Par Marc-André Gagnon, spécialiste en sécurité de l’information.
Combien seriez-vous prêt à payer pour récupérer votre travail de fin de session ? Vos photos et vidéos de famille ? Les documents de votre entreprise ?
C’est ce que vous devrez considérer si vous êtes confronté à un rançongiciel (ransomware). Il s’agit d’une forme de virus informatique en forte progression, qui a pour but de bloquer l’accès à vos précieuses données en les chiffrant selon les meilleures pratiques de l’industrie. Vous ne pourrez alors plus accéder à vos fichiers sans les déchiffrer, et pour ce faire, il faut obtenir la clé de déchiffrement. Cette clé vous sera (peut-être) remise par le créateur du virus en échange d’une rançon. Vous devrez généralement payer la rançon en monnaie virtuelle (généralement Bitcoin). En dollars, calculez entre 500$ et 1000$ pour une rançon typique.
Pour une entreprise, les montants demandés sont encore plus élevés, de l’ordre de 10 000$ et plus.
Vous aurez généralement entre 24 et 72 heures pour payer, et le montant demandé pourrait même augmenter au fil du temps.
Vous comprenez donc qu’il s’agit d’une forme d’extorsion très lucrative pour les fraudeurs.
Figure 1 - Message de rançon pour WannaCry
Soyez vigilant
Comme tout virus informatique, il existe de multiples façons d’attraper un rançongiciel, particulièrement :
- Par courriel (une pièce jointe ou un lien vers un document infecté).
- Un logiciel téléchargé d’une source non officielle, par exemple BitTorrent.
- Un site légitime, qui devient temporairement compromis, peut vous proposer d’installer un logiciel malicieux, comme une fausse mise à jour Adobe Flash.
- Être sur le même réseau qu’un ordinateur infecté, particulièrement si votre appareil n’est pas à jour.
- Une application malicieuse sur le Google Play Store ou l’Apple App Store.
Les plateformes Windows et Android sont les plus ciblées par ces virus. Il existe cependant quelques variantes pour Apple OSX et IOS.
Il faut donc demeurer vigilant dans nos comportements. Il est également important d’avoir un antivirus actif et à jour. Il n’y a plus d’excuses à ce sujet, puisque Microsoft fournit Windows Defender gratuitement.
Que faire en cas d’infection ?
La première chose à faire : débrancher votre clé USB, disque externe, câble réseau et éteignez votre WiFi. Le but est d’empêcher le rançongiciel de chiffres vos données sur vos dossiers synchronisés (Google Drive, OneDrive, iCloud, Dropbox, etc.), vos périphériques et les autres appareils sur votre réseau. Si vous utilisez un poste d’entreprise (ou si vous êtes au bureau), avisez immédiatement l’équipe de soutien technique. L’opération de chiffrement de vos données prend un certain temps, alors si vous venez tout juste d’être infecté, éteignez votre ordinateur et vous pourrez peut-être contenir les dégâts.
Ne payez pas la rançon. Vous n’avez aucune garantie que vous récupérerez vos données. N’oubliez pas que vous transigerez avec un fraudeur malhonnête, ne vous attendez pas à un service après-vente ! D’ailleurs, certaines variantes de rançongiciel de ne sont mêmes pas prévues pour vous permettre de déchiffrer vos données après le paiement, il s’agit seulement d’un bluff !
Si vous pouvez, apportez votre ordinateur dans un centre de réparation afin de valider si votre ordinateur possède des fichiers récupérables. Certains rançongiciels sont meilleurs (pires) que d’autres.
En fin de compte, la seule stratégie viable à 100% consiste à tout réinstaller et restaurer vos données à partir de vos sauvegardes. Encore faut-il avoir des sauvegardes !