Rançongiciel

Exemple de ransomware : Goldeneye Ransomware

Un rançongiciel[1],[2], (ransomware en anglais), logiciel rançonneur[2],[3], logiciel de rançon[2],[4] ou logiciel d'extorsion[2],[5], est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.

Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de débridage soit envoyé à la victime en échange d'une somme d'argent. Les modèles modernes de rançongiciels sont apparus en Russie initialement, mais on constate que le nombre d'attaques de ce type a grandement augmenté dans d'autres pays, entre autres l'Australie, l'Allemagne, les États-Unis.

En novembre 2012, « McAfee, l’éditeur de logiciels de sécurité, rapporte avoir enregistré 120 000 nouveaux échantillons de ce genre de virus au deuxième trimestre 2012, soit quatre fois plus qu’à la même période l’année d'avant. »[6].

Les rançongiciels ont enregistré une augmentation de 36 % entre 2016 et 2017. Au premier semestre 2017, l'entreprise Symantec, spécialisée dans les antivirus, annonce avoir bloqué près de 320 000 rançongiciels, un chiffre en augmentation notamment dû aux différentes attaques de type WannaCry[7].

Mode opératoire

Un rançongiciel se propage typiquement de la même manière qu'un cheval de Troie (Trojan Horse en anglais) : il pénètre le système par exemple via des Web Exploit ou à travers des campagnes d'emails-malicieux. Il exécute ensuite une charge active (payload), par exemple un exécutable qui va chiffrer les fichiers de l'utilisateur sur son disque dur[8],[9],[10],[11]. Des rançongiciels plus sophistiqués utilisent des algorithmes de cryptographie hybride sur les données de la victime, avec une clef symétrique aléatoire et une clef publique fixée. Ainsi, l'auteur du logiciel malveillant est le seul qui connaisse la clef privée qui permette de déchiffrer les documents[12].

Certains rançongiciels n'utilisent pas de chiffrement. Dans ce cas, la payload est une simple application qui va restreindre toute interaction avec le système, couramment en changeant le shell par défaut (explorer.exe) dans la base de registre Windows[13], ou même changer le Master Boot Record (MBR), pour empêcher le système d'exploitation de démarrer tant qu'il n'a pas été réparé[14].

La payload des rançongiciels, plus particulièrement parmi ceux qui n'utilisent pas de technique de chiffrement de fichiers, utilise des tactiques des scarewares pour forcer l'utilisateur à payer pour le rétablissement de ses données. La charge active peut, par exemple, afficher une alerte à l'utilisateur, faussement issue d'une agence gouvernementale qui avertit l'utilisateur que son système a été pris à partie par un pirate informatique, qui aurait effectué des actions illégales ou bien aurait stocké des contenus illégaux comme des contenus pornographiques ou des logiciels piratés[15],[16]. Certains rançongiciels imitent l'apparence de Windows Product Activation, en indiquant que la version de leur logiciel est illégale ou requiert une ré-activation[17].

Dans tous les cas, un rançongiciel va tenter d'extorquer de l'argent à l'utilisateur, en lui faisant acheter soit un programme pour déchiffrer ses fichiers, soit un simple code qui retire tous les verrous appliqués à ses documents bloqués. Les paiements sont le plus souvent effectués sous la forme de virement bancaire, de SMS surtaxés[18], d'achats de monnaie virtuelle comme le bitcoin[11] ou encore l'acquittement préalable d'une somme donnée effectuée par le biais de sites de paiement en ligne tels que Paysafecard ou Paypal[19],[20],[21].

Après avoir connu une hausse continue, la moyenne des rançons exigées se stabilise, en 2017, aux alentours des 550 dollars[7].

Dans d'autres langues
Afrikaans: Losprysware
العربية: رانسوم وير
भोजपुरी: रैनसमवेयर
čeština: Ransomware
dansk: Ransomware
Deutsch: Ransomware
English: Ransomware
español: Ransomware
eesti: Lunavara
euskara: Ransomware
galego: Ransomware
हिन्दी: रैनसमवेयर
hrvatski: Ransomware
Bahasa Indonesia: Perangkat pemeras
íslenska: Gagnagíslataka
italiano: Ransomware
Basa Jawa: Ransomware
한국어: 랜섬웨어
lumbaart: Ransomware
монгол: Ransomware
Bahasa Melayu: Perisian tebusan
Nederlands: Ransomware
polski: Ransomware
português: Ransomware
română: Ransomware
srpskohrvatski / српскохрватски: Ucjenjivački softver
Simple English: Ransomware
slovenčina: Ransomware
svenska: Ransomware
Kiswahili: Programufidia
Türkçe: Fidye virüsü
українська: Ransomware
Tiếng Việt: Mã độc tống tiền
中文: 勒索軟體