academy
Sécurité
Sécurité
Voir tous les Sécurité articles
Confidentialité
Confidentialité
Voir tous les Confidentialité articles
Performances
Performances
Voir tous les Performances articles
Choisir la langue
Choisir la langue
Avast Academy Sécurité Ransomwares Guide indispensable sur les ransomwares

Guide de base sur les ransomwares

Les ransomwares sont l’une des cybermenaces les plus présentes aujourd’hui : ils kidnappent vos fichiers et les retiennent en otage jusqu’à ce que vous payiez. Pour protéger vos fichiers et vos données, apprenez ce que sont les ransomwares, comment ils fonctionnent et comment vous pouvez les empêcher d’infecter votre appareil grâce à un outil antimalware de premier plan comme Avast One.

What_is_Ransomware-Hero

Qu’est-ce qu’un ransomware ?

Un ransomware est un type de malware, c’est-à-dire un programme malveillant, qui chiffre des fichiers, voire tout un ordinateur, puis exige une rançon en échange de l’accès aux fichiers ou à l’ordinateur. Les ransomwares utilisent le chiffrement pour bloquer l’accès aux fichiers ou aux ordinateurs infectés rendus inutilisables par la victime. Ils s’attaquent en général à tous les types de fichiers, qu’il s’agisse de documents personnels ou professionnels.

Hamburguer menu icon

Cette article contient :

    Une fois que le ransomware a mené à bien son attaque, les pirates ou les cybercriminels qui en sont à l’origine contactent la victime pour lui communiquer leurs exigences, en promettant de débloquer son ordinateur ou de déchiffrer ses fichiers une fois la rançon payée, en général en bitcoins ou autre cryptomonnaie.

    Bien que la prise de conscience générale du danger croissant que représentent les ransomwares remonte au milieu des années 2000, les attaques de ransomwares ciblent les particuliers, les entreprises et les gouvernements depuis plusieurs décennies. La première attaque de ransomware attestée, connue sous le nom de AIDS Trojan (cheval de Troie SIDA) ou PC Cyborg, a été lancée en 1989 par le Dr Joseph Popp, un biologiste de l’évolution formé à Harvard.

    Le Dr. Popp stockait son virus sur des disquettes qui semblaient contenir un programme d’enseignement sur le SIDA, puis envoyait par courrier les disquettes infectées à ses victimes. Une fois activé, le ransomware AIDS Trojan chiffrait les fichiers sur l’ordinateur de la victime et exigeait une rançon de 189 USD pour les débloquer.

    La demande de rançon d’AIDS Trojan de 1989.La demande de rançon d’AIDS Trojan. (Source : Wikipédia)

    Actuellement, les pirates ont facilement accès à des ransomwares open source. Les attaques réussies peuvent être extrêmement lucratives, permettant à certains pirates de gagner des millions de dollars et forçant des particuliers, des entreprises et des administrations à réparer les dégâts. Les retombées potentielles pour les cybercriminels ont conduit à une forte augmentation des attaques de ransomwares.

    La pandémie de COVID-19 a provoqué un autre pic d’attaques, certains cybercriminels ciblant les hôpitaux, ne faisant ainsi qu’empirer une situation déjà compliquée.

    Comment les ransomwares infectent votre appareil

    Certains types de ransomwares peuvent s’infiltrer sur votre appareil sans aucune action de votre part. D’autres attaques de ransomwares reposent sur des méthodes plus traditionnelles d’infection par un malware.

    Voici un aperçu du fonctionnement des différents types de ransomwares :

    • Kits d’exploitation : des développeurs malintentionnés créent des kits d’exploitation pour tirer parti des vulnérabilités de certaines applications, certains réseaux ou certains appareils. Ce type de ransomware peut infecter n’importe quel appareil connecté à un réseau et exécutant un logiciel obsolète. Tenez donc vos systèmes et vos applications à jour pour protéger votre matériel et vos fichiers de ce genre d’attaque.

    • Le phishing : dans les attaques de phishing, ou hameçonnage, le cybercriminel se fait passer pour un contact ou une organisation de confiance et vous envoie un e-mail contenant une pièce jointe ou un lien en apparence tout à fait légitime. Ce type d’attaque par ingénierie sociale contient souvent un faux formulaire de commande, un faux reçu ou une fausse facture.

      En général, les pièces jointes ont des extensions de fichier qui les font apparaître comme des fichiers PDF ou des fichiers Microsoft Office (XLS, DOCX), mais il s’agit en réalité de fichiers exécutables déguisés. Lorsque vous téléchargez et que vous ouvrez ce fichier, l’attaque du ransomware se déclenche.

      Exemple d’e-mail de phishing avec un lien malveillantLes e-mails de phishing contiennent souvent des pièces jointes et des liens qui paraissent authentiques.

    • Publicités malveillantes : les pirates peuvent distribuer les malwares en les intégrant à de fausses publicités. On parle alors de malvertising, c’est-à-dire de publicité malveillante. Et même les sites les plus dignes de confiance peuvent être affectés par ces attaques de malvertising.

      Alors que certaines publicités malveillantes ne sont capables d’installer le ransomware sur votre appareil que si vous cliquez sur la publicité, d’autres peuvent tout à fait télécharger le ransomware dès qu’elles se chargent sur la page web, sans même que vous ayez à cliquer dessus. Utilisez un bloqueur de publicités, par exemple celui qu’utilise Avast Secure Browser, pour vous protéger de ces publicités malveillantes.

    • Téléchargements furtifs : les cybercriminels peuvent implanter des malwares sur des sites web de sorte que lorsque vous les consultez, le site télécharge automatiquement et secrètement le malware sur votre appareil. Si votre navigateur et vos applications sont obsolètes, vous êtes particulièrement vulnérable face à cette technique, d’où l’intérêt d’un antivirus gratuit.

    L’attaque peut ne pas commencer immédiatement. Certains ransomwares sont conçus pour rester en sommeil dans votre appareil afin de vous empêcher d’en localiser la source. Par exemple, la souche d’AIDS Trojan ne s’activait pas avant le 90e redémarrage des ordinateurs qu’elle avait infectés.

    Comment fonctionne une attaque de ransomware

    Une fois le ransomware sur votre appareil, la prise d’otage commence. En fonction de la souche, l’attaque du ransomware chiffre certains fichiers uniquement ou bien elle verrouille l’intégralité de votre ordinateur. Le ransomware présente ensuite une demande de rançon qui exige un paiement en échange d’une clé de déchiffrement.

    Voici les deux temps de l’infection par un ransomware :

    1. Le ransomware chiffre vos fichiers. Il brouille les fichiers ou la structure des fichiers pour les rendre inutilisables jusqu’à ce que vous les déchiffriez. Les ransomwares ont tendance à utiliser des méthodes de chiffrement des données qui ne peuvent être annulées qu’avec une clé de déchiffrement spécifique. C’est cette clé que le pirate vous demande de payer.

    2. Ensuite, une demande de rançon s’affiche à l’écran dès que le malware a terminé de chiffrer les fichiers. Elle vous précise combien vous devez payer, comment payer cette rançon, mais aussi la date d’échéance. Après cette date, la rançon peut augmenter ou le pirate peut menacer de chiffrer ou de supprimer définitivement vos fichiers.

    Si votre appareil est infecté par un ransomware, toute tentative d’ouverture des fichiers chiffrés se soldera très probablement par un message d’erreur vous informant que vos fichiers sont endommagés, non valides ou introuvables.

    Et il n’y a pas que les utilisateurs de Windows qui doivent s’inquiéter de ce problème. Les ransomwares peuvent aussi affecter les Mac et les appareils mobiles.

    Se préserver des ransomwares

    La meilleure façon de protéger vos appareils est de commencer par empêcher les ransomwares de les infecter. En adoptant de bonnes habitudes sur Internet et en utilisant un outil fiable de prévention des attaques de ransomwares, vous représenterez une cible beaucoup plus difficile à atteindre pour les pirates.

    Notre guide détaillé sur la prévention contre les ransomwares contient tout ce que vous devez savoir pour votre sécurité. Mais voici quand même quelques conseils pour éviter les ransomwares :

    • Maintenez tous vos logiciels à jour. Vérifiez que votre système d’exploitation et que vos applications bénéficient des mises à jour dès leur publication afin de résoudre les failles de sécurité et d’empêcher les pirates d’utiliser des exploits pour mettre en place des ransomwares.

    • Sauvegardez régulièrement votre système. Le ransomware joue sur le fait qu’il bloque l’accès aux fichiers importants. Si vous disposez de sauvegardes en lieu sûr, vous n’aurez pas à payer de rançon. Effectuez des sauvegardes régulières de votre système et de vos fichiers. Les services cloud et le stockage physique sont deux options viables, et si vous le pouvez, vous devriez les utiliser toutes les deux. Si votre appareil vous permet de définir une sauvegarde automatique, faites-le également.

    • Installez un bloqueur de publicités. Équipez votre navigateur d’un des meilleurs bloqueurs de publicités pour vous protéger des publicités malveillantes et des téléchargements furtifs, qui sont deux vecteurs que les ransomwares peuvent utiliser pour s’infiltrer dans votre système.

    • Méfiez-vous de tout. Méfiez-vous des liens bizarres dans les e-mails ou autres systèmes de messagerie. Même si ce lien vient de quelqu’un que vous connaissez, cette personne a peut-être elle-même été piratée. Apprenez à reconnaître les symptômes des sites web peu sûrs et évitez de les consulter.

    • Utilisez un antivirus. Les ransomwares ne peuvent vous affecter que s’ils peuvent vous atteindre. Équipez-vous d’une application de cybersécurité robuste capable de bloquer les malwares et les virus avant qu’ils ne puissent s’approcher de vous. Avast One bloque les liens dangereux, les téléchargements suspects et les sites web non sécurisés. Bénéficiez d’une protection 24 heures sur 24 et ne vous inquiétez plus de savoir si vous allez recevoir une demande de rançon.

    Les types de ransomwares

    Les quatre formes d’attaques par ransomware vont du simple désagrément à la menace de mort. Certains bloquent l’accès à votre ordinateur, tandis que d’autres peuvent détruire vos fichiers et rendre votre système d’exploitation inutilisable. Toutes ont en commun la demande de rançon.

    Même si de nouvelles souches de ransomwares sont en permanence en cours de développement, voici un aperçu des différents types de ransomwares qui sévissent actuellement :

    • Filecoders : connus également sous le nom de chiffreurs, ces programmes représentent 90 % des souches de ransomwares. Les filecoders chiffrent et verrouillent les fichiers présents sur appareils infectés. Les pirates exigent le paiement d’une rançon pour vous donner les clés de déchiffrement, en général avant une date limite après laquelle ils peuvent endommager, détruire ou verrouiller définitivement vos fichiers.

      La demande de rançon de CryptoLockerLa demande de rançon de CryptoLocker.

    • Verrouilleurs d’écran : ils bloquent tout accès à votre appareil. Ces programmes cherchent souvent à donner l’impression de provenir d’une institution gouvernementale, par exemple le ministère de la sécurité intérieure des États-Unis ou de la police, et vous informent que vous avez enfreint la loi et que vous devez payer une amende pour déverrouiller votre appareil.

      Les verrouilleurs d’écran sont désormais plus courants sur les appareils Android que sur les PC Windows, bien que les cybercriminels aient également pris les appareils Apple pour cible avec des verrouilleurs d’écran basés sur le navigateur.

      Exemple de ransomware de type verrouilleur d’écranExemple de ransomware de type verrouilleur d’écran.

    • Doxing : le doxing n’est techniquement pas une forme de ransomware, mais il s’agit d’une menace numérique qui peut impliquer une demande de rançon. Par le biais d’un fichier ou d’un lien malveillant, le cybercriminel accède à vos données personnelles sensibles, y compris vos noms d’utilisateur, mots de passe, numéros de carte bancaire et informations de passeports.

      Un message vous indique alors que si vous ne payez pas, votre agresseur publiera vos informations. Notre outil gratuit Avast Hack Check peut vous dire si l’un de vos mots de passe a été divulgué ou volé. Pour plus de protection, utilisez notre outil contre le vol d’identité, Avast BreachGuard.

      Exemple de doxxing basé sur un malwareExemple de doxing basé sur un malware.

    • Scarewares (alarmiciels) : le scareware est un faux logiciel qui prétend avoir trouvé des problèmes sur votre ordinateur et demande de l’argent pour les résoudre. Il bombarde généralement votre écran de fenêtres contextuelles et de messages d’alerte. Certaines souches se comportent davantage comme des verrouilleurs d’écran qui verrouillent votre ordinateur ou votre appareil mobile jusqu’à ce que vous ayez payé.

    La popularité croissante des ransomwares est en partie due à leur disponibilité et à leur facilité d’utilisation. Les cybercriminels peuvent acheter des outils open source personnalisables qui leur permettent de lancer de nouvelles attaques de malwares. Et les pirates mettent sans relâche à jour leur code pour renforcer le chiffrement, ce qui redonne une nouvelle vie à certaines souches de ransomwares.

    Exemples de ransomwares

    La grande majorité des attaques de ransomware visent les PC Windows. Mais les Mac, les appareils iOS et les appareils Android sont tous touchés. Les sections suivantes présentent quelques exemples de souches de ransomware que les cybercriminels ont déployées au fil des ans.

    Ransomwares PC

    Les PC Windows sont toujours les cibles privilégiées des attaques de ransomwares. Les pirates informatiques peuvent exploiter les vulnérabilités de Windows assez facilement. En outre, on compte beaucoup plus d’utilisateurs de PC que d’utilisateurs de Mac.

    WannaCry

    La souche WannaCry montre l’ampleur que peut prendre une attaque de ransomware sur PC. En mai 2017, le ransomware WannaCry s’est propagé dans le monde entier et a attaqué plus de 100 millions d’utilisateurs, causant au passage des centaines de millions de dollars de dégâts.

    GandCrab

    Apparue en 2018 et ayant visiblement fait plus de 1,5 million de victimes, la famille de ransomwares GandCrab a récemment été neutralisée en 2019 grâce à une coalition de chercheurs en cybersécurité des secteurs public et privé.

    Comme son prédécesseur Cerber, GandCrab fonctionnait sur un modèle de ransomware-as-a-service (RaaS, ransomware en tant que service), dans lequel des apprentis cybercriminels pouvaient le louer en échange d’une partie du butin. Heureusement, avec le déchiffreur maintenant disponible gratuitement en ligne, GandCrab ne représente plus vraiment une menace sérieuse.

    Petya

    Apparue pour la première fois en 2016 et de retour sous une forme plus avancée en 2017, la souche Petya utilise l’approche des verrouilleurs d’écran en chiffrant la table de fichiers maîtres de votre disque dur pour verrouiller votre ordinateur. Certaines versions étaient fournies avec une souche secondaire de ransomware connue sous le nom de Mischa, un filecoder conventionnel qui prenait le relais si Petya n’arrivait pas à s’activer sur l’ordinateur de la victime.

    Popcorn Time

    Comme les pirates utilisant des ransomwares peuvent espérer optimiser leurs profits en infectant le plus d’appareils possible, ils ont commencé à encourager les victimes à en infecter d’autres. La souche Popcorn Time vous demande ainsi d’infecter deux autres utilisateurs avec le malware. Si ces deux utilisateurs paient la rançon, vous récupérez vos fichiers gratuitement.

    La plupart des souches de ransomware les plus connues sont actuellement inactives, grâce aux mises à jour logicielles qui ont corrigé les vulnérabilités exploitées par ces malwares. Mais si vous utilisez encore une ancienne version d’un logiciel, vous êtes vulnérable. Pour en savoir plus sur les différentes souches de ransomware pour ordinateurs Windows, consultez les articles suivants :

    Ransomwares mobiles

    Les attaques de ransomwares sur les appareils mobiles sont de plus en plus fréquentes. En examinant les données du premier semestre 2019, la société de recherche Check Point a constaté une augmentation de 50 % des cyberattaques visant les smartphones et les tablettes par rapport à l’année précédente. En 2019, les utilisateurs d’Android ont été mis en garde contre une nouvelle souche qui infectait les appareils par SMS.

    Les ransomwares s’infiltrent souvent sur les appareils Android par le biais de portails de téléchargement tiers. Mais dans certains cas, des ransomwares ont réussi à se cacher dans des applications apparemment légitimes dans le Google Play Store.

    Ransomwares Apple

    Bien que les appareils Apple soient moins sensibles aux attaques de malwares, leur nombre croissant d’utilisateurs leur vaut une plus grande attention de la part des développeurs de programmes malveillants.

    En 2017, deux entreprises de sécurité ont découvert des ransomwares et des spywares (logiciels espions) visant spécifiquement les utilisateurs Apple. Au cours de leur enquête, les chercheurs ont découvert que des ingénieurs logiciels spécialistes de macOS avaient développé ces programmes et les avaient mis gratuitement à disposition sur le Dark Web.

    Des cybercriminels ont également accédé aux comptes iCloud d’utilisateurs Mac et utilisé le service Localiser mon iPhone pour lancer des attaques de type verrouilleur d’écran.

    Un ransomware est-il un virus ?

    Bien qu’il s’agisse d’un programme malveillant, un ransomware n’est pas un virus. La plupart des gens utilisent le terme virus pour désigner toutes les formes de malwares. En réalité, les virus informatiques ne sont qu’un type de malware, chaque type ayant un comportement différent.

    Les virus, les vers et les chevaux de Troie peuvent tous être des vecteurs de ransomware. Bien que le ransomware puisse être propagé par un virus, ce n’est pas un virus en tant que tel.

    Nos recherches indiquent que la plupart des ransomwares se répandent par le biais de chevaux de Troie, ce qui signifie que le ransomware est caché dans un fichier ou un lien qui semble à la fois inoffensif et suffisamment important pour que vous ayez envie de l’ouvrir. Lorsqu’un ransomware prend la forme d’un ver informatique, il se diffuse automatiquement, comme WannaCry, ou il peut se disséminer par l’intermédiaire de l’utilisateur, comme Popcorn Time.

    Est-il possible de supprimer un ransomware ?

    En fonction de votre appareil et de la souche concernée, vous pourrez peut-être vous débarrasser du ransomware. Le processus de suppression du ransomware est relativement facile, mais la récupération de vos fichiers chiffrés peut parfois être impossible, même après le paiement de la rançon.

    La suppression du ransomware de votre appareil est loin de garantir que vous réussirez à en neutraliser les effets. Si vous êtes confronté à un ransomware, consultez nos guides pour supprimer un ransomware de votre PC et supprimer un ransomware de votre Mac.

    Si vous cherchez un moyen de déverrouiller les fichiers après une attaque par ransomware, cette liste des outils de déchiffrement de ransomware d’Avast peut peut-être vous fournir la solution dont vous avez besoin.

    Dois-je payer la rançon ?

    Nous vous conseillons vivement de ne pas payer la rançon. Et surtout, n’essayez pas de négocier avec le pirate. Si vous cédez à leurs exigences, cela ne fera qu’encourager les cybercriminels à développer et à lancer de nouvelles souches de ransomwares. Ces pirates pourraient également utiliser leurs gains mal acquis pour financer d’autres activités illégales.

    Si vous êtes victime d’un ransomware, ne payez pas la rançon.Si vous êtes victime d’un ransomware, ne payez pas la rançon.

    Le paiement de la rançon ne garantit pas que le pirate supprimera le ransomware ni qu’il déverrouillera votre appareil. Bien qu’ils veuillent avoir la réputation de tenir leur parole pour que les victimes paient facilement, certains pirates ont collecté des rançons et ont disparu ou ont envoyé des clés de déchiffrement inutiles. Vous pourriez même vous retrouver à payer un autre cybercriminel.

    Si vous ne pouvez pas récupérer vos fichiers après une attaque par un ransomware, nous vous conseillons vivement de tenir bon en attendant qu’un outil de déchiffrement soit disponible. Il arrive que le code du ransomware présente une faille dans sa cryptographie et que le logiciel malveillant expose des lignes de code pouvant aider les chercheurs en cybersécurité à publier un correctif.

    Protégez vos données des ransomwares

    Il suffit d’un clic pour télécharger un ransomware sur votre appareil par inadvertance. Une fois que vous l’avez fait, il est trop tard pour riposter, à moins que vous n’ayez déjà installé un programme anti-ransomwares efficace. Renforcez les défenses de votre appareil grâce au puissant Agent anti-ransomwares d’Avast One.

    Il vous préviendra de tout signe de ransomware et autres malwares et les supprimera de votre appareil avant qu’ils ne puissent l’infecter. Protégez vos fichiers importants en choisissant une solution de cybersécurité primée et entièrement gratuite, à laquelle plus de 400 millions d’utilisateurs font déjà confiance.

    Protégez votre appareil Android contre les ransomwares avec Avast One

    INSTALLER GRATUITEMENT

    Protégez votre iPhone contre les cybermenaces avec Avast One

    INSTALLER GRATUITEMENT