvent en avant les décodeurs d’Emsisoft.

Toute l’équipe d’Emsisoft se soucie réellement de vous, de votre entreprise et des potentielles menaces qui vous guettent. Alors si vous rencontrez des problèmes, contactez-nous immédiatement !

Fran Rajewski

What to read next

Reader Comments