Les ransomwares peuvent frapper très fort. Dernièrement, l’hôpital de Rouen en a fait les frais. Mais qu’est-ce qu’un ransomware, et surtout comment s’en débarrasse t-on ? Par Hung Nim.

Le 15 novembre 2019, le CHU était victime d’une cyberattaque massive qui paralysait l’intégralité de son système d’information. À 19h45, toutes les applications médicales étaient hors d’usage. Le service était alors gravement perturbé, obligeant le personnel à retourner dare-dare à une gestion papier. Le coupable ? Un ransomware cryptolocker qui exigeait une rançon d’un montant de près de 300 000 euros. Sur le devant de la scène de la cybercriminalité, les ransomwares font de plus en plus parler d’eux.

Qu’est-ce qu’un ransomware ?

Un ransomware est un logiciel de rançon malveillant qui restreint le système d’informations d’une société en cryptant ses données. Un ordinateur infecté par un ransomware, voit alors tous ses fichiers corrompus. L’utilisateur ne peut plus y accéder… sauf s’il décide de s’acquitter d’une rançon.

Communément, il existe deux types de ransomware. Le locker ransomware et le crypto ransomware. Le premier verrouille l’ordinateur (clavier, souris) sans pour autant crypter ses données. Au contraire, un crypto ransomware permet de crypter les données de l’utilisateur sans pour autant restreindre l’accès à ses fonctions. On peut toujours allumer son ordinateur, mais on ne peut plus ouvrir ses fichiers utilisateurs (par exemple Word ou Excel.).

Le premier cas est moins grave. Un novice peut très bien prendre le disque dur, le connecter sur un autre ordinateur et récupérer ses données. Dans le second cas, si on effectue cette opération, les données du deuxième ordinateur vont être également cryptées. Le crypto ransomware est un type de virus plus contagieux. Il contamine les périphériques externes (clés USB, etc.) ainsi que tous les lecteurs réseaux connectés (partage de réseaux vers les serveurs de fichiers de l’entreprise) et se propage ainsi à grande vitesse à toute l’entreprise.

Se débarrasser d’un ransomware

Un ransomware a des conséquences dangereuses. Il peut par exemple impacter le poste de travail d’un salarié ou le suivi médical d’un patient. À plus grande échelle, les conséquences économiques peuvent être graves. Le laboratoire Eurofins, attaqué en juin dernier, a estimé ses pertes a près de 58,9 millions d’euros, soit 35% du bénéfice net de l’entreprise.

Il est donc primordial de se débarrasser au plus tôt d’un ransomware. Mais comment ? Les déchiffreurs de ransomware n’ont pas encore prouvé leur efficacité : rien n’indique que le fauteur de troubles ait été supprimé.

Les logiciels anti-ransomware semblent, quant à eux, incapables de prendre en compte les variantes et les mutations du virus informatique. Enfin, même débarrassé de ce dernier, une fois affectés, les postes de travail peuvent encore contenir des résidus. La méthode la plus efficace : réinstaller le poste en question ou le serveur.

Les méthodes préventives

Les méthodes à déployer pour éviter les ransomwares sont relativement simples. Si jamais les postes informatiques n’effectuent que de la bureautique et n’ont pas besoin d’obtenir un accès à Internet, ils ne doivent pas être connectés sur le web. Le mode hors-connexion reste le moyen de protection le plus sûr.

Dès lors qu’une connexion est nécessaire, le rôle de la prévention devient majeur. Au sein de l’entreprise, il est nécessaire d’effectuer des réunions régulières, des campagne de mailings ou des entretiens pour sensibiliser les utilisateurs. Un peu comme les enfants à qui l’on dirait de ne pas suivre une personne inconnue dans la rue qui lui proposerait des bonbons ; un internaute ne doit pas ouvrir ou cliquer sur ce qu’il ne connaît pas. Le mantra est simple : « si tu connais pas, tu cliques pas ».

Les ransomwares ont la dent dure. Ils impactent des sociétés entières, et peuvent même mettre des vies humaines en péril. Les solutions standard ne semblent pas efficaces. Aux entreprises de sensibiliser leurs salariés tout en s’équipant de logiciels sur-mesure.