Nous parlions il y a peu du ransomware Locky, ou logiciel-rançon (« rançongiciel » pour les geeks), qui sévissait sur la toile et piratait vos données. Si celui-ci avait déjà une soixantaine de déclinaisons existantes qu’on tentait d’éradiquer, eh bien on est pas au bout de nos peines car un autre du même genre vient d’arriver et il se nomme Petya.
Rappel sur la menace d’un ransomware
Pour commencer, rappelons ce qu’est un ransomware : un rançongiciel est un programme informatique malveillant qui va s’infiltrer dans votre système au moyen de différentes formes, et va crypter TOUTES les données de votre ordinateur puis vous proposer de les décrypter en échange d’une rançon, plus précisément il vous faudra acheter une clé de décryptage. Ses formes peuvent être variées mais les plus connues sont les fausses factures et autres pièces jointes à télécharger qui installent le virus directement dans le système, ou alors les sites corrompus où il suffit de visiter la page pour être infecté. À partir de ce moment-là, impossible de s’en débarrasser ou de retourner sur Windows pour le supprimer. C’est l’équivalent d’une prise d’otage virtuelle.
Ici, le ransomware Petya prend la forme d’un email pour vous pirater. En fait, il utilise des campagnes de « spear-phising » (harponnage en français) c’est-à-dire qu’il vous envoie une série d’emails en allemand d’un destinataire inconnu se faisant passer pour un chercheur d’emploi qui vous demande de télécharger son CV par l’intermédiaire d’un lien Dropbox. En termes techniques, Petya chiffre la Master File Table (Table des fichiers Principale, ou MFT, un truc important quoi) et remplace la MBR (Master Boot Record, ou Zone d’amorce) par son propre programme. C’est là qu’il exige cette fameuse clé de déchiffrement en échange de la modique somme de 0,99 Bitcoin (franchement c’est cadeau !). Eh oui sauf que non, ce petit montant revient en réalité à 366€. Encore plus frustrant, la somme double si vous ne cédez pas avant la période donnée !
Pourquoi Petya se développe si bien
Beaucoup de ces logiciels malveillants s’appuient sur le spear-phishing, et ce n’est pas pour rien. Avec le temps, on a vu les virus prendre de nombreuses formes et on est maintenant habitué à les repérer et les éviter (notamment avec les antivirus), et c’est pourquoi ils évoluent de plus en plus. La technique du spear-phising est donc souvent efficace car elle repose sur un principe simple. Au lieu d’envoyer un message générique à une grande quantité de destinataires et de spammer (technique appelée le hameçonnage), le harponnage va se concentrer sur un nombre réduit de destinataires et envoyer un message très personnalisé. Par personnalisé on entend par là des éléments réels en lien avec la personne comme des informations personnelles, c’est pourquoi le destinataire est interpellé et fini par ouvrir l’email et la pièce jointe corrompue. C’est son aspect si convainquant qui fait le succès de cette méthode.
De plus, si l’auteur est doué, il pourrait utiliser à mauvais escient une grande quantité d’informations précises et sensibles grâce au Big Data, et rendre son stratagème encore plus efficace. Effectivement, le Big Data est au cœur de toute la sphère internet en général. C’est l’accumulation de milliards et de milliards de données collectées grâce aux divers formulaires que vous pouvez remplir. Par exemple : les réseaux sociaux, les comptes clients, les registres publics, etc. Vous l’aurez compris, il faut toujours bien faire attention à sécuriser ses informations par des mots de passe complexes et des sauvegardes régulières.
Comment s’en débarrasser ou s’en protéger ?
Une fois infecté il n’y pas 36 solutions. Soit vous réparez votre MBR et réinstallez Windows – si vous aviez fait des sauvegardes de vos fichiers sur un disque externe vous pourrez alors les récupérer facilement en les réinstallant également, mais dans le cas contraire … tout sera perdu – soit vous décidez de payer la rançon. Nous vous déconseillons fortement la 2e solution car d’une part la somme est élevée et surtout rien ne vous prouve réellement que ça finira bien, et d’autre part car cela encourage les pirates à continuer. Néanmoins, pour être rentable le ransomware repose sur une condition : la propension des utilisateurs infectés à payer la rançon dépend du témoignage des précédentes victimes. Autrement dit est-ce que ces personnes ont réellement récupéré leurs données en payant la rançon. Evidemment les hackers ont donc tout intérêt à dire la vérité et créer des clés de décryptage qui fonctionnent, sinon toute la base de leur système s’effondre. On peut ainsi supposer que payer la rançon aboutirait à la récupération totale de vos fichiers mais, encore une fois, on vous le déconseille.
En attendant, sachez que Dropbox a été informé qu’il hébergeait le ransomware et est en train de faire le nécessaire pour en supprimer les copies sur ses serveurs. Cependant il y a fort à parier que le logiciel trouvera un nouveau hébergeur sous peu. En attendant voici quelques conseils afin d’éviter le pire : tout d’abord faites quotidiennement des sauvegardes de vos données pour être sûr de ne rien perdre, on est jamais trop prudent. Dans un second temps, faites toujours très attention aux programmes que vous exécutez sur votre machine, ne l’ouvrez qu’en cas d’extrême certitude. Enfin, si vous n’avez aucune attache avec l’Allemagne et sa langue mais que vous recevez un mail, simplement … ne l’ouvrez pas. Placez-le en SPAM directement et signalez-le.
Par ailleurs, l’éditeur d’antivirus Bitdefender proposerait un vaccin gratuit pour votre machine afin de lutter contre les ransomwares récents. Ce nouvel outil repose sur le constat suivant : pour créer leurs logiciels malveillants les hackers s’assurent que l’ordinateur visé n’est pas déjà infecté par un ransomware, ils vérifient donc que la clé de déchiffrement qu’ils généreront pourra bien restaurer l’accès aux informations. Ainsi, le vaccin simulerait une attaque sur votre PC en générant une fausse clé de cryptage ce qui agirait comme un camouflage contre les pirates. Cependant on peut s’attendre à ce que les ransomwares s’adaptent à ce stratagème …
