Les cryptovirus ou rançongiciels deviennent de plus en plus sophistiqués

Plusieurs entreprises en Suisse, ont été récemment victimes de ce que l’on appelle un « cryptovirus » ou un « rançongiciel » (ransomware en anglais). Il s’agit d’un virus particulièrement agressif et pernicieux qui agit en deux étapes :

  1. Le cheval de Troie : un premier virus s’installe dans votre ordinateur si vous cliquez sur un lien malveillant, si vous ouvrez une pièce jointe d’un pourriel ou si vous installez un logiciel gratuit ou piraté. Ce virus-là ne fait rien de bien méchant dans l’immédiat : il évalue l’environnement dans lequel il a atterri, s’il y a d’autres ordinateurs connectés au même réseau, s’il y a des clefs USB connectées, etc. Il va tenter, par l’intermédiaire de failles de sécurité dans le réseau, de se répliquer sur ces autres ordinateurs.
    A un moment donné, il télécharge un second virus, le cryptovirus en lui-même et le lance. A ce moment là, le firewall de l’entreprise ne se rend même pas compte de l’attaque étant donné que le virus adopte le comportement d’un·e utilisateur·trice.
  2. Le cryptovirus : Celui-ci va se mettre à crypter tous les documents utilisateur présents sur le PC, y compris ceux stockés sur les partages réseaux du serveur (ils seront donc totalement illisibles). Une fois qu’il aura réalisé cette tâche, il affichera une page web contenant toutes les indications nécessaires pour payer la rançon (en échange des fichiers décryptés), souvent en Bitcoins, pour que l’organisation criminelle ne puisse pas être retracée.

Certains cryptovirus très sophistiqués arrivent même à désactiver les backups de l’entreprise…

Les conseils ci-dessous s’appliquent aussi bien au domaine privé que professionnel.

Rappel des conseils pour éviter la contamination (non-exhaustif) :

  • Ne jamais utiliser de logiciels piratés.
  • Ne pas télécharger de logiciels gratuits qui ne seraient pas libres (au sens des logiciels libres), sur des plateformes comme telecharger.fr, download.com ou toute autre plateforme sans légitimité.
  • Ne pas cliquer sur des liens internet sans savoir de quoi il s’agit ni sans être sûr de la provenance du courriel.
  • Ne pas ouvrir de fichiers docx, xlsx, pdf ou zip sans être sûr de la provenance du courriel.
  • Même si vous connaissez la personne de contact, posez-vous la question : est-ce que vous vous attendiez à recevoir un pareil message ou est-ce totalement inhabituel de recevoir ce type de message de cette personne ?
  • Si vous avez un doute quant à la demande présente dans le courriel (« merci de cliquer sur le lien ci-dessous… »; « merci d’ouvrir cette archive zip »,…), appelez votre correspondant pour lui demander confirmation.
  • Si votre anti-virus vous affiche un message d’avertissement comme quoi une menace aurait été mise en quarantaine, n’attendez pas et prenez immédiatement des mesures pour désinfecter votre ordinateur.

La centrale d’enregistrement et d’analyse pour la sûreté de l’information (site de la Confédération helvétique) MELANI dispense ce type de conseils de manière très complète :

Conseils pour réduire les risques d’infection virale

Note : pour vous assurer que le lien derrière le bouton ci-dessus n’est pas frauduleux et ne va pas vous installer à votre insu des virus malveillants, vous pouvez passer la souris sur le lien ou le bouton et le voir dans la barre en bas de votre navigateur :

Pour vérifier ce lien, vous pouvez simplement taper « admin.ch » (nom du domaine) dans votre navigateur, sans risque. Et vous verrez bien qu’il s’agit du site de la Confédération.

MELANI a également publié en anglais un dossier très complet sur les cryptovirus et leur modus operandi :

Dossier complet sur les cryptovirus (en anglais)

Cette page mentionne notamment que les logiciels anti-virus se révèlent souvent inefficaces pour détecter aussi bien ces chevaux de Troie que ces cryptovirus. D’où l’importance d’adopter un comportement attentif et critique en matière de navigation sur internet ou de gestion de ses courriels.

Plus d’information sur la page Wikipedia des rançongiciels.