Tweet
« Your files are encrypted ! », « Votre ordinateur est bloqué ! », « Activité illicite démêlée ! ». Ils sont nombreux, entreprises ou particuliers, à s’être retrouvés, lors de la mise en route de leur PC, devant ces messages angoissants, le plus souvent en anglais, mais aussi depuis quelque temps, approximativement traduits en français. La plupart du temps bardés des logos du FBI, des drapeaux tricolores de la gendarmerie, de la police nationale, et même de la Sacem, ces messages aux allures officielles sont conçus pour faire peur – et inciter à payer pour retrouver l’accès à ses fichiers sur son ordinateur ou son smartphone.
Les premières versions de ces systèmes de racket en ligne sont apparues au début des années 1990. Ils s’apparentaient plus à un système de péage déverrouillant l’accès à son ordinateur. De faux messages de service semblant émaner de Microsoft, ou de faux « avertissements officiels » des autorités locales intimant l’ordre de payer une – modeste – somme d’argent si l’on voulait récupérer toutes les fonctionnalités et documents de l’ordinateur infecté.
Des versions plus évoluées mais basées sur le même principe ont ensuite vu le jour. Winlock, apparu en 2010, aurait rapporté en peu de temps près de 14 millions d’euros avant d’être éradiqué, selon les autorités russes. Et depuis, se sont succédé Windows Product Activation (2011), Reveton (2012), Cryptolocker (2013), Trojan. Ransomlock (2014), TorLocker (2014) et surtout Cryptowall (2014).
CryptoWall, le « ransomware » (rançongiciel en français) le plus lucratif de ces dernières années a été repéré dans une nouvelle version plus virulente par plusieurs chercheurs en sécurité le 18 décembre, un mois seulement après la dernière détection de la précédente mouture. Cette version 3.0 (ou « Crowti ») s’appuie sur le réseau anonyme TOR mais aussi – et c’est une nouveauté – sur I2P (Projet Internet Invisible) pour éviter les détections.
Un support anonyme et… gratuit
Dans la seule et unique fenêtre qui apparaît à l’écran – et qu’il est impossible de fermer – un message écrit en rouge prévient : « Pour obtenir la clé de décryptage vous devez payer 500 USD/EUR. Si vous ne payez pas avant l’heure affichée, le coût du décryptage sera doublé à 1 000 USD/EUR. » Vient ensuite un compte à rebours égrenant en temps réel les 168 heures qui séparent de la destruction complète des fichiers, ainsi que le « pedigree » de l’ordinateur verrouillé (version de Microsoft Windows, adresse IP, origine de la connexion, et le nombre de fichiers encodés).
Généreux, les pirates proposent en plus du bouton de paiement (en Bitcoins), une aide en ligne rédigée en français correct et présentée de façon très pédagogique en 4 points, et un bouton « décrypter 1 fichier gratuitement ». Autre nouveauté, le bouton « Support », véritable service client anonyme, leur permettant de guider pas à pas les victimes dans le paiement de la rançon, puis dans le processus de récupération des données. Les pirates espèrent ainsi améliorer leur « rendement » qui se situait en dessous des 0,5 % pour les deux précédentes versions du logiciel, selon les estimations de Dell SecureWorks.
En France, « aucune arrestation n’a été faite à ce jour sur ce type de racket en ligne : c’est beaucoup moins risqué que d’autres formes de délinquance », commente l’adjudant de gendarmerie Nicolas Devin, chargé des enquêtes sur les technologies numériques en région Nord-Pas-de-Calais. Ils sont neuf, comme lui à traquer la cyberdélinquance dans le département, et plus de 200 sur le territoire national. Seuls trois cas ont été déclarés dans sa région : « Nous conseillons aux victimes de ne pas payer la rançon, de faire appel à des spécialistes. Mais nous ne pouvons pas les en empêcher, ce n’est pas une infraction. Donc, certains acceptent de perdre leurs données, de repartir à zéro. Quand la rançon est versée, les pirates tiennent en principe parole, mais le loup est dans la bergerie. »
Difficile de remonter jusqu’aux escorcs : « la source principale vient d’Ukraine, mais ce peut-être juste un relais. De toute façon, il n’y a pas de convention hors Union Européenne. Les autorités locales ne coopèrent pas facilement et nous n’avons aucun moyen de les contraindre. » Le rôle de la brigade est donc surtout très axé sur la prévention, notamment des PME et CCI : « Les pirates scannent le réseau pour trouver des serveurs mal protégés, des failles correspondant à leur outil. Si c’est un particulier, ils laissent tomber, si c’est une très grande entreprise aussi, ils savent qu’une multinationale aura les moyens de réagir. Leur cible préférée est donc la PME sans défense. Les escrocs adaptent leurs prix à la taille de leur victime qui varie entre 10 000 et 20 000 euros pour une PME. »
Des logiciels conçus en Russie
Selon une analyse de Keith Jarvis, chercheur au CTU (Counter Threat Unit), l’unité spécialisée en menaces virales de la société Dell SecureWorks, CryptoLocker, la première version de CryptoWall, apparue le 5 septembre 2013, aurait rapporté à ses créateurs entre 27 et 30 millions de dollars (entre 23,3 et 26 millions d’euros), en infectant quelque 250 000 ordinateurs à travers le monde en moins de cent jours.
Fin mai 2014, et grâce à une action internationale conjointe baptisée « Opération Tovar », CryptoLocker fut isolé et mis hors d’état de se propager, tandis que les principaux responsables – russes – du gang de cybercriminels à l’origine de la fraude étaient mis sous les verrous.
CryptoWall 2.0, la première variante améliorée de CryptoLocker et apparue début février 2014, utilisait déjà le réseau anonyme TOR. Elle émanait de toute évidence de la même mouvance de criminels russes et a continué à sévir jusqu’au 4 août 2014, date de la dernière campagne de propagation. Selon Microsoft, qui a lancé une mise en garde le 13 janvier, la propagation de CryptoWall 3.0 a débuté très rapidement.
Christophe Kiciak, responsable de l’équipe CheckMates au sein de la société conseil en sécurité Provadys est catégorique sur les trois cas qu’il a eus à traiter en 2014 : « Cryptolocker est une vraie plaie. Quand on vient nous voir, il est déjà trop tard, les données sont perdues. Nous pouvons parfois récupérer certains documents dans les mémoires internes ou les dossiers de fichiers temporaires, mais très peu : l’essentiel est perdu. Nous conseillons de ne pas payer, mais quand on leur dit que nous ne pouvons rien faire de plus, je vois la panique dans leurs yeux, et je suis sûr qu’après mon départ, ils vont payer. »
Les pirates sont très réactifs. En 2014, une vulnérabilité a été repérée sur des serveurs de stockage Synology NAS (network attached Storage) qui équipent de nombreuses sociétés. Christophe Kiciak se souvient : « ils ont développé une version spécialement adaptée à la nouvelle faille et l’ont propagée. Bilan, plusieurs milliers de particuliers et de PME infectés, et une rançon de 300 euros pour chacun à payer. Il est donc important de mettre régulièrement à jour ses systèmes de protection. »
Le dernier spécimen détecté en date répond au nom de code de « Trojan. Agent. BHHK » (également appelé « CTB-locker »). Apparu en fin de journée le 19 janvier dans le sous-continent indien et en Amérique latine, il se propage très rapidement et se présente sous la forme d’un mail provenant d’un supposé FAX. À l’ouverture de la pièce jointe (un fichier compressé en zip), le logiciel chiffre la totalité des données de l’utilisateur connecté puis demande un paiement de 8 bitcoins (environ 1 680 dollars) pour débloquer la situation.
Source: Lemonde.fr
Les premières versions de ces systèmes de racket en ligne sont apparues au début des années 1990. Ils s’apparentaient plus à un système de péage déverrouillant l’accès à son ordinateur. De faux messages de service semblant émaner de Microsoft, ou de faux « avertissements officiels » des autorités locales intimant l’ordre de payer une – modeste – somme d’argent si l’on voulait récupérer toutes les fonctionnalités et documents de l’ordinateur infecté.
Des versions plus évoluées mais basées sur le même principe ont ensuite vu le jour. Winlock, apparu en 2010, aurait rapporté en peu de temps près de 14 millions d’euros avant d’être éradiqué, selon les autorités russes. Et depuis, se sont succédé Windows Product Activation (2011), Reveton (2012), Cryptolocker (2013), Trojan. Ransomlock (2014), TorLocker (2014) et surtout Cryptowall (2014).
CryptoWall, le « ransomware » (rançongiciel en français) le plus lucratif de ces dernières années a été repéré dans une nouvelle version plus virulente par plusieurs chercheurs en sécurité le 18 décembre, un mois seulement après la dernière détection de la précédente mouture. Cette version 3.0 (ou « Crowti ») s’appuie sur le réseau anonyme TOR mais aussi – et c’est une nouveauté – sur I2P (Projet Internet Invisible) pour éviter les détections.
Un support anonyme et… gratuit
Dans la seule et unique fenêtre qui apparaît à l’écran – et qu’il est impossible de fermer – un message écrit en rouge prévient : « Pour obtenir la clé de décryptage vous devez payer 500 USD/EUR. Si vous ne payez pas avant l’heure affichée, le coût du décryptage sera doublé à 1 000 USD/EUR. » Vient ensuite un compte à rebours égrenant en temps réel les 168 heures qui séparent de la destruction complète des fichiers, ainsi que le « pedigree » de l’ordinateur verrouillé (version de Microsoft Windows, adresse IP, origine de la connexion, et le nombre de fichiers encodés).
Généreux, les pirates proposent en plus du bouton de paiement (en Bitcoins), une aide en ligne rédigée en français correct et présentée de façon très pédagogique en 4 points, et un bouton « décrypter 1 fichier gratuitement ». Autre nouveauté, le bouton « Support », véritable service client anonyme, leur permettant de guider pas à pas les victimes dans le paiement de la rançon, puis dans le processus de récupération des données. Les pirates espèrent ainsi améliorer leur « rendement » qui se situait en dessous des 0,5 % pour les deux précédentes versions du logiciel, selon les estimations de Dell SecureWorks.
En France, « aucune arrestation n’a été faite à ce jour sur ce type de racket en ligne : c’est beaucoup moins risqué que d’autres formes de délinquance », commente l’adjudant de gendarmerie Nicolas Devin, chargé des enquêtes sur les technologies numériques en région Nord-Pas-de-Calais. Ils sont neuf, comme lui à traquer la cyberdélinquance dans le département, et plus de 200 sur le territoire national. Seuls trois cas ont été déclarés dans sa région : « Nous conseillons aux victimes de ne pas payer la rançon, de faire appel à des spécialistes. Mais nous ne pouvons pas les en empêcher, ce n’est pas une infraction. Donc, certains acceptent de perdre leurs données, de repartir à zéro. Quand la rançon est versée, les pirates tiennent en principe parole, mais le loup est dans la bergerie. »
Difficile de remonter jusqu’aux escorcs : « la source principale vient d’Ukraine, mais ce peut-être juste un relais. De toute façon, il n’y a pas de convention hors Union Européenne. Les autorités locales ne coopèrent pas facilement et nous n’avons aucun moyen de les contraindre. » Le rôle de la brigade est donc surtout très axé sur la prévention, notamment des PME et CCI : « Les pirates scannent le réseau pour trouver des serveurs mal protégés, des failles correspondant à leur outil. Si c’est un particulier, ils laissent tomber, si c’est une très grande entreprise aussi, ils savent qu’une multinationale aura les moyens de réagir. Leur cible préférée est donc la PME sans défense. Les escrocs adaptent leurs prix à la taille de leur victime qui varie entre 10 000 et 20 000 euros pour une PME. »
Des logiciels conçus en Russie
Selon une analyse de Keith Jarvis, chercheur au CTU (Counter Threat Unit), l’unité spécialisée en menaces virales de la société Dell SecureWorks, CryptoLocker, la première version de CryptoWall, apparue le 5 septembre 2013, aurait rapporté à ses créateurs entre 27 et 30 millions de dollars (entre 23,3 et 26 millions d’euros), en infectant quelque 250 000 ordinateurs à travers le monde en moins de cent jours.
Fin mai 2014, et grâce à une action internationale conjointe baptisée « Opération Tovar », CryptoLocker fut isolé et mis hors d’état de se propager, tandis que les principaux responsables – russes – du gang de cybercriminels à l’origine de la fraude étaient mis sous les verrous.
CryptoWall 2.0, la première variante améliorée de CryptoLocker et apparue début février 2014, utilisait déjà le réseau anonyme TOR. Elle émanait de toute évidence de la même mouvance de criminels russes et a continué à sévir jusqu’au 4 août 2014, date de la dernière campagne de propagation. Selon Microsoft, qui a lancé une mise en garde le 13 janvier, la propagation de CryptoWall 3.0 a débuté très rapidement.
Christophe Kiciak, responsable de l’équipe CheckMates au sein de la société conseil en sécurité Provadys est catégorique sur les trois cas qu’il a eus à traiter en 2014 : « Cryptolocker est une vraie plaie. Quand on vient nous voir, il est déjà trop tard, les données sont perdues. Nous pouvons parfois récupérer certains documents dans les mémoires internes ou les dossiers de fichiers temporaires, mais très peu : l’essentiel est perdu. Nous conseillons de ne pas payer, mais quand on leur dit que nous ne pouvons rien faire de plus, je vois la panique dans leurs yeux, et je suis sûr qu’après mon départ, ils vont payer. »
Les pirates sont très réactifs. En 2014, une vulnérabilité a été repérée sur des serveurs de stockage Synology NAS (network attached Storage) qui équipent de nombreuses sociétés. Christophe Kiciak se souvient : « ils ont développé une version spécialement adaptée à la nouvelle faille et l’ont propagée. Bilan, plusieurs milliers de particuliers et de PME infectés, et une rançon de 300 euros pour chacun à payer. Il est donc important de mettre régulièrement à jour ses systèmes de protection. »
Le dernier spécimen détecté en date répond au nom de code de « Trojan. Agent. BHHK » (également appelé « CTB-locker »). Apparu en fin de journée le 19 janvier dans le sous-continent indien et en Amérique latine, il se propage très rapidement et se présente sous la forme d’un mail provenant d’un supposé FAX. À l’ouverture de la pièce jointe (un fichier compressé en zip), le logiciel chiffre la totalité des données de l’utilisateur connecté puis demande un paiement de 8 bitcoins (environ 1 680 dollars) pour débloquer la situation.
Source: Lemonde.fr
Commentaire