Parmi les dizaines de menaces répandues dans l’environnement cyber, il en est une qui prospère tout particulièrement : l’attaque par rançongiciel (ransomware en anglais). Il s’agit d’un programme malveillant qui chiffre les données de la victime avant d’exiger une rançon en échange d’un code de déchiffrement.

Ces derniers mois, la presse a mis en lumière des attaques retentissantes visant notamment des collectivités territoriales et des entreprises, dans tous les secteurs d’activité. Statistiquement, dans son dernier panorama de la menace informatique, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a relevé que 52 % des attaques visaient des TPE/PME et ETI. Plus inquiétant est le constat des autorités qui y voient une professionnalisation de ces attaques, allant jusqu’à constituer une véritable « offre de services » appelée « ransomware as a service » (RaaS) permettant à des « affiliés » d’utiliser des rançongiciels, déjà développés, pour exécuter eux-mêmes des attaques. Les affiliés gagnent alors un pourcentage sur chaque paiement de rançon.

1. Comment se passe une attaque par rançongiciel ?

Il est 8 h 21 ce matin-là. Votre comptable reçoit un email à première vue banal, de la part d’un fournisseur : « Cher client, pouvez-vous s’il vous plaît me faire savoir quand la facture ci-jointe sera payée ? » Mal réveillé, votre collaborateur ouvre le document, à savoir un fichier de traitement de texte.

Grave erreur, il vient de propager, sans le savoir, « Qakbot », un dangereux cheval de Troie qui va collecter des...