Ransomware

Le ransomware est une forme de malware qui verrouille l'utilisateur hors de ses fichiers ou de son appareil, puis exige un paiement pour rétablir l'accès. Les attaquants de ransomware ciblent autant les entreprises que les organisations et les individus.

Antivirus gratuit

Points clés à retenir

  • Un ransomware est un type de logiciel malveillant qui empêche les utilisateurs d'accéder à leur système ou à leurs fichiers personnels jusqu'à ce qu'une rançon soit versée. D'où son nom de « ransomware ».
  • En 2023, les rançons versées aux auteurs de ransomware ont dépassé pour la première fois le milliard de dollars par an , tandis que le montant moyen d'une rançon a grimpé à 620 000 dollars.
  • En 2024, Threatdown une hausse de 63 % des attaques par ransomware aux États-Unis et une augmentation de 67 % au Royaume-Uni. 
  • Depuis 2026, les pirates ont amélioré la rapidité et la discrétion de leurs attaques grâce à de nouvelles tactiques. 
  • Il existe différents types de ransomware, tels que les scarewares, les programmes de verrouillage d'écran, les ransomwares de chiffrement, etc.
  • Les attaques par ransomware touchent les entreprises, mais les particuliers en sont également victimes.

Qu'est-ce que le ransomware?

Définition du ransomware

Le malware de rançon, ou ransomware, est un type de malware qui empêche les utilisateurs d'accéder à leur système ou à leurs fichiers personnels et exige le paiement d'une rançon pour récupérer l'accès. Alors que certaines personnes pourraient penser "un virus a verrouillé mon ordinateur", le ransomware serait généralement classé comme une forme différente de malware qu'un virus.

Les premières variantes de ransomware ont été développées à la fin des années 1980, et le paiement devait être envoyé par voie postale. Aujourd'hui, les auteurs de ransomware demandent que le paiement soit envoyé via cryptomonnaie ou carte de crédit, et les attaquants ciblent des individus, entreprises et organisations de tous types. Certains auteurs de ransomware vendent le service à d'autres cybercriminels, ce qui est connu sous le nom de Ransomware-as-a-Service ou RaaS.

Attaques de ransomware

Comment exactement un acteur malveillant mène-t-il une attaque de ransomware ? Tout d'abord, il doit accéder à un appareil ou un réseau. Avoir accès leur permet d'utiliser le malware nécessaire pour chiffrer, ou verrouiller, votre appareil et vos données. Il existe plusieurs façons pour le ransomware de contaminer votre ordinateur

Comment attrape-t-on un ransomware?

  • Malspam: Pour accéder, certains acteurs malveillants utilisent le spam, où ils envoient un e-mail avec une pièce jointe malveillante à autant de personnes que possible, pour voir qui ouvre la pièce jointe et "prend l'appât", pour ainsi dire. Le spam malveillant, ou malspam, est un e-mail non sollicité utilisé pour délivrer des malwares. L'e-mail peut inclure des pièces jointes piégées, telles que des PDF ou documents Word. Il peut également contenir des liens vers des sites Internet malveillants.
  • Malvertising: Un autre mode d'infection populaire est le malvertising. Le malvertising, ou publicité malveillante, utilise la publicité en ligne pour distribuer des malwares avec peu ou pas d'interaction utilisateur requise. En naviguant sur le web, même des sites légitimes, les utilisateurs peuvent être dirigés vers des serveurs criminels sans jamais cliquer sur une publicité. Ces serveurs cataloguent les détails concernant les ordinateurs victimes et leur localisation, puis choisissent le malware le mieux adapté à livrer. Souvent, ce malware est un ransomware. Le malvertising utilise souvent un iframe infecté, ou élément de page web invisible, pour faire son travail. L'iframe redirige vers une page de destination d'exploit, et un code malveillant attaque le système depuis la page de destination via un kit d'exploit. Tout cela se passe sans que l'utilisateur ne s'en aperçoive, c'est pourquoi on parle souvent de téléchargement furtif.
  • Spear phishing: Un moyen plus ciblé d'attaque par ransomware est le spear phishing. Un exemple de spear phishing serait d'envoyer des emails aux employés d'une entreprise donnée, prétendant que le PDG vous demande de répondre à un important sondage d'employé, ou que le département RH exige que vous téléchargiez et lisiez une nouvelle politique. Le terme "whaling" est utilisé pour décrire ces méthodes ciblées vers des décideurs de haut niveau dans une organisation, tels que le PDG ou d'autres cadres.
  • Ingénierie sociale: Malspam, malvertising et spear phishing peuvent, et souvent contiennent, des éléments d'ingénierie sociale. Les acteurs malveillants peuvent utiliser l'ingénierie sociale pour tromper les gens en les incitant à ouvrir des pièces jointes ou cliquer sur des liens en semblant légitimes—que ce soit en prétendant provenir d'une institution de confiance ou d'un ami. Les cybercriminels utilisent l'ingénierie sociale dans d'autres types d'attaques par ransomware, comme se faire passer pour le FBI afin d'effrayer les utilisateurs pour leur faire payer une somme d'argent pour déverrouiller leurs fichiers. Un autre exemple d'ingénierie sociale serait si un acteur malveillant rassemble des informations publiques de vos profils sociaux concernant vos centres d'intérêt, les endroits que vous visitez souvent, votre travail, etc., et utilise certaines de ces informations pour vous envoyer un message qui semble familier, espérant que vous cliquerez avant de réaliser qu'il n'est pas légitime. 
Infographie sur le malvertising et le ransomware.

Chiffrer des fichiers & exiger une rançon

Peu importe la méthode utilisée par l'acteur malveillant, une fois qu'il a accès et que le logiciel de ransomware (généralement activé par la victime en cliquant sur un lien ou en ouvrant une pièce jointe) chiffre vos fichiers ou données pour que vous ne puissiez plus y accéder, vous verrez un message exigeant un paiement de rançon pour restaurer ce qu'ils ont pris. Souvent, l'attaquant exigera un paiement via cryptomonnaie.

Types de ransomware

Les trois principaux types de ransomware incluent le scareware, les bloqueurs d'écran et le ransomware chiffrant:

  • Scareware: Les scarewares ne sont pas si effrayants que cela. Il s'agit de logiciels de sécurité malveillants et d'escroqueries à l'assistance technique. Vous pouvez recevoir un message contextuel vous informant qu'un logiciel malveillant a été découvert et que le seul moyen de s'en débarrasser est de payer. Si vous ne faites rien, vous continuerez probablement à être bombardé de fenêtres pop-up, mais vos fichiers sont pour l'essentiel en sécurité. Un logiciel de cybersécurité légitime ne solliciterait pas ses clients de cette manière. Si vous n'avez pas encore installé le logiciel de cette société sur votre ordinateur, elle ne vous surveillera pas pour détecter une éventuelle infection par un ransomware. Si vous disposez d'un logiciel de sécurité, vous n'avez pas besoin de payer pour que l'infection soit éliminée : vous avez déjà payé le logiciel pour qu'il s'acquitte de cette tâche.
  • Bloqueurs d'écran: Passez à l'alerte terreur orange pour ceux-là. Lorsque le ransomware de blocage d'écran s'infiltre sur votre ordinateur, cela signifie que vous êtes complètement bloqué hors de votre PC. En démarrant votre ordinateur, une fenêtre de grande taille apparaîtra, souvent accompagnée d'un sceau officiel du FBI ou du Département de Justice des États-Unis affirmant qu'une activité illégale a été détectée sur votre ordinateur et que vous devez payer une amende. Cependant, le FBI ne vous bloquerait pas de votre ordinateur ni n'exigerait de paiement pour une activité illégale. Si vous êtes soupçonné de piratage, de pornographie infantile ou d'autres cybercrimes, ils suivraient les voies légales appropriées.
  • Ransomware chiffrant: Là, c'est vraiment du méchant. Ce sont les gars qui s'emparent de vos fichiers et les chiffrent, demandant un paiement pour les déchiffrer et vous les rendre. La raison pour laquelle ce type de ransomware est si dangereux est que, une fois que les cybercriminels ont mis la main sur vos fichiers, aucun logiciel de sécurité ou restauration système ne peut vous les rendre. À moins de payer la rançon, pour la plupart, ils sont perdus. Et même si vous payez, il n'y a aucune garantie que les cybercriminels vous rendront ces fichiers.

Ransomware sur Mac

Découvrez KeRanger, le premier véritable ransomware pour Mac.

Ne voulant pas être laissés de côté dans le jeu du ransomware, les auteurs de malware pour Mac ont lancé le premier ransomware pour Mac OS en 2016. Appelé KeRanger, le ransomware infectait une application appelée Transmission qui, une fois lancée, copiait des fichiers malveillants qui restaient en arrière-plan pendant trois jours jusqu'à ce qu'ils se déclenchent et chiffrent les fichiers. Heureusement, le programme anti-malware intégré d'Apple, XProtect, a publié une mise à jour peu après la découverte du ransomware pour le bloquer l'infection des systèmes utilisateurs. Néanmoins, le ransomware pour Mac n'est plus théorique. 

Suivant KeRanger, il y avait Findzip et MacRansom, tous deux découverts en 2017. Plus récemment en 2020, il y a eu ce qui ressemblait à un ransomware (ThiefQuest, alias EvilQuest), mais il s'est avéré être en réalité ce qu'on appelle un "wiper." Il prétendait être un ransomware pour masquer le fait qu'il exfiltrait toutes vos données, et bien qu'il chiffrât des fichiers, il n'avait jamais de moyen pour les utilisateurs de les déchiffrer ou de contacter le gang en matière de paiements. 

Ransomware mobile

Ce n'est qu'au moment du pic du tristement célèbre CryptoLocker et d'autres familles similaires en 2014 que le ransomware a été observé à grande échelle sur les appareils mobiles. Le ransomware mobile affiche généralement un message disant que l'appareil a été verrouillé en raison d'une activité illégale. Le message indique que le téléphone sera déverrouillé après le paiement d'une taxe. Le ransomware mobile est souvent délivré via des applications malveillantes et nécessite que vous démarriez le téléphone en mode sans échec et supprimiez l'application infectée pour retrouver l'accès à votre appareil mobile.

Comment puis-je supprimer un ransomware?

On dit qu’un gramme de prévention vaut un kilo de guérison. Cela est certainement vrai en ce qui concerne le ransomware. Si un attaquant chiffre votre appareil et exige une rançon, il n'y a aucune garantie qu'il le déchiffrera que vous payiez ou non.

C’est pourquoi il est crucial d'être préparé avant de se retrouver victime de ransomware. Deux étapes clés à prendre sont :

  • Installez un logiciel de sécurité avant d'être touché par un ransomware
  • Sauvegardez vos données importantes (fichiers, documents, photos, vidéos, etc.)

Si vous vous retrouvez avec une infection par ransomware, la règle numéro un est de ne jamais payer la rançon. (C’est maintenant un conseil approuvé par le FBI.) Tout ce que cela fait, c'est encourager les cybercriminels à lancer d'autres attaques contre vous ou quelqu'un d'autre. 

Une option potentielle pour supprimer un ransomware est que vous pourriez être en mesure de récupérer certains fichiers chiffrés en utilisant des décrypteurs gratuits. Pour être clair : toutes les familles de ransomware n'ont pas eu de décrypteurs créés pour elles, dans de nombreux cas parce que le ransomware utilise des algorithmes de chiffrement avancés et sophistiqués.

Et même s'il existe un décryptage, il n'est pas toujours clair si c'est pour la bonne version du malware. Vous ne voulez pas chiffrer encore plus vos fichiers en utilisant le mauvais script de décryptage. Par conséquent, vous devrez prêter une attention particulière au message de rançon lui-même, ou peut-être demander l'avis d'un spécialiste en sécurité/IT avant d'essayer quoi que ce soit.

D'autres moyens de traiter une infection par ransomware incluent le téléchargement d'un produit de sécurité connu pour sa capacité de remédiation et l'exécution d'un scan pour éliminer la menace. Vous ne récupérerez peut-être pas vos fichiers, mais vous pouvez être assuré que l'infection sera nettoyée. Pour un ransomware verrouillant l'écran, une restauration complète du système pourrait être nécessaire. Si cela ne fonctionne pas, vous pouvez essayer d'exécuter un scan à partir d'un CD ou d'une clé USB amorçable.

Si vous voulez essayer de contrer une infection par ransomware en train de chiffrer, vous devrez être particulièrement vigilant. Si vous remarquez que votre système ralentit sans raison apparente, éteignez-le et déconnectez-le d'Internet. Si, une fois redémarré, le malware est toujours actif, il ne pourra pas envoyer ni recevoir d'instructions du serveur de commande et de contrôle. Cela signifie qu'en l'absence de clé ou de moyen d'extraire un paiement, le malware pourrait rester inactif. À ce moment-là, téléchargez et installez un produit de sécurité et exécutez un scan complet.

Cependant, ces options de suppression de ransomware ne fonctionneront pas dans tous les cas. Comme mentionné ci-dessus, pour les consommateurs, soyez proactif dans votre défense contre les ransomwares en installant un logiciel de sécurité comme Malwarebytes Premium, et en sauvegardant toutes vos données importantes. Pour les entreprises, en savoir plus sur les solutions professionnelles de Malwarebytes qui incluent la détection, la prévention et le retour en arrière des ransomwares

Comment me protéger contre les ransomwares?

Les experts en sécurité s'accordent à dire que le meilleur moyen de se protéger du ransomware est de l'empêcher de se produire en premier lieu.


Découvrez les meilleures façons de prévenir une infection par ransomware.

Découvrez les meilleures façons de prévenir une infection par ransomware.

Bien qu'il existe des méthodes pour gérer une infection par ransomware, il s'agit au mieux de solutions imparfaites nécessitant bien souvent des compétences techniques bien supérieures à celles de l'utilisateur moyen. Voici donc ce que nous recommandons aux gens de faire pour éviter les conséquences fâcheuses des attaques par ransomware.

La première étape de la prévention contre les ransomwares est d'investir dans une cybersécurité de premier ordre – un programme avec protection en temps réel conçu pour déjouer les attaques de malwares avancés telles que les ransomwares. Vous devriez également rechercher des fonctionnalités qui protégeront les programmes vulnérables des menaces (technologie anti-exploit) ainsi que bloquer les ransomwares d'immobiliser les fichiers (un composant anti-ransomware). Les clients utilisant la version premium de Malwarebytes pour Windows, par exemple, ont été protégés contre toutes les grandes attaques de ransomware de 2017.

Ensuite, même si cela peut vous sembler pénible, vous devez créer régulièrement des sauvegardes sécurisées de vos données. Nous vous recommandons d'utiliser un service de stockage dans le cloud qui inclut chiffrement de haut niveau chiffrement une authentification à plusieurs facteurs. Vous pouvez toutefois acheter des clés USB ou un disque dur externe sur lesquels vous pouvez enregistrer les fichiers nouveaux ou mis à jour. Veillez simplement à déconnecter physiquement les périphériques de votre ordinateur après la sauvegarde, sinon ils risquent eux aussi d'être infectés par un ransomware.

Ensuite, assurez-vous que vos systèmes et logiciels sont à jour. L'épidémie de ransomware WannaCry a exploité une vulnérabilité dans le logiciel Microsoft. Alors que l'entreprise avait publié un correctif pour cette faille de sécurité en mars 2017, beaucoup de gens n'avaient pas installé la mise à jour – ce qui les a laissés vulnérables à l'attaque. Nous comprenons qu'il est difficile de rester à jour avec une liste sans cesse croissante de mises à jour provenant d'une liste sans cesse croissante de logiciels et d'applications que vous utilisez au quotidien. C'est pourquoi nous recommandons de modifier vos paramètres pour activer la mise à jour automatique.

Enfin, restez informé. L'un des moyens les plus courants par lesquels les ordinateurs sont infectés par ransomware est via l'ingénierie sociale. Informez-vous (et vos employés si vous êtes propriétaire d'entreprise) sur la détection du malspam, des sites web suspects, et d'autres escroqueries. Et surtout, faites preuve de bon sens. Si cela semble suspect, ça l'est probablement.

Qui sont les hackers ?

Qu'est-ce qu'un scareware ?

Qu'est-ce qu'un logiciel espion ?