Comment se protéger des virus comme Petya, le nouveau malware qui neutralise votre disque dur et vous réclame une rançon (qu'il ne faut surtout pas payer)<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Comment se protéger des virus comme Petya, le nouveau malware qui neutralise votre disque dur et vous réclame une rançon (qu'il ne faut surtout pas payer)
©Reuters

Pas touche à mes données !

Des logiciels malveillants infiltrant les ordinateurs ne cessent de voir le jour. Petya, le dernier en date, passe par les messageries électroniques pour prendre en otage les données personnelles. Pour se prémunir contre ces menaces, avant toute chose, les utilisateurs doivent faire preuve de vigilance.

Jean-Paul Pinte

Jean-Paul Pinte

Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert  en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux colloques en France et à l'International.

Titulaire d'un DEA en Veille et Intelligence Compétitive, il enseigne la veille stratégique dans plusieurs Masters depuis 2003 et est spécialiste de l'Intelligence économique.

Certifié par l'Edhec et l'Inhesj  en management des risques criminels et terroristes des entreprises en 2010, il a écrit de nombreux articles et ouvrages dans ces domaines.

Il est enfin l'auteur du blog Cybercriminalite.blog créé en 2005, Lieutenant colonel de la réserve citoyenne de la Gendarmerie Nationale et réserviste citoyen de l'Education Nationale.

Voir la bio »

Atlantico : Le logiciel Petya, dernier arrivé dans le domaine des malwares et des virus informatiques, appartient à la catégorie des ramsomwares. Quelle est la spécificité de ces logiciels malveillants et à quand remonte leur apparition ? Comment Petya s'infiltre-t-il sur les ordinateurs ? 

Jean-Paul Pinte : Un malware est un terme anglais signifiant nuisible/malveillant. Il peut donc être un logiciel se manifestant sous la forme d’un virus, d’un ver, d’un spyware, d’un keylogger, d’un cheval de Troie ou encore d’un backdoor. Le ransomware ou rançongiciel fait partie de ces logiciels malveillants qui prennent en otage des données personnelles. Pour cela, un rançongiciel chiffre par exemple des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.

Pour la petite histoire, le phénomène et la pratique n'ont rien de nouveau : ils remontent à 1989 avec le PC Cyborg Trojan codé par un dénommé Joseph Popp. Cette première version possédait une payload qui avertissait l'utilisateur qu'une certaine licence d'un certain logiciel aurait expiré, en chiffrant des fichiers sur le disque dur, et en demandant à l'utilisateur de payer 189$ à la société "PC Cyborg Corporation" pour déverrouiller le système.

Les chercheurs ont toutefois vite découvert que le chiffrement était réalisé symétriquement, ce qui était facilement cassable. Son inventeur Popp a donc été déclaré psychologiquement irresponsable de ses actes, mais il promit de donner les profits de ce logiciel malveillant à la recherche contre le Sida.

Depuis, les ransomwares on fait des petits à l’instar de Locky, SamSam, Maktub, CryptoWall, TeslaCrypt, et tout dernièrement de Petya. Ils constituent un risque croissant depuis quelques années aux Etats-Unis et dernièrement en Europe. Des hôpitaux en ont récemment fait les frais aux Etats-Unis et au Canada et on entend de plus en plus dire que les implants seront les prochaines cibles.

Récemment, en France, dans le Pas-de-Calais, à Boulogne-sur-mer, l’hôpital Duchenne a été ciblé à trois reprises par le ransomware Locky.

Aux États-Unis, le Methodist Hospital à Henderson, Kentucky, a versé ce mois-ci une rançon d’au moins 17 000 dollars pour reprendre le contrôle de son sysrtème d’information.

La plupart des ransomwares se lance par le biais d’une attaque centrée sur l’utilisateur (fichier joint corrompu, phishing, kit d’exploitation…). Ils ne chiifrent que certains fichiers du système contrairement à Petya qui chiffre l’ensemble des disques durs installés.

La méthode est simple. On signale à la personne qu’il y a un fichier à récupérer. Ce dernier contient un exécutable qui s’ouvre et relance alors la machine tout en ayant soin de positionner le ransomware à l’amorce de cette relance.

Le tour est joué. Un message MS-Dos annonce une vérification CheckDisk. A défaut d’être vérifié, le système est chiffré et plus aucun accès n’est alors possible.

Il faut alors payer une rançon via une adresse que propose le système sans avoir l’assurance que nos données seront restituées…

Comment se prémunir contre de tels logiciels ? Une fois que l'ordinateur est infiltré, le paiement de la rançon est-il la seule façon de débloquer l'ordinateur ? 

Comme on le dit souvent, il est préférable de prévenir plutôt que de guérir ! 

Le paiement de la rançon ne doit pas être la solution car, une fois la rançon payée, rien ne vous certifie que les cybercriminels se livreront à la fourniture des clés de déchiffrement des fichiers. Et même s'il procédaient de la sorte, ils peuvent réitérer leur action un peu plus tard. Quelques fois, il est même plus rentable de ne pas payer la rançon si cela n'en vaut pas vraiment la peine. Certaines entreprises touchées ont ainsi préféré laisser tomber, ne pouvant payer la rançon et considérant que la valeur des données volées était inférieure au montant demandé par les cyberdélinquants.

Les sauvegardes automatiques des fichiers restent donc la meilleure parade face à ces malwares. Par ailleurscertaines sociétés telles que Kaspersky proposent des services de décryptage pour les ransomwares les moins perfectionnés.

Sinon, les ransomwares les plus connus jusqu’ici, comme CoinVault et PCLock, ont été vaincus par les spécialistes en sécurité informatique. Pour Coinvault, Kaspersky fournit un outil de déchiffrage et de récupération des documents chiffrés. Pour PCLock, il existe des outils pour supprimer le virus, comme Malwarebytes Anti Malware ou AdwCleaner, et d’autres pour récupérer les fichiers, comme Photorec.

Dans tous les cas de figure, il ne faut jamais ouvrir une pièce jointe d’un expéditeur inconnu, d’un mail douteux, d’un expéditeur connu mais avec une mise en page ou un mode d’expression inhabituel.

Des failles de sécurité dans certains navigateurs chinois ont été révélées. En quoi consistent-elles et quels sont les navigateurs concernés ?

En Chine, le navigateur QQ possède 40,6% des parts de marchés de navigateurs pour téléphone mobile. Il a plus de 300 millions d’utilisateurs. Il a été développé par Tencent, une entreprise de haute technologie chinoise qui possède également les réseaux sociaux QQ et Wechat, tous deux très populaires en Chine. Il utilise la technologie Java et fonctionne avec des onglets de navigation. Un rapport sur la vie privée publié par le Citizen Lab, un centre de recherche à l'Université de Munk School of Global Affairs de Toronto, a constaté que les deux versions Windows et Android de ce navigateur Tencent rassemblaientde grandes quantités de données personnelles transmises sans cryptage. C’est ainsi que des données comme les numéros de série des disques durs et les réseaux Wifi à proximité ont pu être captées par ce même navigateur. Les processus de mise à jour de logiciels ont également des failles qui les laissent vulnérables aux attaques.

Des failles de sécurité ont également été constatées dans les navigateurs appartenant à deux autres géants de technologie chinois, Alibaba et Baidu (le Google chinois) mettant en danger la vie privée et la sécurité des citoyens chinois. Ces vulnérabilités, on le sait très bien avec le cas d’Edward Snowden, peuvent être utilisées pour suivre et cibler les personnes.

Plus tôt en 2012, des vulnérabilités avaient aussi été constatées dans le navigateur UC, un navigateur mobile détenu par Alibaba.

Ces vulnérabilités permettent au gouvernement chinois de surveiller les utilisateurs de ces navigateurs et d'exploiter leurs données. Quels risques cela représente-t-il dans le contexte chinois actuel ? Et pour l'Occident ? 

Cela représenterait un risque important pour les utilisateurs chinois et même en dehors étant donné ce que nous savons des pratiques de surveillance en ligne et de censure de la Chine, notamment à l'encontre de toute critique du Parti communiste chinois.

Il en va aussi de la surveillance accrue des cybercriminels et de leurs trafics illégaux sur le territoire.

La Chine a en effet renforcé un peu plus le contrôle d’Internet sur son sol. Le gouvernement a même l’intention de déployer des "bureaux de sécurité réseau" au sein des principales entreprises Internet et sites Web du pays, a rapporté l’agence Reuters sur la base d’une communication du ministère chinois de la Sécurité publique.

Ces nouvelles mesures auront probablement des conséquences sur le fonctionnement des fournisseurs d’accès et autres multinationales installées dans le pays.
Au delà de la Chine, ceci ne sera pas sans incidence sur les relations internationales et commerciales entretenues avec l’Occident car la présence de "boîtes noires" sur les réseaux pourrait être vue comme un moyen supplémentaire de faciliter l’espionnage de l’activité des firmes étrangères.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !