Accéder au contenu Cybermalveillance.gouv.fr Assistance et prévention du risque numérique

Rançongiciel ou ransomware, que faire ?

Publié le 20 Nov 2019

cryptolocker rançongiciel ransomware

Temps de lecture : 19 min

Un rançongiciel ou ransomware est un logiciel malveillant ou virus qui bloque l’accès à l’ordinateur ou à ses fichiers et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. Que faire en cas de ransomware ? Isoler les équipements touchés, ne pas payer la rançon, préserver les preuves, identifier l’origine, déposer plainte…

« La minute Info » sur le thème des rançongiciels (ransomware) réalisée en partenariat avec l’Institut National de la Consommation
Vous souhaitez vous faire aider par un
professionel spécialisé ?

1. Ransomware ou rançongiciel : définition

Les rançongiciels ou ransomwares sont des logiciels malveillants qui bloquent l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclament à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. La machine peut être infectée après l’ouverture d’une pièce jointe, ou après avoir cliqué sur un lien malveillant reçu dans des courriels, ou parfois simplement en naviguant sur des sites compromis, ou encore suite à une intrusion sur le système. Dans la majorité des cas, les cybercriminels exploitent des vulnérabilités connues dans les logiciels, mais dont les correctifs n’ont pas été mis à jour par les victimes.

But recherché :

Extorquer de l’argent à la victime en échange de la promesse (pas toujours tenue) de retrouver l’accès aux données corrompues. Certaines attaques visent parfois simplement à endommager le système de la victime pour lui faire subir des pertes d’exploitation et porter atteinte à son image.

2. Comment s’en protéger ? 

  • 1. Appliquez de manière régulière et systématique les mises à jour de sécurité

    du système et des logiciels installés sur votre machine.

  • 2. Tenez à jour l’antivirus et configurez votre pare-feu.

    Vérifiez qu’il ne laisse passer que des applications, services et machines légitimes.

  • 3. N’ouvrez pas les courriels, leurs pièces jointes et ne cliquez par sur les liens

    provenant de chaînes de messages, d’expéditeurs inconnus ou d’un expéditeur connu, mais dont la structure du message est inhabituelle ou vide.

  • 4. N’installez pas d’application ou de programme « piratés »

    ou dont l’origine ou la réputation sont douteuses.

  • 5. Évitez les sites non sûrs ou illicites

    tels ceux hébergeant des contrefaçons (musique, films, logiciels…) ou certains sites pornographiques qui peuvent injecter du code en cours de navigation et infecter votre machine.

  • 6. Faites des sauvegardes régulières

    de vos données et de votre système pour pouvoir le réinstaller dans son état d’origine au besoin.

  • 7. N’utilisez pas un compte avec des droits « administrateur »

    pour consulter vos messages ou naviguer sur Internet.

  • 8. Utilisez des mots de passe suffisamment complexes et changez-les régulièrement,

    mais vérifiez également que ceux créés par défaut soient effacés s’ils ne sont pas tout de suite changés.

  • 9. Éteignez votre machine lorsque vous ne vous en servez pas.

Vous êtes un professionnel et souhaitez
sécuriser votre installation informatique ?

3. Victime d’un rançongiciel ou d’un ransomware, que faire ?

  1. Débranchez la machine d’Internet ou du réseau informatique. Pour cela débranchez le câble Ethernet de votre ordinateur ou de votre serveur, ou bien désactivez la connexion Wi-Fi de votre appareil.

  2. En entreprise, alertez immédiatement votre service ou prestataire informatique si vous en disposez afin qu’il puisse intervenir et prendre les mesures nécessaires si besoin.

  3. Ne payez pas la rançon réclamée car vous n’êtes pas certain de récupérer vos données et vous alimenteriez le système mafieux. 

  4. Conservez ou faites conserver les preuves par un professionnel, notamment un exemple de message piégé, les fichiers de journalisation (logs) de votre pare-feu, des copies physiques des postes ou serveurs touchés (à défaut, conservez leurs disques durs), et quelques fichiers chiffrés qui pourront vous servir pour signaler cette attaque aux autorités et qui seront des éléments d’investigation.

  5. Déposez plainte : en parallèle de la résolution technique de votre incident, déposez plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez. Vous pouvez également adresser votre plainte par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.

    Si vous êtes un particulier, vous pouvez être accompagné gratuitement dans cette démarche par une association de France Victimes au 116 006 (appel et service gratuits), numéro d’aide aux victimes du ministère de la Justice. Service ouvert 7 jours sur 7 de 9h à 19h.

    Faites-vous, au besoin, assister par un avocat spécialisé. Il est important de garder à l’esprit que le dépôt de plainte doit intervenir avant la réinstallation des appareils touchés, de manière à conserver les preuves techniques de l’incident et pouvoir les fournir aux enquêteurs.

  6. Professionnels – Notifiez cette infection à la CNIL s’il y a eu une violation de données à caractère personnel : si l’attaque par un rançongiciel a pour conséquence une indisponibilité, une modification ou une suppression de données à caractère personnel, et/ou si les données sont divulguées de manière illicite (pour faire pression pour le paiement de la rançon par exemple), vous pourriez être dans l’obligation de notifier l’incident à la CNIL voire aux personnes concernées. Vous devrez notamment préciser :
    – la nature de la violation,
    – les catégories et le nombre approximatif de personnes concernées par la violation,
    – les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés,
    – les conséquences probables de la violation de données,
    – les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.

  7. Identifiez la source de l’infection et prenez les mesures nécessaires pour qu’elle ne puisse pas se reproduire. En règle générale, l’infection peut provenir de l’ouverture d’une pièce jointe ou d’un clic sur un lien malveillant contenu dans un courriel (mail), l’utilisation d’une faille de sécurité, en naviguant sur un site malveillant ou bien encore d’une intrusion dans le système informatique depuis ses accès ouverts sur l’extérieur (travail à distance, maintenance…).

  8. Faites une analyse antivirale complète de votre appareil : réalisez une analyse approfondie de votre appareil avec votre antivirus. Au préalable, n’oubliez pas de le mettre à jour.

  9. Essayez de déchiffrer les fichiers si une solution existe. Le site No More Ransom peut fournir des solutions de déchiffrement qui peuvent fonctionner dans certains cas.

  10. Réinstallez les systèmes touchés : en cas de doute, effectuez une restauration complète de votre ordinateur. Reformatez les postes ou serveurs touchés, effectuez ou faites effectuer une réinstallation complète de ces équipements puis restaurez les données depuis une sauvegarde réputée saine.

  11. Faites-vous assister au besoin par des professionnels qualifiés. Vous trouverez sur www.cybermalveillance.gouv.fr des professionnels en cybersécurité susceptibles de pouvoir vous apporter leur assistance.

Témoignage d’une victime de rançongiciel

« Je dirige un cabinet d’avocats d’une dizaine de salariés. En arrivant le lundi matin suite à un pont du nouvel an, nous n’avions plus d’informatique. Tous nos fichiers avaient été chiffrés durant le week-end et des pirates nous demandaient une rançon pour les récupérer. Nous avons immédiatement contacté notre prestataire informatique pour qu’il restaure nos sauvegardes, mais il n’a rien pu faire car notre serveur de sauvegardes avait également été attaqué. La situation était dramatique pour notre activité car nous avions des affaires à plaider et tous les dossiers de nos clients avaient été détruits. Nous avons compris par la suite que les pirates étaient rentrés dans notre réseau par nos accès à distance. Nous avons mis plusieurs semaines pour retrouver un fonctionnement normal et une partie importante de nos archives a été perdue. »

Dirigeant d’un cabinet d’avocats de la région Ile-de-France

4. Quelles infractions peuvent-être retenues contre les cybercriminels ?

En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :


• De tels procédés relèvent de l’extorsion de fonds et non de l’escroquerie. En effet, ils se caractérisent par une contrainte physique – le blocage de l’ordinateur ou de ses fichiers – obligeant à une remise de fonds non volontaire. L’article 312-1 du code pénal dispose que : « l’extorsion est le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque. L’extorsion est passible de sept ans d’emprisonnement et de 100 000 euros d’amende ».

• L’infraction d’atteinte à un système de traitement automatisé de données (STAD) peut aussi être retenue. Les articles 323-1 à 323-7 du Code pénal disposent notamment que : « le fait d’accéder ou de se maintenir frauduleusement » dans un STAD, « la suppression ou la modification de données contenues dans le système », « le fait […] d’extraire, de détenir, de reproduire, de transmettre […] les données qu’il contient » ou « l’altération du fonctionnement de ce système » sont passibles de trois à sept ans d’emprisonnement et de 100 000 à 300 000 euros d’amende.
– La tentative de ces infractions est punie des mêmes peines (article 323-7 du Code pénal).
– Lorsque ces infractions ont été commises en bande organisée (article 323-4-1 du Code pénal), la peine peut être portée à dix ans d’emprisonnement et à 300 000 euros d’amende.

5. Nos supports sur le ransomware

Les rançongiciels en infographie

Les rançongiciels en infographie

Apprenez rapidement à faire face aux rançongiciels grâce à notre infographie.

Publié le 28/07/2021PDF 97 KoTéléchargerLire
Les rançongiciels ou ransomwares

Les rançongiciels ou ransomwares

Apprenez à vous prémunir des rançongiciels grâce à notre fiche réflexe consacrée au sujet.

Publié le 26/06/2023PDF 160 KoTéléchargerLire
Les rançongiciels en fiche mémo

Les rançongiciels en fiche mémo

Apprenez rapidement à faire face aux rançongiciels grâce à notre fiche mémo.

Publié le 08/04/2021PDF 198 KoTéléchargerLire

Pour informer et sensibiliser les publics sur les menaces numériques, Cybermalveillance.gouv.fr met à disposition divers contenus thématiques : des supports variés pour  comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre cybersécurité.
> Consulter la liste de l’ensemble des ressources mises à disposition par le dispositif.

Avez-vous trouvé cet article intéressant et utile ?
* le commentaire ne sera pas visible aux yeux de tous

Autres Fiches réflexes

AIDE RECOMMANDEE

QUESTIONS REPONSES - Contextualisées

QUESTIONS GENERALES