Lors d’une conférence sur la sécurité qui s’est tenue la semaine dernière, le FBI a clairement indiqué être relativement impuissant face aux ransomwares, ces logiciels qui chiffrent les données de l’utilisateur avant de lui réclamer une rançon.
Les ransomwares sont devenus une menace « banale » pour les utilisateurs. Il s’agit de petits logiciels que le pirate amène à exécuter par des moyens détournés. Le moyen le plus commode reste une pièce jointe infectée dans un email, et on ne répètera jamais assez qu’il est nécessaire de contrôler la provenance d’un courrier avant d’en ouvrir les fichiers contenus. Notez que l’exécution peut également se faire grâce à l’exploitation d’une faille 0-day, et donc pour laquelle il n’existe pas de correctif durant les premiers temps.
Des attaques qui se répandent
Une fois que le logiciel est lancé, son objectif devient très simple. Dans un premier temps, il chiffre l’ensemble des données importantes. L’utilisateur n’y a donc plus accès. Les données stockées dans le cloud sont épargnées si aucun client de synchronisation n’est installé, sinon les changements sont répercutés également sur les serveurs. Après tout, pour un OneDrive ou un Dropbox, il s’agit simplement de modifications. Dans un deuxième temps, l’utilisateur est invité à payer pour retrouver ses données. Un compte à rebours peut d’ailleurs être présent.
Dans un document datant de juin, le FBI abordait la situation. Son Internet Crime Complaint Center (IC3) confirmait que la tendance était à l’augmentation du nombre de cas et que les victimes se multipliaient. CryptoWall et ses variantes étaient particulièrement impliqués et le centre précisant qu’en un an (entre juin 2014 et 2015), 992 plaintes liées à ce seul ransomware avaient été enregistrées, générant un profit de 18 millions de dollars pour les pirates, soit en moyenne 18 000 dollars par victime.
« Nous conseillons souvent aux gens de payer simplement la rançon »
Le conseil donné était alors de contacter l’antenne locale du FBI. Plusieurs mois plus tard, il n’a pas changé, mais il s’accompagne d’un constat assez défaitiste. Joseph Bonavolonta, en charge de cette lutte dans les bureaux de Boston, participait la semaine dernière au Cyber Security Summit 2015. Il confirmait que ces malwares particuliers étaient redoutables et que les études menées n’avaient pas mené à des résultats probants : « Le ransomware est bon à ce point. Pour être honnêtes, nous conseillons souvent aux gens de payer simplement la rançon ».
Un conseil étonnant, et qui s’oppose clairement à la recommandation en France de l’initiative StopRansomware, soutenue par la Gendarmerie nationale : « Si vous êtes victime d’un rançongiciel, la seule solution est de nettoyer son ordinateur. En outre, il est fort probable que d’autres virus informatiques, plus discrets aient été installés à votre insu ». Mais le FBI n’a pas tout à fait la même analyse. D’une part, les pirates libèrent les données captives dans la plupart des cas. D’autre part, l’augmentation du nombre de victimes fait baisser de manière visible la somme moyenne demandée. Au final, l’utilisateur doit faire un choix basé sur l’importance de ses données.
Car le conseil le plus important est finalement le même que celui donné en France par le ministère de l’Intérieur : sauvegarder ses données. Bonavolonta explique ainsi qu’une entreprise réalisant régulièrement des sauvegardes n’a aucun besoin de payer une rançon : il suffit de restaurer les données depuis le dernier bon état connu. Un antivirus est également essentiel, ne serait-ce que pour scanner ladite sauvegarde et donc ne pas réinstaller le logiciel malveillant.
