Les rançongiciels représentent le summum de la perversité numérique : une fusion de malveillance, d’avidité et parfois d’incompétence. Ces programmes malveillants chiffrent vos données et exigent un paiement pour une clé de déchiffrement qui pourrait même ne pas fonctionner. Heureusement, une stratégie de sauvegarde efficace peut préserver vos fichiers malgré une infection.
Nous vous recommandons vivement de mettre en place cette protection dès aujourd’hui, afin d’éviter le dilemme de savoir s’il faut ou non céder au chantage.
Ce qu’il faut savoir sur les rançongiciels
Un rançongiciel est un type de logiciel malveillant conçu pour vous bloquer l’accès à votre ordinateur jusqu’à ce que vous versiez une rançon. Il procède généralement en chiffrant vos fichiers, et le paiement est généralement exigé en cryptomonnaie. Les rançongiciels visent principalement les entreprises, les organisations et les entités gouvernementales, mais les particuliers ne sont pas épargnés.
Ces logiciels sont de plus en plus sophistiqués et de nouvelles versions émergent constamment. Alors que la plupart des cybercriminels considèrent une attaque comme une transaction, certains auteurs de rançongiciels semblent prendre un plaisir malsain à nuire à leurs victimes. L’année dernière, nous avons découvert ZENIS, un rançongiciel qui supprime intentionnellement les sauvegardes. Plus récemment, Allemand, ne chiffre même pas vos fichiers, il les supprime purement et simplement, tout en exigeant une rançon. Les victimes qui paient n’ont rien à récupérer, car leurs données ont disparu dès le départ.
De plus, les vecteurs d’attaque sont plus nombreux que jamais.
« Les rançongiciels se propagent désormais par divers mécanismes, rendant la protection de plus en plus difficile pour les utilisateurs », explique Victor Congionti, directeur de l’information de la société de cybersécurité Proven Data. « Traditionnellement, les rançongiciels étaient distribués par le biais de campagnes d’e-mails exploitant la crédulité des utilisateurs pour les inciter à télécharger des liens malveillants. » Il ajoute que « les rançongiciels sont de plus en plus distribués de manière non conventionnelle. »
Les criminels les dissimulent désormais dans des applications et des logiciels non vérifiés. Ils les propagent également via des attaques de harponnage (spear-phishing), ciblant des individus spécifiques au sein d’une organisation plus susceptibles de cliquer sur des liens suspects.
C’est véritablement une jungle !
Comment protéger vos sauvegardes contre les rançongiciels
Si votre système est infecté par un rançongiciel, vous avez deux options : payer la rançon en espérant récupérer vos fichiers ou refuser de payer et tenter de reconstruire votre PC à partir de sauvegardes. La première option est problématique pour des raisons morales, éthiques, financières et pratiques. Il est donc crucial de prendre des mesures dès maintenant pour assurer une restauration indolore après une attaque de rançongiciel.
Voici trois principes fondamentaux pour vos sauvegardes :
Considérez que tout ce qui est accessible depuis votre PC sera chiffré ou supprimé par le rançongiciel. Si vous effectuez des sauvegardes sur un disque dur interne ou externe connecté en permanence à votre PC, ou sur un cloud synchronisé, considérez ces fichiers comme perdus. Ils ne sont utiles qu’en cas de problème plus classique, comme une panne de disque dur. Ce type de sauvegarde n’est pas inutile pour faire face à des menaces traditionnelles, mais il ne doit pas constituer votre unique ligne de défense contre les rançongiciels.
Isolez vos sauvegardes du réseau. Une arme puissante contre les rançongiciels est d’utiliser un support de sauvegarde que vous pouvez isoler, c’est-à-dire complètement déconnecté de votre ordinateur et d’Internet. Par exemple, si vous sauvegardez sur un disque dur externe, connectez-le uniquement pendant la sauvegarde programmée, puis déconnectez-le immédiatement après. « Il est essentiel que le disque de stockage local ne soit pas connecté en permanence au réseau », insiste Congionti. « Cela empêchera les sauvegardes d’être chiffrées si l’exécutable du rançongiciel est chargé sur le réseau, le périphérique de stockage étant hors ligne pendant le processus de chiffrement. Si le lecteur est connecté, le rançongiciel peut y accéder et rendre les sauvegardes inutiles. » Certes, cette méthode est moins pratique et nécessite une certaine discipline pour connecter un lecteur manuellement et lancer une sauvegarde. Mais c’est une stratégie particulièrement sûre.
Misez sur le contrôle de version. Même si vous déconnectez votre disque dur externe, il n’est pas garanti qu’il restera protégé. En effet, votre système peut déjà être infecté par des logiciels malveillants lorsque vous effectuez une sauvegarde. « Le contrôle de version est essentiel pour assurer la récupération après une attaque de rançongiciel », affirme Dror Liwer, fondateur de la société de sécurité Coro. Utilisez un outil de sauvegarde qui enregistre plusieurs versions horodatées de vos fichiers. Ainsi, lors de la restauration de votre ordinateur, vous devriez pouvoir remonter suffisamment loin pour que votre sauvegarde soit antérieure à l’infection.
Mettre en œuvre une stratégie de sauvegarde efficace
Il est clair que les solutions de sauvegarde courantes ne sont pas suffisamment robustes pour vous protéger contre une attaque de rançongiciel. Le stockage dans le cloud n’équivaut pas à la sauvegarde dans le cloud, et tout ce qui synchronise ou reflète vos données est vulnérable. Si vous souhaitez récupérer vos fichiers, vous ne pouvez pas vous fier aux versions gratuites de Dropbox, OneDrive ou Google Drive, par exemple.
Cependant, si vous optez pour un stockage payant, la situation peut être différente. Dropbox inclut la fonctionnalité Dropbox Rewind dans ses offres payantes. Dropbox Plus (2 To de stockage) vous offre un historique de 30 jours de vos fichiers, tandis que Dropbox Professional (3 To) offre un historique des versions de 180 jours.
OneDrive dispose de sa propre protection contre les rançongiciels. Si OneDrive détecte une activité de rançongiciel suspecte, il vous en informe et vous demande de vérifier si vous avez récemment modifié vos fichiers. Si ce n’est pas le cas, Microsoft vous aide à nettoyer votre disque dur et à restaurer les fichiers endommagés.
Google Drive et iCloud ne disposant pas d’une telle protection intégrée, nous vous déconseillons de vous y fier lorsque les rançongiciels représentent un risque aussi important.
La plupart des solutions de sauvegarde en ligne utilisent la gestion des versions, donc avec des services tels qu’Acronis, Carbonite et iDrive, vous pouvez revenir à un instantané de votre disque dur antérieur à l’infection.
« Carbonite a réussi à aider plus de 12 600 clients à se remettre d’une attaque de rançongiciel grâce à notre assistance clientèle », souligne Norman Guadagno, vice-président senior du marketing chez Carbonite.
Certains services en ligne intègrent même des outils anti-rançongiciel. Acronis, par exemple, dispose d’un outil appelé Active Protection qui détecte les comportements malveillants.
« Lorsqu’Active Protection détecte une activité suspecte, comme un processus qui renomme puis chiffre une grande quantité de fichiers, il arrête immédiatement le processus », explique James Slaby, directeur de la cyber protection chez Acronis.
De la même manière que le vaisseau spatial Apollo avait deux ordinateurs de guidage indépendants, nous vous recommandons de mettre en place au moins deux méthodes de sauvegarde de vos données. Vous pouvez combiner une solution de synchronisation simple et facile d’accès avec une solution suffisamment robuste pour vous remettre d’une attaque de rançongiciel.
Par exemple, vous pouvez utiliser une solution de sauvegarde cloud traditionnelle, comme Dropbox ou OneDrive, pour vous assurer que vos fichiers sont accessibles en cas de connexion depuis un autre PC ou en cas de panne matérielle catastrophique. Si vous bénéficiez d’un abonnement offrant une protection intégrée contre les rançongiciels, c’est encore mieux !
En parallèle, mettez en place une solution de sauvegarde sécurisée avec gestion des versions. Vous pouvez utiliser une application de sauvegarde locale qui enregistre vos données sur un lecteur externe, ou un service de sauvegarde en ligne qui les stocke dans le cloud. Certes, ces types de sauvegardes sont moins pratiques d’accès, mais ils peuvent résister à une attaque de rançongiciel, contrairement à votre synchronisation de fichiers quotidienne.
Comment éviter une infection
Bien que les rançongiciels soient l’une des formes de logiciels malveillants les plus préoccupantes, ils ne sont qu’un type de menace parmi d’autres. Il est donc important de s’informer et de se préparer.
Une fois que vous avez mis en place une solution de sauvegarde sécurisée à plusieurs niveaux, suivez ces règles de bon sens pour minimiser votre exposition aux rançongiciels :
Utilisez un antivirus puissant doté d’une protection contre les rançongiciels. Bien sûr, aucune application antivirus n’est parfaite, mais toute stratégie de sécurité qui n’en inclut pas est fondamentalement compromise.
Ne cliquez sur rien de suspect. Vous connaissez la chanson : ne cliquez pas sur des liens étranges, que ce soit sur des sites Web, dans des e-mails, des SMS ou même transmis par pigeon voyageur ! De plus, n’utilisez pas de logiciels piratés et évitez les sites Web illicites. Et limitez-vous aux plateformes d’applications officielles sur votre téléphone, telles que le Google Play Store et l’App Store d’Apple.
Assurez-vous que votre ordinateur dispose des dernières mises à jour du système.
Si vous êtes touché
Enfin, si vous avez la malchance d’être infecté par un rançongiciel, tout n’est pas perdu. Il existe deux outils gratuits qui peuvent vous aider à décrypter vos fichiers sans payer de rançon :
No More Ransom : Il s’agit d’un projet commun entre McAfee et plusieurs organisations policières européennes, qui compte désormais une centaine d’entreprises et de gouvernements partenaires. Si votre système est infecté, vous pouvez vous rendre sur le site No More Ransom et télécharger des exemples de fichiers chiffrés à partir de votre ordinateur. Si votre type de rançongiciel a été décrypté, vous pourrez déverrouiller votre PC gratuitement.
ID Ransomware : Similaire à No More Ransom, cette initiative a été créée par la société de sécurité Emsisoft. Vous pouvez soumettre un échantillon de fichier infecté et ce service vous informera si une solution de déchiffrement devient disponible à l’avenir.