Ransomware

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.

Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de débridage soit envoyé à la victime en échange d'une somme d'argent. Les modèles modernes de rançongiciels sont apparus en Russie initialement, mais on constate que le nombre d'attaques de ce type a grandement augmenté dans d'autres pays, entre autres l'Australie, l'Allemagne, les États-Unis.

Le terme ransomware (ou ransomware licensing) peut également désigner une forme de financement de logiciel pour lequel une rançon financière est demandée pour qu'il soit distribué sous une licence libre.

En novembre 2012, « McAfee, l’éditeur de logiciels de sécurité, rapporte avoir enregistré 120 000 nouveaux échantillons de ce genre de virus au deuxième trimestre 2012, soit quatre fois plus qu’à la même période l’année d'avant. »[1].

Mode opératoire[modifier | modifier le code]

Un rançongiciel se propage typiquement de la même manière qu'un ver informatique : Il pénètre le système via un fichier téléchargé ou une faille dans un service réseau. Il exécute ensuite une charge active (payload), par exemple un exécutable qui va chiffrer les fichiers personnels de l'utilisateur sur son disque dur (voire plus précisément, ses documents)[2],[3],[4]. Des rançongiciels plus sophistiqués utilisent des algorithmes de cryptographie hybride sur les données de la victime, avec une clef symétrique aléatoire et une clef publique fixée. Ainsi, l'auteur du logiciel malveillant est le seul qui connaisse la clef privée qui permette de déchiffrer les documents[5].

Certains rançongiciels n'utilisent pas de chiffrement. Dans ce cas, la payload est une simple application qui va restreindre toute interaction avec le système, couramment en changeant le shell par défaut (explorer.exe) dans la base de registre Windows[6], ou même changer le Master Boot Record (MBR), pour empêcher le système d'exploitation de démarrer tant qu'il n'a pas été réparé[7].

La payload des rançongiciels, plus particulièrement parmi ceux qui n'utilisent pas de technique de chiffrement de fichiers, utilise des tactiques des scarewares pour forcer l'utilisateur à payer pour le rétablissement de ses données. La charge active peut, par exemple, afficher une alerte à l'utilisateur, faussement issue d'une agence gouvernementale qui avertit l'utilisateur que son système a été pris à parti par un pirate informatique, qui aurait effectué des actions illégales ou bien aurait stocké des contenus illégaux comme des contenus pornographiques ou des logiciels piratés[8],[9]. Certains rançongiciels imitent l'apparence de Windows Product Activation, en indiquant que la version de leur logiciel est illégale ou requiert une ré-activation[10].

Dans tous les cas, un rançongiciel va tenter d'extorquer de l'argent à l'utilisateur, en lui faisant acheter soit un programme pour déchiffrer ses fichiers, soit un simple code qui retire tous les verrous appliqués à ses documents bloqués. Les paiements sont le plus souvent effectués sous la forme de virement bancaire, de SMS surtaxés[11], ou via des sites de paiement en ligne comme Paysafecard ou Paypal[12],[13],[14].

Histoire[modifier | modifier le code]

Ransomwares à chiffrement[modifier | modifier le code]

Le premier rançongiciel référencé datait de 1989 : "PC Cyborg" Trojan(en), codé par Joseph Popp, qui possédait une payload qui avertissait l'utilisateur qu'une certaine licence d'un certain logiciel aurait expiré, en chiffrant des fichiers sur le disque dur, et en demandant à l'utilisateur de payer 189$ à la société "PC Cyborg Corporation" pour déverrouiller le système. Les chercheurs ont toutefois découvert que le chiffrement était réalisé symétriquement, ce qui était facilement cassable[réf. nécessaire]. Popp a été déclaré psychologiquement irresponsable de ses actes, mais il promit de donner les profits de ce logiciel malveillant à la recherche contre le SIDA[15]. L'idée d'introduire de la cryptographie asymétrique pour ce genre d'attaques a été émise par Adam L.Young et Moti Yungen 1996, qui a présenté une preuve de concept pour un virus cryptographique conçu contre les systèmes Macintosh SE/30, en utilisant les algorithmes RSA ou TEA. Young et Yung ont qualifié ce type d'attaques de "cryptovirus d'extorsion", une attaque non-dissimulée faisant partie de la plus grande famille de la cryptovirologie, qui inclut des attaques à la fois ouvertes et dissimulées[2]. D'autres occurrences de rançongiciels réapparurent en mai 2005 [16]. En juin 2006, des vers comme GPcode (en), TROJ.RANSOM.A, Archiveus (en), Krotten (en), Cryzip ou MayArchive commencèrent à utiliser des schémas de chiffrement RSA plus sophistiqués, notamment en augmentant les tailles de clefs de chiffrement. GPcode.AG, détecté en juin 2006, utilisait un schéma de chiffrement RSA à 660 bits[17]. En juin 2008, une nouvelle variante de cette souche virale connue sous le nom de GPcode.AK a été découverte. Elle utilisait une clef RSA à 1024 bits, ce qui était considéré comme suffisamment grande pour être incassable sans utiliser une puissance de calcul considérable, concertée et distribuée[5],[18],[19],[20].

Ransomwares sans chiffrement[modifier | modifier le code]

En août 2010, les autorités russes ont arrêté dix pirates qui étaient reliés à WinLock, un rançongiciel qui affichait des images à caractère pornographique en demandant aux victimes d'envoyer un SMS surtaxé (d'environ 8€ de surtaxe) pour recevoir un code permettant de déverrouiller leurs machines. Un grand nombre d'utilisateurs de Russie et de pays voisins a été affecté par ce virus, le montant du butin étant estimé à plus de 14 millions d'euros. Contrairement à ses prédecesseurs du type GPCode, WinLock n'utilisait pas de chiffrement mais seulement un programme plus simple demandant un code d'activation[9],[21].

En 2011, un rançongiciel imitant la notification du Windows Product Activation ; qui informait l'utilisateur que son système d'exploitation Windows devait-être réactivé, car il aurait été piraté ("victim of fraud"). Une activation en ligne était proposée (comme la vraie procédure d'authentification), mais elle était indisponible. La victime devait alors appeler l'un des six numéros internationaux pour avoir un code à 6 chiffres. Le logiciel malveillant indiquait, à tort, que l'appel était gratuit. En réalité, il était routé via un opérateur pirate vers un pays avec un fort surcoût, qui mettait l'utilisateur en attente. Cela engendrait des coûts de communication très élevés[10].

Reveton[modifier | modifier le code]

En 2012, un nouveau rançongiciel important est apparu : il est connu sous le nom de Reveton, ou encore "the Police Trojan". Conçu à partir du cheval de Troie Citadel (basé lui-même sur le trojan Zeus (Trojan horse) (en)), sa charge active affiche un faux avertissement d'une autorité gouvernementale, signalant que l'ordinateur infecté serait utilisé à des fins illégales, comme du téléchargement de logiciels crackés[22]. Un pop-up informe l'utilisateur que pour déverrouiller son système, il doit acheter un coupon via un service de pré-paiement comme Ukash (en) ou Paysafecard. Pour accroitre l'illusion que l'ordinateur est surveillé par la police, le software affiche aussi l'adresse IP de la machine, voire un aperçu de la webcam pour faire croire à la victime que la police enregistre son visage en temps réel[12],[23].

D'autres variantes, plus spécifiques à la Grande-Bretagne, se revendiquaient émaner de la Metropolitan Police Service, de la SPRD (Société de Perception et de Répartition des Droits) PRS for Music (en) (qui accusait plus spécifiquement l'utilisateur de télécharger illégalement des musiques), ou de la division nationale de police pour la Cybercriminalité (Police National E-Crime Unit (en))[24],[25]. En réponse à cette diffusion du virus la Metropolitan Police Service a clairement expliqué qu'elle ne bloquait jamais un ordinateur pour mener une enquête[12],[8].

Reveton s'est répandu en Europe au début de l'année 2012[12]. En mai 2012, la division de détection de menaces de Trend Micro avait découvert des variantes du logiciel malveillant à destination des États-Unis et du Canada, ce qui laissait à penser que ses auteurs cherchaient à cibler des utilisateurs d'Amérique du Nord[26]. En aout 2012, une nouvelle variante de Reveton est finalement apparue aux États-Unis, demandant une rançon de 200$ au FBI avec une carte de type MoneyPak (en)[23].

Une variante en France se réclame de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication et d'Hadopi. Elle y accuse de pédophilie/zoophilie et de partage illégal de données protégées par le droit d'auteur. La variante inclut également que ne pas avoir protégé son ordinateur est puni par la loi, décourageant la victime à porter plainte. Il est possible que ce ransomware ait des motivations homophobes, puisque cette variante se trouve principalement sur des sites de téléchargement de fichiers pornographiques homosexuels.

La plupart de ces virus est facilement repérable, notamment ceux accusant de pédophilie : la pédophilie étant puni de 4 à 12 ans de prison, il est difficile d'imaginer que payer une simple amende de 100€ puisse effacer la plainte.

Winwebsec[modifier | modifier le code]

Article détaillé : Winwebsec

Winwebsec est une catégorie de logiciels malveillants s'exécutant sur des plateformes Windows et produisant des pop-ups, en se revendiquant être un vrai logiciel antivirus. Leurs pop-ups proposent à l'utilisateur un scan de son système à la recherche de logiciels malveillants, puis affiche de faux résultats tels que "32 Virus and Trojans Detected on your computer. Click on Fix Now button to clean these threats" ("32 virus et chevaux de Troie ont été détectés sur votre ordinateur. Cliquez sur "Corriger maintenant" pour éliminer ces menaces"). Ensuite, un message est affiché pour demander à l'utilisateur de payer pour activer le logiciel, afin d'éliminer les hypothétiques menaces.

Notes et références[modifier | modifier le code]

  1. Le virus-rançon: les kidnappeurs de disque dur arrivent 30/10/2012
  2. a et b DOI:10.1109/SECPRI.1996.502676
  3. (en) Adam Young, Jianying Zhou et Javier Lopez, « Building a Cryptovirus Using Microsoft's Cryptographic API », Information Security: 8th International Conference, ISC 2005, Springer-Verlag,‎ 2005, p. 389–401
  4. (en) Adam Young, « Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy? », International Journal of Information Security, Springer-Verlag, vol. 5, no 2,‎ 2006, p. 67–76
  5. a et b (en) Ryan Naraine, « Blackmail ransomware returns with 1024-bit encryption key », sur ZDnet,‎ 6 juin 2008 (consulté le 3 mai 2009)
  6. (en) « Ransomware: Fake Federal German Police (BKA) notice », sur SecureList (Kaspersky Lab) (consulté le 10 mars 2012)
  7. (en) « And Now, an MBR Ransomware », sur SecureList (Kaspersky Lab) (consulté le 10 mars 2012)
  8. a et b (en) « Police warn of extortion messages sent in their name » (ArchiveWikiwixArchive.isGoogleQue faire ?), sur Helsingin Sanomat. Consulté le 9 mars 2012
  9. a et b (en) Robert McMillian, « Alleged Ransomware Gang Investigated by Moscow Police », sur PC World (consulté le 10 mars 2012)
  10. a et b (en) « Ransomware squeezes users with bogus Windows activation demand », sur Computerworld (consulté le 9 mars 2012)
  11. (en) Dancho Danchev, « New ransomware locks PCs, demands premium SMS for removal », sur ZDNet,‎ 22 avril 2009 (consulté le 2 mai 2009)
  12. a, b, c et d (en) John E. Dunn, « Ransom Trojans spreading beyond Russian heartland », sur TechWorld (consulté le 10 mars 2012)
  13. (en) « Ransomware plays pirated Windows card, demands $143 », sur Computerworld (consulté le 9 mars 2012)
  14. (en) Jacqui Cheng, « New Trojans: give us $300, or the data gets it! », sur Ars Technica,‎ 18 juillet 2007 (consulté le 16 avril 2009)
  15. (en) Michael Kassner, « Ransomware: Extortion via the Internet », TechRepublic (consulté le 10 March 2012)
  16. Susan Schaibly, « Files for ransom », Network World,‎ 2005-09-26 (consulté le 2009-04-17)
  17. John Leyden, « Ransomware getting harder to break », The Register,‎ 2006-07-24 (consulté le 2009-04-18)
  18. Robert Lemos, « Ransomware resisting crypto cracking efforts », SecurityFocus,‎ 2008-06-13 (consulté le 2009-04-18)
  19. Brian Krebs, « Ransomware Encrypts Victim Files With 1,024-Bit Key », Washington Post,‎ 2008-06-09 (consulté le 2009-04-16)
  20. « Kaspersky Lab reports a new and dangerous blackmailing virus », Kaspersky Lab,‎ 2008-06-05 (consulté le 2008-06-11)
  21. (en) John Leyden, « Russian cops cuff 10 ransomware Trojan suspects », The Register (consulté le 10 March 2012)
  22. (en) « Fake cop Trojan 'detects offensive materials' on PCs, demands money », The Register (consulté le 15 August 2012)
  23. a et b (en) « Reveton Malware Freezes PCs, Demands Payment », InformationWeek (consulté le 16 August 2012)
  24. (en) Lance Whitney, « Ransomware locks up PCs in fake anti-piracy campaign », ZDnet.co.uk (consulté le 11 May 2012)
  25. (en) John E. Dunn, « Police alert after ransom Trojan locks up 1,100 PCs », TechWorld (consulté le 16 August 2012)
  26. (en) Lucian Constantian, « Police-themed Ransomware Starts Targeting US and Canadian Users », PC World (consulté le 11 May 2012)

Voir aussi[modifier | modifier le code]