|
Virus informatique : "le rançongiciel" Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer... Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de débridage soit envoyé à la victime en échange d'une somme d'argent. Les modèles modernes de rançongiciels sont apparus en Russie initialement, mais on constate que le nombre d'attaques de ce type a grandement augmenté dans d'autres pays, entre autres l'Australie, l'Allemagne, les États-Unis. Le terme ransomware (ou ransomware licensing) peut également désigner une forme de financement de logiciel pour lequel une rançon financière est demandée pour qu'il soit distribué sous une licence libre. En novembre 2012, « McAfee, l’éditeur de logiciels de sécurité, rapporte avoir enregistré 120 000 nouveaux échantillons de ce genre de virus au deuxième trimestre 2012, soit quatre fois plus qu’à la même période l’an dernier ». Mode opératoire Certains rançongiciels n'utilisent pas de chiffrement. Dans ce cas, la payload est une simple application qui va restreindre toute interaction avec le système, couramment en changeant le shell par défaut (explorer.exe) dans la base de registre Windows, ou même changer le Master Boot Record (MBR), pour empêcher le système d'exploitation de démarrer tant qu'il n'a pas été réparé. La payload des rançongiciels, plus particulièrement parmi ceux qui n'utilisent pas de technique de chiffrement de fichiers, utilise des tactiques des scarewares pour forcer l'utilisateur à payer pour le rétablissement de ses données. La charge active peut, par exemple, afficher une alerte à l'utilisateur, faussement issue d'une agence gouvernementale qui avertit l'utilisateur que son système a été pris à parti par un pirate informatique, qui aurait effectué des actions illégales ou bien aurait stocké des contenus illégaux comme des contenus pornographiques ou des logiciels piratés. Certains rançongiciels imitent l'apparence de Windows Product Activation, en indiquant que la version de leur logiciel est illégale ou requiert une ré-activation. Dans tous les cas, un rançongiciel va tenter d'extorquer de l'argent à l'utilisateur, en lui faisant acheter soit un programme pour déchiffrer ses fichiers, soit un simple code qui retire tous les verrous appliqués à ses documents bloqués. Les paiements sont le plus souvent effectués sous la forme de virement bancaire, de SMS surtaxés, ou via des sites de paiement en ligne comme Paysafecard ou Paypal. Ransomwares à chiffrement Ransomwares sans chiffrement En 2011, un rançongiciel imitant la notification du Windows Product Activation ; qui informait l'utilisateur que son système d'exploitation Windows devait-être réactivé, car il aurait été piraté ("victim of fraud"). Une activation en ligne était proposée (comme la vraie procédure d'authentification), mais elle était indisponible. La victime devait alors appeler l'un des six numéros internationaux pour avoir un code à 6 chiffres. Le logiciel malveillant indiquait, à tort, que l'appel était gratuit. En réalité, il était routé via un opérateur pirate vers un pays avec un fort surcoût, qui mettait l'utilisateur en attente. Cela engendrait des coûts de communication très élevés. Reveton D'autres variantes, plus spécifiques à la Grande-Bretagne, se revendiquaient émaner de la Metropolitan Police Service, de la SPRD (Société de Perception et de Répartition des Droits) PRS for Music (qui accusait plus spécifiquement l'utilisateur de télécharger illégalement des musiques), ou de la division nationale de police pour la Cybercriminalité (Police National E-Crime Unit). En réponse à cette diffusion du virus la Metropolitan Police Service a clairement expliqué qu'elle ne bloquait jamais un ordinateur pour mener une enquête. Reveton s'est répandu en Europe au début de l'année 2012. En mai 2012, la division de détection de menaces de Trend Micro avait découvert des variantes du logiciel malveillant à destination des États-Unis et du Canada, ce qui laissait à penser que ses auteurs cherchaient à cibler des utilisateurs d'Amérique du Nord. En aout 2012, une nouvelle variante de Reveton est finalement apparue aux États-Unis, demandant une rançon de 200$ au FBI avec une carte de type MoneyPak. Une variante en France se réclame de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication et d'Hadopi. Elle y accuse depédophilie/zoophilie et de partage illégal de données protégées par le droit d'auteur. La variante inclut également que ne pas avoir protégé son ordinateur est puni par la loi, décourageant la victime à porter plainte. Il est possible que ce ransomware ait des motivations homophobes, puisque cette variante se trouve principalement sur des sites de téléchargement de fichiers pornographiques homosexuels. La plupart de ces virus est facilement repérable, notamment ceux accusant de pédophilie : la pédophilie étant puni de 4 à 12 ans de prison, il est difficile d'imaginer que payer une simple amende de 100€ puisse effacer la plainte. Winwebsec Texte sous licence CC BY-SA 3.0. Contributeurs, ici. Photo : Fotolia.com Pour sécuriser ou réparer votre système d'information : 75013 - EXIS http://www.ingenierie-informatique-paris.com Voir toutes les newsletters : www.haoui.com Pour les professionnels : HaOui.fr |