close
Share with your friends
wave of blue dots

Rançongiciel

Rançongiciel

Pour bon nombre de personnes, le cybercrime est un crime à la fois odieux et sophistiqué au sujet duquel il n'y a que peu de connaissances. C'est également un crime auquel tous devraient être préparés, tant sur le plan personnel que professionnel. Il existe différents types de cybercrime, et l'un de ces crimes informatiques, même s'il est plutôt simpliste, peut donner lieu à un lourd fardeau financier. Ce crime informatique nouveau genre, qui s'apparente à une prise d'otage virtuelle, est connu sous le nom de « rançongiciel » (ransomware en anglais). Un rançongiciel peut se présenter sous différentes formes : prise de contrôle d'un compte (compte bancaire personnel en ligne, compte de courriel comme Yahoo ou Gmail, etc.), prise en otage de matériel confidentiel gênant (renseignements d'entreprise, photos, etc.), ou introduction de logiciels malveillants nuisibles dans un système informatique.

Un rançongiciel, selon la définition[1] fournie par une grande société informatique spécialisée dans les antivirus et la sécurité en ligne, est un type de logiciel malveillant qui empêche les utilisateurs d'accéder à leur système, ou qui en limite l'accès, soit en verrouillant l'écran du système ou en verrouillant les fichiers de l'utilisateur jusqu'au paiement d'une rançon. Les familles plus modernes de rançongiciels, collectivement classées comme des crypto-rançongiciels, chiffrent certains types de fichiers dans des systèmes infectés et forcent les utilisateurs à payer la rançon demandée au moyen de différentes méthodes de paiement en ligne, en échange d'une clé de chiffrement qui permettra au système de reprendre son fonctionnement.

Un effroyable scénario

À des fins d'illustration, examinons le scénario fictif suivant. M. Smith est une personne d'influence au sein de la société, dynamique et très occupé. Pour vous donner une idée, il est toujours en train de conclure des transactions au téléphone, de participer à des réunions et d'aller manger avec des clients. Un jour, M. Smith reçoit un courriel qui semble avoir été envoyé par un client. L'objet du courriel dit : « Voici la transaction dont nous avons discuté pour examen ». Le corps du courriel ne contient aucune autre information, seulement une pièce jointe, un document Word intitulé « Proposition d'expansion 2019 ». Sans hésiter, M. Smith clique sur le document pour commencer son examen. Comme le fichier ne s'ouvre pas au premier clic, il clique de nouveau sur le document pour tenter de l'ouvrir, mais ne réussit toujours pas. Il ne remarque pas le bref clignotement d'une fenêtre qui s'ouvre et se ferme sur son ordinateur – ce genre de chose se produit fréquemment. Même s'il ne comprend pas pourquoi le document ne s'ouvre pas, il ne s'y attarde pas et retourne à ses appels et à ses réunions. Il fera un suivi avec le client plus tard.

Le jour suivant, M. Smith s'éveille et, alors qu'il boit son café du matin, il ouvre son ordinateur et découvre qu'il est incapable d'accéder à ses fichiers d'entreprise clés, ses documents transactionnels, ses données personnelles, etc. Il ne réalise pas que les fichiers contenus dans son ordinateur ont été chiffrés lorsqu'il a cliqué sur la pièce jointe pour essayer de l'ouvrir la veille, car il croyait qu'il s'agissait d'une transaction d'affaires. Le chiffrement est habituellement un processus de sécurité légitime qui protège les données de sorte que seules les personnes autorisées puissent y accéder à l'aide d'identifiants appropriés (mots de passe) ou de clés de chiffrement. Un rançongiciel se rapporte toutefois à un processus de chiffrement malveillant qui vise à empêcher une personne d'avoir accès à ses propres données. C'est une situation de crise pour M. Smith, car ses notes et sa présentation pour sa réunion avec le conseil d'administration qui doit avoir lieu à 14 h se trouvent sur son ordinateur. Il téléphone immédiatement au service des technologies de l'information (« TI ») de l'entreprise. Après une attente de 10 minutes, un membre du service des TI prend l'appel de M. Smith. Toutefois, au lieu de pouvoir l'aider à accéder à ses données, il informe M. Smith qu'une grande partie des données de la société, dont les fichiers de M. Smith, ont été chiffrées et ne sont pas accessibles.

Comme on l'a décrit précédemment, M. Smith n'a fait que cliquer sur ce qu'il croyait être une pièce jointe légitime dans un courriel qui semblait avoir été envoyé par un client. Ainsi, non seulement les données de l'ordinateur de M. Smith sont inaccessibles, mais la grande majorité des données de la société ont aussi été chiffrées. Ce type d'événement aurait tout aussi bien pu se produire si M. Smith avait visité un site Web inconnu et cliqué sur une publicité, ou encore s'il avait téléchargé un logiciel gratuit pour faire et éditer des vidéos, organiser sa bibliothèque musicale ou tout simplement jouer à un jeu.

Les membres du service des TI de M. Smith tentent désespérément d'accéder aux données et de les réparer, tout en essayant de répondre aux nombreuses demandes qu'ils reçoivent de la part d'employés incapables d'accéder à leurs données. Ils savent maintenant que les écrans des ordinateurs touchés au sein de la société de M. Smith commencent à afficher des messages disant que la société est victime d'une attaque par rançongiciel. Les parties anonymes non identifiables qui revendiquent l'attaque par rançongiciel exigent une somme de 250 000 $ CA en bitcoins (ce qui correspond à environ 52 bitcoins au moment de la rédaction de cet article). La demande de la somme en bitcoins est accompagnée d'instructions sur la manière de transférer les bitcoins après les avoir obtenus, ainsi que de l'assurance que la clé permettant de déverrouiller le chiffrement sera fournie lorsque le paiement aura été reçu.

Qu'est qu'un bitcoin? Il s'agit d'une devise numérique créée en 2009 dont la valeur fluctue. Par exemple, au moment de la rédaction de cet article, un bitcoin valait 4 768,65 $ CA. Toutefois, en décembre 2017, sa valeur s'élevait à environ 20 000 $ CA. Les bitcoins sont considérés comme étant impossibles à retracer en raison de la technologie sur laquelle ils reposent, de sorte qu'ils constituent une méthode de choix pour la réception de produits illégaux du cybercrime, notamment par le biais d'un rançongiciel. Ironiquement, le recours aux bitcoins comme méthode de paiement d'une rançon se révèle maintenant une technologie moins attrayante, car les spécialistes en logiciels et en enquêtes technologiques font d'énormes progrès pour aider les autorités à procéder à l'arrestation de ces cyberbandits. Surveillez la publication prochaine d'un article décrivant les avancées dans ce domaine.

Questions cruciales après une attaque

Où peut-on se procurer des bitcoins? C'est la première des questions à se poser lorsqu'il faut réagir à une attaque de rançongiciel. Les bitcoins sont pratiquement aussi difficiles à trouver que les cristaux de dilithium que le capitaine Kirk et M. Spock recherchaient toujours désespérément dans la série Star Trek des années 1960. Une fois que les bitcoins ont été trouvés, comment cette transaction d'achat est-elle effectuée? À ce stade, la société de M. Smith doit commencer à soupeser les différentes options. Les questions suivantes devraient se poser :

  1. Quelle est l'importance des données en question?
  2. Combien de temps la société peut-elle fonctionner sans ces données avant qu'il n'y ait une incidence sur ses profits ou sa réputation?
  3. Y a-t-il des copies de sauvegarde des données et, si tel est le cas, ces copies sont-elles aussi chiffrées?


Des considérations morales et éthiques accompagnent également les questions liées à l'exploitation :

  1. Si la rançon en bitcoins est versée, où ira cet argent exactement? Servira-t-il à financer le crime organisé, le terrorisme ou d'autres activités illégales?
  2. Comment savoir si les attaquants respecteront l'entente et fourniront la clé de chiffrement après avoir reçu le paiement, et qu'est-ce qui les empêche d'attaquer la société de nouveau?

Payer ou ne pas payer?

Quelle est donc la bonne réponse? Dans le cas du scénario précédent, il n'y a malheureusement pas de bonne réponse, et plusieurs s'en réjouissent. Chaque situation comporte différents facteurs, dont les niveaux d'importance varient, qu'il faut évaluer au moment de prendre une décision appropriée, soit celle de payer ou de ne pas payer. D'un point de vue personnel, j'hésite quant au chemin à emprunter, du fait de mon expérience en matière d'application de la loi et de mon rôle actuel d'associé dans une grande entreprise. Même si la décision de payer ou de ne pas payer n'appartient qu'à vous, il faut aller chercher de l'aide et évaluer différentes options. Les experts en cybercrime et en cybersécurité peuvent vous aider à cerner les options qui vous conviennent le mieux.


De plus, comme le précédent scénario l'illustre, il est impératif de sensibiliser les membres du personnel aux éventuelles attaques par rançongiciel afin d'atténuer les risques qu'elles se produisent. Les experts en cybercrime peuvent mettre en place un programme adapté à vos besoins.

[1] https://www.trendmicro.com/vinfo/us/security/definition/RANSOMWARE (en anglais).