Ransomware : faut-il payer la rançon?

Entreprises, consommateurs ou collectivités, tout le monde peut être victime de rançongiciel. Afin de réaliser un maximum de profits, les cybercriminels ciblent tous les profils. Alors comment réagir si vous êtes ciblés ? Devez-vous payer la rançon ? C’est ce que nous allons voir.

Qu’est-ce qu’un ransomware ?

Le ransomware est un logiciel malveillant visant à bloquer ou chiffres les données d’un terminal, d’un serveur, d’un ordinateur, etc. Les cybercriminels redoublent d’ingéniosité pour les installer chez leurs victimes, auxquelles ils demandent une rançon en échange du déblocage de leurs données.

Aujourd’hui la technologie s’est diversifiée en vue de maximiser les usages de cette méthode.

Ransomware chiffrant

Ce ransomware chiffre vos répertoires et fichiers afin de les rendre illisibles ou inutilisables. La plupart du temps vous ne vous en apercevez qu’une fois que vous essayez d’accéder à ces fichiers. Ce chiffrement s’accompagne souvent d’un pop-up ou d’un fichier texte, contenant les instructions pour obtenir la clé de déchiffrement de vos données.

Ransomware Bloquant

Sans chiffrement, ce ransomware affiche une fenêtre recouvrant toute la surface de l’écran, bloquant de fait ce dernier. Un texte réclamant une rançon est affiché, parfois en prenant la forme d’une amende à payer pour un crime imaginaire.

Ransomware MBR

Le ransomware Master Boot Record modifie la part du disque dur permettant à l’ordinateur de démarrer le système d’exploitation. Cela empêche le processus de démarrage du poste et affiche un message de demande de rançon à la place.

Ransomware web

Ces ransomwares utilisent généralement des vulnérabilités du CMS (Prestashop, Wordpress, etc.) pour chiffrer une partie des fichiers de votre serveur web.

Ransomware mobile

De fausses applications ou des téléchargements lors de la navigation peuvent infecter un appareil mobile. Le ransomware bloque alors l’appareil en affichant une fenêtre qui demande la rançon.

Comment se porte le « marché » du ransomware ?

Les attaques par ransomware touchent un nombre croissant d’entreprises, lesquels payent de plus en plus souvent leurs rançons. Une étude de Sophos révèle que 66% des entreprises interrogées ont été touchées par des ransomwares en 2021, contre 37 % en 2020.

Il est à noter que 46% des entreprises choisissent de payer la rançon, alors que 26% de celles-ci ont finalement pu récupérer leurs données via une sauvegarde. En outre le montant des rançons augmente également : en 2021, 11 % des entreprises ont déclaré avoir payé des rançons de 1 million de dollars ou plus (environ 860 000 €), contre 4 % en 2020.

Quel impact sur les entreprises

Pour une entreprise, l’impact est colossal. Une étude IBM indique que le coût moyen d’une attaque par ransomware en France est de 4.34 millions de dollars en 2022, hors rançon. En outre ces attaques causent dans 90% des cas une incapacité au moins partielle des entreprises à mener leurs activités à bien, ainsi qu’une perte d’opportunités ou de chiffre d’affaires (86% des cas).

Dois-je payer la rançon ?

C’est très déconseillé pour plusieurs raisons. Déjà vous n’avez pas de garantie que vos ravisseurs débloquent votre poste, ou qu’ils vous envoient la clé de déchiffrement. Ensuite rien dit que leur logiciel soit fiable et que la clé de déchiffrement fonctionne. Enfin cela alimente ce marché et motive les cybercriminels à s’y investir.

Cela étant dit vous n’êtes pas sans recours face à une attaque.

Solution de déblocage

No More Ransom est un projet qui vise à proposer une solution logicielle gratuite, pour débloquer ou déchiffrer vos données. Concrètement, leur solution en ligne Crypto Sheriff permet de déterminer le type de ransomware utilisée contre vous. Le site vous propose ensuite un ensemble d’outils de déchiffrements adaptés à ce type spécifique.

Malheureusement, la solution n’est pas efficace à 100% puisque tous les rançongiciels ne sont pas référencés, ou n’ont pas encore de solution de parade.

Cyber assurance

Des solutions de cyber assurances existent pour couvrir une partie des frais occasionnés par une attaque par ransomware. Cela dit il faut noter que les exigences des assureurs en matière de cybersécurité sont de plus en plus élevées, que les polices d’assurances tendent à se complexifier et à monter en prix, et que les compagnies d’assurances proposant ce service se font de moins en moins nombreuses. Quoi qu’il en soit IBM indique que dans 98 % des incidents où la victime avait une cyber assurance couvrant les ransomwares, l’assureur a payé une partie ou la totalité des coûts engendrés (40 % couvrant globalement le paiement de la rançon).

Sauvegarde

La sauvegarde reste une bonne défense anti ransomware, à condition qu’elle soit faite dans de bonnes conditions, à savoir multi support, décentralisée, plusieurs versions, une version hors réseau, etc. Notez cependant que les ransomwares sont de plus en plus complexes afin de contrecarrer les stratégies de sauvegarde, en restant dans un état « dormant » plusieurs mois par exemple.

Prévention

Il n’y a pas de solution miracle et la prévention est, et restera sans doute la meilleure solution pour lutter efficacement contre les ransomware. Pour cela nous vous renvoyons directement vers les bonnes pratiques communiquées par le gouvernement.

11 actions en cas d’attaque par ransomware

Voici un résumé des 11 actions à mener immédiatement lorsque vous détectez une attaque :

• Débranchez la machine d’Internet ou du réseau informatique.
• Alertez immédiatement votre service ou prestataire informatique.
• Ne payez pas la rançon.
• Conservez ou faites conserver les preuves par un professionnel.
• Déposez plainte.
• Notifiez cette infection à la CNIL s’il y a eu une violation de données à caractère personnel.
• Identifiez la source de l’infection et prenez les mesures nécessaires pour qu’elle ne puisse pas se reproduire.
• Faites une analyse antivirale complète de votre appareil.
• Essayez de déchiffrer les fichiers si une solution existe.
• Réinstallez les systèmes touchés.
• Faites-vous assister au besoin par des professionnels qualifiés.

Pour conclure

La menace des ransomwares est croissante et vise tout le monde. Aux vues des proportions des entreprises touchées, il est probable que vous en soyez un jour victime. C’est pourquoi nous vous conseillons de vous prémunir de cette menace avec tous les moyens nécessaires. Pour cela, rapprochez vous de votre prestataire informatique qui a toute compétence pour vous aiguiller et vous offrir des solutions face aux ransomwares.
L’entité Ténor IT & Cloud du Groupe Ténor est expert des infrastructures informatique, ce qui inclus les questions de cybersécurité. N’hésitez pas à prendre contact avec nous, c’est avec plaisir que nous vous accompagnerons.