Évolution du rançongiciel : Nouvelles formes d’attaque

Acteur de menace échangeant de l'argent avec une clé

Vous avez déjà entendu parler de rançongiciels ou vous avez malheureusement été victime de leur nature destructrice. Les rançongiciels ont évolué au fil des ans, et de nos jours, les principales cibles des rançongiciels semblent être les organisations publiques ou privées plutôt que les particuliers. Bien que les particuliers ne soient pas à l’abri des rançongiciels, les criminels concentrent leurs efforts sur les attaques à grande échelle afin de tirer le maximum de profit de leur investissement. La plupart des particuliers peuvent se remettre d’attaques par des rançongiciels en restaurant leurs fichiers à partir du nuage, tandis que de nombreuses organisations ont encore du mal à suivre le rythme des protocoles de sauvegarde et de restauration appropriés.

Qu’est-ce qu’un rançongiciel? Traditionnellement, il s’agit d’une forme de logiciel malveillant qui verrouille et chiffre les fichiers sur l’ordinateur ou l’appareil d’une victime, puis qui exige un paiement de rançon pour rétablir l’accès à ces fichiers. Dans la plupart des cas, la victime doit payer les cybercriminels dans un délai donné, sinon elle risque de perdre ses données de façon permanente. Cependant, le paiement de la rançon ne garantit pas la restauration de l’accès aux données.

À mesure que les rançongiciels ont évolué pour échapper à la détection moderne et aux mesures correctives, les meilleures tactiques, techniques et procédures des criminels derrière bon nombre des attaques à grande échelle dont vous avez probablement entendu parler récemment dans les médias grand public ont fait de même. Ces criminels ne causent pas seulement des dommages aux systèmes et aux données qui sont essentiels à l’exécution des activités, ils exfiltrent souvent des données de nature sensible bien avant d’exécuter la charge utile du rançongiciel. Ils utilisent les données exfiltrées comme levier supplémentaire pour garantir le paiement dans les cas où une organisation peut restaurer avec succès ses systèmes et données à partir de sauvegardes. Les criminels exigeront alors une rançon en menaçant de divulguer les données, soit publiquement, soit au plus offrant sur le marché noir. Dans de nombreux cas récents, les criminels ont également communiqué avec les médias et les personnes touchées par l’atteinte à la protection des données afin d’exercer des pressions supplémentaires sur les organisations victimes pour qu’elles paient.

Réseau d'ordinateurs avec ransomware

D’où viennent les rançongiciels?

Le rapport d’enquête 2021 sur les compromissions de données de Verizon (en anglais seulement) indique que 85 % des atteintes sont attribuables à un élément humain quelconque, 61 % à des identifiants, alors que seulement 3 % des atteintes sont attribuables à une exploitation de la vulnérabilité. La plupart des rançongiciels observés à l’état brut proviennent d’un courriel d’hameçonnage menant à la compromission d’identifiants ou au déploiement direct de logiciels malveillants. Cependant, certaines des attaques de rançongiciels les plus répandues et destructrices des dernières années ont ciblé les fournisseurs de logiciels et de services de réseautage et ont mis à profit leurs connexions à distance existantes pour infecter tous leurs clients. Dans un contexte organisationnel, une fois que les criminels disposent d’identifiants, ils peuvent se déplacer latéralement dans l’organisation à la recherche d’occasions de déployer leur rançongiciel. Une fois qu’un appareil est infecté, le rançongiciel restreint l’accès aux fichiers en chiffrant les données de sorte qu’une clé ou un code de déchiffrement est nécessaire pour rétablir l’accès. À ce stade, un avis de « rançon » apparaîtra pour demander des fonds avant que l’accès aux données soit rétabli.

Signalement de rançongiciels

Personnes écrivant un rapport pour ransomware

La plupart des services de police n’approuvent pas le paiement de rançons, car cela encourage les attaques futures. La Police provinciale de l’Ontario a publié un avertissement au sujet des risques liés au paiement des demandes de rançongiciels, car rien ne garantit que le paiement entraînera la récupération de toutes les données chiffrées.

Le rôle des forces de l’ordre est d’enquêter sur l’incident afin de trouver les cybercriminels responsables. Les agents et les analystes travailleront aux côtés de la victime pour préserver et recueillir des éléments de preuve et des renseignements numériques sans nuire aux mesures correctives prises par l’organisation. Les données recueillies par les forces de l’ordre dans le cadre de l’enquête demeureront confidentielles et seront analysées uniquement aux fins de l’enquête. Tout en préservant la confidentialité, les données peuvent également être utilisées à des fins de collecte de renseignements sur les menaces et d’analyse des tendances pour améliorer davantage le programme de sensibilisation de la Police provinciale de l’Ontario.

La police locale renforce sa capacité d’enquêter sur les cybercrimes, y compris sur ces cas complexes. Malheureusement, les cybercrimes ne sont toujours pas signalés. Les cybercrimes doivent être signalés afin que la portée de l’activité criminelle soit comprise, qu’il y ait une enquête appropriée et que les victimes reçoivent le soutien nécessaire.

Téléphone utilisant un bouclier pour bloquer les attaques

La prévention des attaques de rançongiciels commence par la sensibilisation

L’hameçonnage et les courriels frauduleux demeurent un moyen important pour les criminels d’accéder aux organisations et de compromettre leur sécurité. La sensibilisation des utilisateurs aux pratiques exemplaires en matière de cybersécurité est la première étape de la lutte contre les rançongiciels.

Voici certaines choses à faire et à ne pas faire dès qu’il s’agit de rançongiciels :


  • Mener des campagnes internes d’information sur l’hameçonnage afin de sensibiliser le personnel aux dangers que cela représente.
  • Mettre en place une solide stratégie de sécurité des courriels qui peut comprendre le suivi des clics des utilisateurs, l’application de la navigation isolée, l’analyse des pièces jointes malveillantes dans un bac à sable avant la livraison à l’utilisateur final et l’utilisation de l’authentification par étapes.
  • Utiliser des mots de passe complexes avec des lettres minuscules et majuscules, des chiffres et des caractères spéciaux, en évitant les mots du dictionnaire.
  • Disposer de sauvegardes de données, de préférence en isolement d’un système.
  • Disposer d’une stratégie de restauration des données qui devrait être mise à l’essai au moins une fois par année.
  • Corriger les systèmes régulièrement et, si possible, activer les mises à jour logicielles automatiques.
  • Renforcer et sécuriser les systèmes en retirant et en fermant les services et les ports inutiles. Toujours appliquer l’authentification multifactorielle pour les utilisateurs, en particulier pour les comptes d’administrateur.
  • Disposer de plans d’intervention bien documentés et éprouvés en cas de cyberincident, de continuité des activités et de reprise après sinistre. Contracter une cyberassurance et faire affaire avec une entreprise d’intervention en cas d’incident de cybersécurité, en prévention. Organiser un exercice de simulation de cybersécurité au moins une fois par année.
  • Ne pas utiliser le même mot de passe pour les comptes et les services. Avoir des mots de passe différents d’un compte à l’autre est la pratique exemplaire pour prévenir les attaques de bourrage d’identifiants par des criminels qui ont accès à des identifiants ayant fait l’objet d’une fuite.
  • Ne pas ouvrir automatiquement les pièces jointes des courriels ou cliquer sur les liens. Le courriel est l’une des principales voies d’entrée de rançongiciels.
  • Ne pas laisser les sauvegardes être écrasées avec des données corrompues. Si vous êtes victime d’une attaque de rançongiciel, vérifiez vos sauvegardes avant de les restaurer.
  • Ne pas parler de l’incident aux médias ou à qui que ce soit tant que votre responsable des relations avec les médias ne l’aura pas confirmé. Les renseignements fournis peuvent aider les criminels dans leurs demandes de rançon, comme en leur fournissant des renseignements sur vos efforts de rétablissement.

Pour obtenir des documents de formation et des conseils sur la cybersécurité, communiquez-nous à l’adresse cybersecurity@ontario.ca.

logo de la police provinciale de l'ontario

La Division de la cybersécurité du gouvernement de l’Ontario a élaboré ce document en collaboration avec la Police provinciale de l’Ontario afin de souligner l’importance du signalement des logiciels de rançon et de faire connaître des techniques de prévention au moyen de conseils à suivre et de pièges à éviter relativement à ces logiciels.