Tout ce qu’il faut savoir sur les virus-rançon, la dernière ruse des pirates pour s’emparer de votre ordinateur et vous faire chanter.
On ouvre une page web, ou on clique sur un lien dans un e-mail, et le bureau de l’ordinateur tourne au gris. Une fenêtre s’ouvre dans le navigateur, avec le logo du FBI en haut à gauche. Dans un coin de la fenêtre, on peut voir la vidéo d’un visage filmé en direct. On tente de cliquer ailleurs, mais l’écran est verrouillé. Puis, surprise, ce visage qui nous regarde à l’écran, on finit par le reconnaître: c’est le nôtre.
Ce n’est pas le scénario d’un quelconque film d’horreur japonais. C’est une forme de virus particulièrement effrayante baptisée "ransomware", ou «virus rançon» qui depuis quelques mois fait l’objet d’un nombre de signalement en forte progression.
Personne ne sait combien de gens ont été infectés, mais McAfee, l’éditeur de logiciels de sécurité, rapporte avoir enregistré 120.000 nouveaux échantillons de ce genre de virus au deuxième trimestre 2012, soit quatre fois plus qu’à la même période l’an dernier.
120.000 nouveaux échantillons de ce genre de virus
Il existe plusieurs variantes de virus rançon, qui ont toutes pour trait commun de commencer par vous interdire l’accès à votre propre ordinateur. Le reste du programme: extorquer de l’argent en faisant chanter l’utilisateur, en l’intimidant ou en lui faisant peur d’une façon ou d’une autre. Aucune contrainte physique mais beaucoup cèdent, et c’est compréhensible.
Le processus que je décris dans le premier paragraphe est celui de l’infection par un virus nommé Reveton, que l’on contracte en cliquant sur un lien malveillant ou en se rendant sur un site web infecté, déclenchant son téléchargement automatique. Sous la vidéo, qui reflète notre surprise quand on se reconnaît, se trouve l’adresse IP de l’ordinateur, le «nom d’hôte», et un avertissement: «votre ordinateur est verrouillé».
En lisant la suite, on découvre que l’on est accusé de possession de fichiers illégalement téléchargés en violation des lois fédérales sur le copyright (une nouvelle version affirme que vous êtes en infraction à la législation SOPA, pour Stop Online Piracy Act qui, qui comme tout «netizen» sérieux devrait le savoir, n'a en fait jamais été adoptée.)
Il n'y aucun être humain derrière ce kidnapping à distance
Ce crime, peut-on lire, est puni d’une amende ou d’une peine de prison allant jusqu’à 3 ans. La seule façon de récupérer l’accès à son ordinateur, indique le message, c’est de passer à la caisse. Et à moins d’avoir réglé «l’amende» dans les 48 ou les 72 heures –ce qui requiert par exemple l’achat d’une carte-mandat cash prépayée du genre d’une Moneypak de Green Dot, qui rend la transaction difficile à suivre– on ne pourra plus jamais accéder à sa machine et de surcroît, on court le risque de poursuites au pénal.
Les poursuites au pénal sont bidon, bien sûr, mais l’impossibilité d’accéder à ses données est bien réelle, selon Chet Wisniewski, conseiller sécurité en chef à Sophos, une entreprise s’occupant de sécurité des données. Certaines victimes ont rapporté qu’après un laps de temps leurs fichiers avaient été tout bonnement effacés.
D’un autre côté, il n’est pas sûr que de payer change quoi que ce soit, ou si cela ne fait qu’inciter les escrocs à essayer de presser un peu plus le citron. Ce dont les experts en sécurité sont certains, c’est que l’escroquerie semble fonctionner de façon automatique. On aurait tort de penser qu’on a affaire à un être humain dont on pourrait obtenir la mansuétude, du fait qu’on a vraiment, mais alors vraiment, vraiment, besoin de ces fichiers.
Il existe d’autres types de virus rançon, qui se dispensent de la tactique de l’intimidation à la webcam, mais se servent d’autres moyens pour faire monter les enchères. Graham Cluley de Sophos m’a raconté que les parents âgés d’un de ses amis ont eu affaire à une déclinaison d’un de ces virus, qui affirmait avoir trouvé du matériel pédopornographique sur leur ordinateur. Ils savaient qu’ils n’avaient jamais téléchargé ce genre de choses. Et pourtant, ils étaient tentés de suivre les instructions à l’écran plutôt que d’affronter la honte d’avoir à expliquer la situation à leurs enfants ou à la police.
«Ne parlez à personne de ce message si vous voulez récupérer vos fichiers!»
Ces escroqueries constituent une évolution des formes précédentes de virus rançon, qui ne faisaient pas mystères des intentions criminelles de leurs créateurs. L’une des variantes décrite par Sophos en 2010 cryptait les fichiers de l’utilisateur, modifiait son fond d’écran afin d’y afficher un message d’alerte, puis affichait un fichier texte lui ordonnant d’effectuer un virement de 120 dollars (92 euros) sur un compte en Suisse en échange des instructions permettant de décrypter ses fichiers. Ce dernier était prévenu:
Brian Krebs, du blog Krebs on Security a pour sa part mis la main sur les données d'une escroquerie au virus-rançon en France, qui révèlent qu’en l’espace d’une journée, 2.116 ordinateurs avaient été infectés. Sur ce total, seules 79 victimes avaient effectivement payé, mais à 100 dollars (environ 77 euros) par tête, le butin n’est pas négligeable, d’autant que les auteurs se livraient probablement à la même arnaque dans plusieurs autres pays.
Ce que les virus-rançon prouvent, c’est qu’au fur et à mesure que l’utilisateur moyen apprend à reconnaître les tentatives d’extorsion classiques telles que l'arnaque nigeriane, les criminels informatiques développent des ruses plus sophistiquées.
Les groupes de «hacktivistes» façon Anonymous et LulzSec jouissent d’une médiatisation très importante, grâce à des opérations spectaculaires —attaques par déni de service ou fuitages de mots de passe— visant grosses entreprises ou sites gouvernementaux. Mais chaque jour, des réseaux criminels en expansion constante, originaires d’Europe de l’Est pour beaucoup, s’attaquent à des individus isolés, partout dans le monde, et sans publicité.
Une fois que le virus a pris le contrôle, le mal est déjà fait
Que faut-il faire si, faute d’avoir pris ses précautions et par manque de chance, on se retrouve infecté par un virus rançon? Primo, indique Paul Ducklin dans une vidéo très instructive, ne pas paniquer et éviter les réactions hâtives. Une fois que le virus a pris le contrôle de votre ordinateur, de toute façon, il est très probable que le mal soit déjà fait (en théorie, il est possible que les hackers analysent vos fichiers en quête de données personnelles, mais en pratique c’est rarement le cas. Trop d’efforts pour un résultat incertain).
Ne pas tenir compte des menaces qui vous enjoignent de ne rien dire à personne. A moins d’être vous-même un expert, il est fortement conseillé de contacter un expert en sécurité informatique pour vous aider à gérer la situation. Il se peut qu’un antivirus puisse résoudre le problème mais dans la plupart des cas, vous devrez réinstaller votre système d’exploitation à partir de zéro. Le FBI –le vrai FBI– conseille également de porter plainte auprès de www.ic3.gov.
Comme pour l’essentiel des virus, la meilleure protection consiste simplement à éviter les visites aux sites web infectés ou de cliquer sur des liens suspects, que ce soit sur le web ou dans un courrier électronique, un tweet ou un message Facebook, voire (c’est récent) un message Skype.
Mieux vaut également installer les dernières mises à jour de sécurité de son système d’exploitation et de ses applications, et adopter un logiciel antivirus comme mesure prophylactique supplémentaire. Ce genre d’attaque, néanmoins, ne fait que souligner l’importance de l’archivage de ses données. A moins d’accepter le risque de les perdre définitivement.
Il est envisageable, comme l’admettent en privé certains spécialistes en sécurité, que de payer la rançon demandée amène les malfaiteurs à restituer vos données. Mais la ligne officielle, c’est qu’il ne faut jamais payer, ce qui dans la plupart des cas est le conseil le plus avisé. Une fois que les hackers ont empoché la rançon, rien ne les incite en réalité à vous rendre l’accès à vos fichiers. De plus, ayant trouvé un pigeon, il est bien possible qu’ils reviennent vous plumer.
Will Oremus
On ouvre une page web, ou on clique sur un lien dans un e-mail, et le bureau de l’ordinateur tourne au gris. Une fenêtre s’ouvre dans le navigateur, avec le logo du FBI en haut à gauche. Dans un coin de la fenêtre, on peut voir la vidéo d’un visage filmé en direct. On tente de cliquer ailleurs, mais l’écran est verrouillé. Puis, surprise, ce visage qui nous regarde à l’écran, on finit par le reconnaître: c’est le nôtre.
Ce n’est pas le scénario d’un quelconque film d’horreur japonais. C’est une forme de virus particulièrement effrayante baptisée "ransomware", ou «virus rançon» qui depuis quelques mois fait l’objet d’un nombre de signalement en forte progression.
Personne ne sait combien de gens ont été infectés, mais McAfee, l’éditeur de logiciels de sécurité, rapporte avoir enregistré 120.000 nouveaux échantillons de ce genre de virus au deuxième trimestre 2012, soit quatre fois plus qu’à la même période l’an dernier.
120.000 nouveaux échantillons de ce genre de virus
Il existe plusieurs variantes de virus rançon, qui ont toutes pour trait commun de commencer par vous interdire l’accès à votre propre ordinateur. Le reste du programme: extorquer de l’argent en faisant chanter l’utilisateur, en l’intimidant ou en lui faisant peur d’une façon ou d’une autre. Aucune contrainte physique mais beaucoup cèdent, et c’est compréhensible.
Le processus que je décris dans le premier paragraphe est celui de l’infection par un virus nommé Reveton, que l’on contracte en cliquant sur un lien malveillant ou en se rendant sur un site web infecté, déclenchant son téléchargement automatique. Sous la vidéo, qui reflète notre surprise quand on se reconnaît, se trouve l’adresse IP de l’ordinateur, le «nom d’hôte», et un avertissement: «votre ordinateur est verrouillé».
En lisant la suite, on découvre que l’on est accusé de possession de fichiers illégalement téléchargés en violation des lois fédérales sur le copyright (une nouvelle version affirme que vous êtes en infraction à la législation SOPA, pour Stop Online Piracy Act qui, qui comme tout «netizen» sérieux devrait le savoir, n'a en fait jamais été adoptée.)
Il n'y aucun être humain derrière ce kidnapping à distance
Ce crime, peut-on lire, est puni d’une amende ou d’une peine de prison allant jusqu’à 3 ans. La seule façon de récupérer l’accès à son ordinateur, indique le message, c’est de passer à la caisse. Et à moins d’avoir réglé «l’amende» dans les 48 ou les 72 heures –ce qui requiert par exemple l’achat d’une carte-mandat cash prépayée du genre d’une Moneypak de Green Dot, qui rend la transaction difficile à suivre– on ne pourra plus jamais accéder à sa machine et de surcroît, on court le risque de poursuites au pénal.
Les poursuites au pénal sont bidon, bien sûr, mais l’impossibilité d’accéder à ses données est bien réelle, selon Chet Wisniewski, conseiller sécurité en chef à Sophos, une entreprise s’occupant de sécurité des données. Certaines victimes ont rapporté qu’après un laps de temps leurs fichiers avaient été tout bonnement effacés.
D’un autre côté, il n’est pas sûr que de payer change quoi que ce soit, ou si cela ne fait qu’inciter les escrocs à essayer de presser un peu plus le citron. Ce dont les experts en sécurité sont certains, c’est que l’escroquerie semble fonctionner de façon automatique. On aurait tort de penser qu’on a affaire à un être humain dont on pourrait obtenir la mansuétude, du fait qu’on a vraiment, mais alors vraiment, vraiment, besoin de ces fichiers.
Il existe d’autres types de virus rançon, qui se dispensent de la tactique de l’intimidation à la webcam, mais se servent d’autres moyens pour faire monter les enchères. Graham Cluley de Sophos m’a raconté que les parents âgés d’un de ses amis ont eu affaire à une déclinaison d’un de ces virus, qui affirmait avoir trouvé du matériel pédopornographique sur leur ordinateur. Ils savaient qu’ils n’avaient jamais téléchargé ce genre de choses. Et pourtant, ils étaient tentés de suivre les instructions à l’écran plutôt que d’affronter la honte d’avoir à expliquer la situation à leurs enfants ou à la police.
«Ne parlez à personne de ce message si vous voulez récupérer vos fichiers!»
Ces escroqueries constituent une évolution des formes précédentes de virus rançon, qui ne faisaient pas mystères des intentions criminelles de leurs créateurs. L’une des variantes décrite par Sophos en 2010 cryptait les fichiers de l’utilisateur, modifiait son fond d’écran afin d’y afficher un message d’alerte, puis affichait un fichier texte lui ordonnant d’effectuer un virement de 120 dollars (92 euros) sur un compte en Suisse en échange des instructions permettant de décrypter ses fichiers. Ce dernier était prévenu:
«Ne parlez à personne de ce message si vous voulez récupérer vos fichiers!»
De toute évidence, l’intimidation fonctionne. McAfee a classé les virus-rançon parmi les tendances principales en malware dans son dernier rapport trimestriel sur la menace informatique, qui constate que ces derniers semblent prendre la place des «faux antivirus» en tant qu’escroquerie à la mode (les faux antivirus ont atteint leur pic à la mi-2011).Brian Krebs, du blog Krebs on Security a pour sa part mis la main sur les données d'une escroquerie au virus-rançon en France, qui révèlent qu’en l’espace d’une journée, 2.116 ordinateurs avaient été infectés. Sur ce total, seules 79 victimes avaient effectivement payé, mais à 100 dollars (environ 77 euros) par tête, le butin n’est pas négligeable, d’autant que les auteurs se livraient probablement à la même arnaque dans plusieurs autres pays.
Ce que les virus-rançon prouvent, c’est qu’au fur et à mesure que l’utilisateur moyen apprend à reconnaître les tentatives d’extorsion classiques telles que l'arnaque nigeriane, les criminels informatiques développent des ruses plus sophistiquées.
Les groupes de «hacktivistes» façon Anonymous et LulzSec jouissent d’une médiatisation très importante, grâce à des opérations spectaculaires —attaques par déni de service ou fuitages de mots de passe— visant grosses entreprises ou sites gouvernementaux. Mais chaque jour, des réseaux criminels en expansion constante, originaires d’Europe de l’Est pour beaucoup, s’attaquent à des individus isolés, partout dans le monde, et sans publicité.
Une fois que le virus a pris le contrôle, le mal est déjà fait
Que faut-il faire si, faute d’avoir pris ses précautions et par manque de chance, on se retrouve infecté par un virus rançon? Primo, indique Paul Ducklin dans une vidéo très instructive, ne pas paniquer et éviter les réactions hâtives. Une fois que le virus a pris le contrôle de votre ordinateur, de toute façon, il est très probable que le mal soit déjà fait (en théorie, il est possible que les hackers analysent vos fichiers en quête de données personnelles, mais en pratique c’est rarement le cas. Trop d’efforts pour un résultat incertain).
Ne pas tenir compte des menaces qui vous enjoignent de ne rien dire à personne. A moins d’être vous-même un expert, il est fortement conseillé de contacter un expert en sécurité informatique pour vous aider à gérer la situation. Il se peut qu’un antivirus puisse résoudre le problème mais dans la plupart des cas, vous devrez réinstaller votre système d’exploitation à partir de zéro. Le FBI –le vrai FBI– conseille également de porter plainte auprès de www.ic3.gov.
Comme pour l’essentiel des virus, la meilleure protection consiste simplement à éviter les visites aux sites web infectés ou de cliquer sur des liens suspects, que ce soit sur le web ou dans un courrier électronique, un tweet ou un message Facebook, voire (c’est récent) un message Skype.
Mieux vaut également installer les dernières mises à jour de sécurité de son système d’exploitation et de ses applications, et adopter un logiciel antivirus comme mesure prophylactique supplémentaire. Ce genre d’attaque, néanmoins, ne fait que souligner l’importance de l’archivage de ses données. A moins d’accepter le risque de les perdre définitivement.
Il est envisageable, comme l’admettent en privé certains spécialistes en sécurité, que de payer la rançon demandée amène les malfaiteurs à restituer vos données. Mais la ligne officielle, c’est qu’il ne faut jamais payer, ce qui dans la plupart des cas est le conseil le plus avisé. Une fois que les hackers ont empoché la rançon, rien ne les incite en réalité à vous rendre l’accès à vos fichiers. De plus, ayant trouvé un pigeon, il est bien possible qu’ils reviennent vous plumer.
Will Oremus
Commentaire