Accéder au contenu Cybermalveillance.gouv.fr Assistance et prévention du risque numérique

Qu’est-ce qu’un ransomware ou rançongiciel ?

Publié le 2 mars 2022

4680 Temps de lecture : 13 min

Aujourd’hui considérée comme étant l’une des cybermenaces les plus plébiscitées par les cybercriminels, le rançongiciel ou ransomware en anglais est un type d’attaque informatique qui bloque l’accès à l’appareil ou aux fichiers d’une victime et qui exige le paiement d’une rançon en échange du rétablissement de l’accès. 

L'affichage du contenu tiers "dailymotion" a été bloqué conformément à vos préférences.

Vous pensez être victime d’un ransomware
Notre dispositif conseille et oriente les victimes de cybermalveillance :

Ransomware ou rançongiciel : définition

Un rançongiciel ou ransomware en anglais est un code malveillant qui bloque l’accès à votre appareil ou à des fichiers en les chiffrant et qui vous réclame le paiement d’une rançon pour obtenir le déchiffrement de vos données. L’appareil peut être infecté de différentes façons : 

  • après l’ouverture d’une pièce-jointe frauduleuse ou d’un lien malveillant reçu par email ;
  • lors d’une navigation sur des sites compromis ;
  • suite à une intrusion informatique sur le système de la victime.

Dans la majorité des cas, les cybercriminels exploitent des vulnérabilités connues dans les logiciels, mais dont les correctifs n’ont pas été mis à jour par les victimes.

Doit-on dire « chiffrer » ou « crypter » ?

Les termes « crypter » ou « cryptage » sont souvent utilisés. Pourtant, il s’agit d’abus de langage. En effet, les termes corrects sont « chiffrer » et « chiffrement » lorsque l’on parle par exemple d’un fichier transformé pour le rendre incompréhensible ou inexploitable pour celui qui ne possède pas la « clé de déchiffrement ».

Dans le cas d’attaque par rançongiciel, les cybercriminels chiffrent donc les données des victimes et leur demandent une rançon en échange de la clé de déchiffrement qui permettra d’en retrouver l’accès.

1. En quoi consiste une attaque par rançongiciel ? 

L'affichage du contenu tiers "dailymotion" a été bloqué conformément à vos préférences.

Lors d’une attaque par rançongiciel, le cybercriminel met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner de manière annoncée réversible. Les utilisateurs perdent ainsi le contrôle de toutes les informations stockées sur l’appareil. L’attaquant adresse alors généralement un message à la victime en lui proposant de lui fournir le moyen de déchiffrer ses données contre le paiement d’une rançon. Les pirates informatiques demandent des rançons à la victime en échange de l’accès rendu aux données corrompues, et dans certains cas de plus en plus fréquents pour accentuer la pression sur la victime, ils menacent de rendre public les données dérobées. Les pirates exigent que la rançon soit payée en cryptomonnaie (en Bitcoin, Monero ou Ethereum par exemple), car l’utilisation de ces monnaies virtuelles peut leur garantir un certain anonymat et compliquer fortement la tâche des autorités pour les tracer.

Aujourd’hui les attaques par rançongiciels font principalement suite à une intrusion dans le réseau de la victime. Suite à cela, les cybercriminels vont discrètement mener une reconnaissance pour identifier les actifs numériques importants de la victime et ses sauvegardes avant de déclencher leur attaque. Cette phase de reconnaissance peut durer plusieurs jours, voire plusieurs semaines. Les attaques sont généralement déclenchées durant une période identifiée par les cybercriminels de moindre activité de la victime (la nuit, le week-end…), afin de maximiser les chances qu’elles ne puissent pas être détectées et interrompues.

Les rançongiciels

Les rançongiciels

Apprenez à vous prémunir des rançongiciels grâce à notre fiche réflexe consacrée au sujet.

Publié le 08/04/2021PDF 117 KoTélécharger

2. Faut-il payer la rançon ?

Il faut savoir que le paiement de la rançon ne résout généralement pas le problème. En effet, rien ne garantit jamais que les cybercriminels ne vont pas disparaître une fois l’argent empoché, et dans bien des cas, les moyens donnés ou informations données par les cybercriminels ne permettent pas toujours de récupérer les accès ou fichiers bloqués. Par ailleurs, les cybercriminels peuvent demander d’autres versements encore plus importants après un premier paiement. En effet, payer indique aux cybercriminels que vous êtes un “bon client” et donc les encourage à essayer de vous attaquer à nouveau. Enfin, payer une rançon, c’est donner les moyens financiers aux cybercriminels de continuer de développer leurs activités mafieuses. Pour toutes ces raisons, le paiement des rançons est toujours vivement déconseillé.

3. Un coût financier pour les victimes d’attaques

Rançon mise à part, ces cyberattaques représentent toujours un coût très important pour les victimes. Ce coût est principalement lié : 

  • à l’indisponibilité du système touché ;
  • au coût de la récupération ou reconstitution des données ;
  • aux investissements indispensables de sécurisation des systèmes touchés pour éviter qu’une telle attaque ne puisse se reproduire. 

Quel est le but recherché par les cybercriminels ? 

1. L’appât du gain 

La finalité d’un rançongiciel est avant tout lucrative. Les cybercriminels cherchent en effet à extorquer de l’argent à la victime en échange de la promesse (pas toujours tenue) de retrouver l’accès aux données corrompues. « Si les montants des rançons peuvent varier fortement en fonction des rançongiciels employés et des victimes impactées, les bénéfices générés sont estimés entre quelques millions et plus d’une centaine de millions de dollars par groupe d’attaquants », note l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans un rapport publié en février 2021. Plus difficile à estimer, le coût de la mise en œuvre oscillerait entre quelques dizaines et quelques centaines de milliers d’euros. Dans certains cas, les cybercriminels volent également une partie ou l’ensemble des données chiffrées afin de les revendre à d’autres cybercriminels ou à la concurrence et maximiser leur profit. 

2. Une manœuvre de déstabilisation

Dans de plus rares cas, les attaques visent parfois simplement à endommager le système de la victime pour lui faire subir des pertes d’exploitation et porter atteinte à son image. 

Quelles sont les cibles visées ?

1. Ransomwares : un fléau pour les professionnels 

À l’origine, la plupart des attaques par rançongiciels étaient opportunistes, tirant profit de l’arsenal en sécurité informatique peu développé de leurs victimes. Depuis 2018, on observe néanmoins une augmentation de ces attaques menées par des groupes cybercriminels qui ciblent désormais principalement les organisations aux moyens financiers importants ou aux activités particulièrement critiques et auxquels, des rançons beaucoup plus importantes peuvent être demandées. En effet, si les ransomwares ciblaient auparavant les particuliers, il semblerait aujourd’hui qu’ils soient principalement devenus un fléau pour les professionnels comme le constate Cybermalveillance.gouv.fr dans son rapport d’activité 2020« Sixième menace recensée par Cybermalveillance.gouv.fr en 2019, les attaques par rançongiciels ont pris une ampleur considérable en 2020, devenant la principale menace à laquelle les professionnels ont été confrontés cette année-là, que ce soit dans le secteur privé ou le secteur public. A contrario, les attaques par rançongiciels ont peu touché les particuliers en 2020 avec moins de 1 % des recherches d’assistance pour cette catégorie de public. » . En 2021 cette tendance s’est encore renforcée.

2. Les attaques ciblées dites « Big Game Hunting » 

Depuis 2020, les attaques par rançongiciels ont frappé des victimes de tous secteurs et de toutes tailles : grands groupes, PME, grandes métropoles, petites collectivités, associations… Si « aucun secteur d’activité ni zone géographique n’est épargné, il est observé une hausse des attaques à l’encontre des collectivités locales, du secteur de l’éducation, du secteur de la santé et d’entreprises de services numériques », observe l’ANSSI. Un développement important qui laisse à penser que la tendance devrait continuer de perdurer, et même s’accentuer, s’agissant d’un secteur particulièrement lucratif pour les cybercriminels. Les rançongiciels sont même entrés dans la catégorie des attaques dites « Big Game Hunting » (chasse au gros gibier en anglais) en raison de l’importance de certaines de leurs cibles. Si le montant moyen d’une demande de rançon s’élève à plusieurs milliers d’euros, les demandes de rançon d’une attaque de type « Big Game Hunting » sont proportionnelles aux moyens financiers de l’entité victime et peuvent atteindre jusqu’à plusieurs millions voire dizaines de millions d’euros.

3. Une réponse collective

Ces dernières années, la riposte s’est organisée et la coopération des victimes avec les autorités (judiciaires, policières, nationales et internationales) ont permis l’arrestation de nombreux cybercriminels et le démantèlement de groupes d’attaquants spécialisés dans les rançongiciels. Pour les victimes d’attaque par rançongiciel, le dépôt de plainte reste donc primordial car toute information sur l’incident sera utile aux enquêteurs dans leurs investigations pour en identifier et retrouver les auteurs.

A lire aussi
Photos, fichiers, messages… : comment protéger ses données numériques grâce aux sauvegardes ?

Photos, fichiers, messages… : comment protéger ses données numériques grâce aux sauvegardes ?

Voir l’actualité