Ohé matelot ! Sacrément content de vous retrouver ici.
Vous avez dĂ©jĂ lu le premier chapitre sur la valeur de vos donnĂ©es, vous vous dites dĂ©sormais qu'il y a forcĂ©ment quelquâun pour essayer dâen tirer profit ! (Si vous ne l'avez pas lu, je vous invite Ă aller y jeter un oeil Chapitre 1 - Les donnĂ©es )
Aujourdâhui, on attaque quelque chose que tout le monde connaĂźt⊠ou croit connaĂźtre : le Ransomware.
Celui qui prend nos fichiers en otage, affiche un gros message rouge qui fait peur et nous demande de payer en Bitcoin.
(Mais Vincent, on sait dĂ©jĂ ce que câest un ransomware... đ)
Ouais, ouais⊠comment ça marche vraiment ?
Avant de rĂ©pondre Ă tout ça, jâai une histoire Ă vous raconter.
Une histoire qui commence en 1989, avant Internet, avant les cryptomonnaiesâŠ
Nous sommes en 1989. Les cheveux sont long, les vestes en cuir sont trop grandes, la Game Boy vient de sortir, et personne ne parle de cyberattaque.
Pourtant, cette année-là , un certain Dr. Franke⊠Joseph Popp, biologiste américain, va lancer la toute premiÚre attaque par ransomware.
Ă lâĂ©poque, pas de Dark Web, pas dâemails frauduleux.
Pour diffuser son virus, il choisit une méthode artisanale.
Il envoie 20 000 disquettes par la poste.
Un joli paquet, accompagnĂ© dâun message rassurant :
đ "Logiciel dâĂ©tude sur le VIH/SIDA â InsĂ©rez la disquette pour Ă©valuer vos risques de contamination."
Câest assez ironique quand mĂȘme, une Ă©tude sur le SIDA qui contenait un virus âŠ
Bref, le piĂšge est parfait.
Qui se mĂ©fierait dâun programme mĂ©dical, distribuĂ© par un scientifique de renom ?
Les chercheurs insÚrent la disquette, installent le logiciel⊠et tout semble fonctionner normalement.
Sauf quâen arriĂšre-plan, un compte Ă rebours est lancĂ©.
90 redémarrages plus tard⊠BOOM.
Un message sâaffiche sur lâĂ©cran :
đ âVotre logiciel est en infraction avec la licence PC Cyborg. Pour restaurer l'accĂšs, envoyez un chĂšque de 189 $ Ă la boĂźte postale au Panama.â
Oui, un chĂšque. (189$ en plus đ)
Pas de Bitcoin, pas de cryptomonnaie intraçable, juste un bon vieux paiement papier.
Rudimentaire ? Oui. Mais terriblement efficace.
Joseph Popp venait dâinventer le ransomware moderne, et surtout, un modĂšle Ă©conomique qui allait rapporter des milliards dans les dĂ©cennies Ă venir.
đ Ca vous interesse de savoir comment il a fait ça ?
Parce que câest lĂ que ça devient intĂ©ressant.
Comment un biologiste, en 1989, a-t-il pu concevoir un logiciel capable de verrouiller des fichiers et dâexiger une rançon ?
đĄ Et si on essayait de recrĂ©er un ransomware, juste pour comprendre ?
(Non, non, pas pour le lancer. Juste pour voir comment ça marche.)
Ăvidemment, cet article nâa pas vocation Ă encourager la cybercriminalitĂ©. Lâobjectif est de mieux comprendre comment les ransomwares fonctionnent pour mieux sâen protĂ©ger.
On va décortiquer chaque étape, comme si nous étions aux commandes.
đ Bienvenue dans Histoire de Cyberattaque.
Bon⊠Disons que je veux créer un ransomware.
Un programme qui chiffre les fichiers et demande une rançon.
Par oĂč je commence ?Ma premiĂšre question, câest :
đĄ Quâest-ce que je veux que mon ransomware fasse exactement ?
Pour crĂ©er un ransomware (encore une fois, on imagine hein), il faut quâil fasse 3 choses :
1ïžâŁ Scanner les fichiers pour savoir quoi chiffrer.
2ïžâŁ Chiffrer ces fichiers pour les rendre inutilisables.
3ïžâŁ Afficher un message qui fait peur pour forcer la victime Ă payer.
Un ransomware, câest du business.
Le but nâest pas de dĂ©truire, mais de faire en sorte que la victime VEUILLE payer.
Et câest lĂ que ça devient vraiment intĂ©ressant.
Un ransomware, ça commence toujours dans un simple fichier texte.
Oui, comme un fichier Bloc-notes sur Windows.
Parce que oui, un ransomware, câest juste un logiciel comme un autre.
Lâordinateur ne voit pas de diffĂ©rence entre un ransomware et un logiciel lĂ©gitime.
Tout ce quâil voit, câest un fichier exĂ©cutable quâil doit exĂ©cuter.
đĄ Un programme, câest juste une sĂ©rie dâinstructions.
Lâordinateur exĂ©cute bĂȘtement ce quâon lui donne.
Il ne réfléchit pas, il ne doute pas, il obéit.
Si je lui dis :
print("Hello, world!")
Lâordinateur affiche "Hello, world!".
Et si je lui dis :
chiffrer_fichiers("C:/Documents")
Il exĂ©cute sans poser de questions. (câest exagĂ©rĂ© bien sur, mais câest pour bien comprendre)
OK, maintenant que mon ransomware est sur lâordinateur, il doit savoir oĂč chercher les fichiers intĂ©ressants.
Pourquoi je ne peux pas tout chiffrer nâimporte comment ?
Parce que chiffrer tout le disque dur dâun coup, câest trop voyant.
Si un programme commence Ă toucher tous les fichiers du systĂšme, lâantivirus peut flairer quelque chose.
Lâastuce : ne cibler que les fichiers prĂ©cieux.
đĄ Un ransomware scanne lâordinateur Ă la recherche de fichiers spĂ©cifiques :
âïž Les documents Word, Excel, PDF (.docx, .xlsx, .pdf)
âïž Les bases de donnĂ©es (.sql, .db)
âïž Les fichiers clients, les archives ZIP, etc.
âïž Les fichiers liĂ©s aux sauvegardes locales (.bak, .vhd, .vmdk)
Câest un travail de fourmis
Il utilise une simple boucle qui explore tous les fichiers du disque dur et ne prend que ceux qui correspondent aux extensions ciblées.
On ne va pas chercher Ă chiffrer Windows, ce qui nous intĂ©resse, câest ce qui a de la valeur pour la victime.
Maintenant que jâai une liste de fichiers Ă verrouiller, je dois les rendre illisibles.
đĄ Mais attention, je ne veux pas juste les cacher.
đĄJe veux quâils soient impossibles Ă rĂ©cupĂ©rer sans MA clĂ©.
(spoiler alert) Ca prend du temps, pour Ă©viter que notre prochaine victime ne commence a voir ce quâil se trame sur son serveur. Lâastuce : on ne touche jamais au fichier dâorigine. Je fais une copie, je la chiffre, puis je supprime lâoriginal.
Petit rappel : Le chiffrement, câest quoi ?
Câest comme si je mĂ©langeais toutes les lettres dâun texte, mais dâune maniĂšre ultra prĂ©cise et impossible Ă inverser sans la bonne clĂ©.
đĄ Pourquoi ?
Parce quâun fichier, câest juste une sĂ©rie de 0 et de 1.
Si je modifie ces 0 et 1 avec un algorithme de chiffrement, je peux rendre le fichier totalement illisible.
Exemple ultra simplifié :
Avant chiffrement :
đ Nom : facture.docx
đ Contenu : "Client X doit payer 2000âŹ."
AprĂšs chiffrement :
đ Nom : facture.docx.locked
đ Contenu : "f$8s#nTg1p@x!A9Lz"
(Totalement illisible)
Sans la clĂ©, il est impossible de retrouver lâoriginal. (Vous avez vu le film Engima ? C'est exaxtement ca !)
Et câest exactement ce que fait un ransomware.
Et aussi : Il faut pouvoir revenir en arriĂšre (ou faire croire que !)
Et câest la quâintervient la clĂ© (ou plutĂŽt les clĂ©s) dont on parlait plus haut. Mais un problĂšme se pose : si mon ransomware utilise la mĂȘme clĂ© pour toutes ses victimes ça veut dire que si une seule personne paye et partage la clĂ©, tout le monde peut rĂ©cupĂ©rer ses fichiers.
(le monde du chiffrement est tellement vaste, qu'on lui réservera un prochain chapitre)
Bon. Maintenant que tous les fichiers importants sont verrouillĂ©s, il faut faire paniquer la victime pour quâelle paie.
On va créer un écran de rançon
Si on veut se faire payer, on ne va pas se contenter dâafficher un petit message discret. On va mettre la pression, jouer sur lâurgence et lâĂ©motion.
Et enfin on perfectionne le tout avec :
â
Un compte Ă rebours.
â
Une augmentation de la rançon aprÚs un certain temps.
â
Une menace dâeffacer les fichiers si la victime contacte la police.
Magnifique !
Petit apparté par rapport au paiement de la rançon :
Payer ne garantit absolument pas la récupération ses données.
NE PAYEZ PAS, VOUS FINANCEREZ LES PROCHAINES ATTAQUES, ET VOUS PROUVEREZ QU'ILS PEUVENT RECOMMENCER.
On a vu comment un ransomware sâinstalle, se cache et frappe.
Mais maintenant, il faut répondre à une question clé :
đĄ Qui se cache derriĂšre ces attaques ?
Mais attendez⊠vous pensiez que chaque ransomware était codé à la main par un hacker solitaire en sweat à capuche ?
Haha. Non. Bienvenue dans lâĂšre du crime en SaaS.
Aujourdâhui, les ransomwares sont gĂ©rĂ©s comme de vĂ©ritables entreprises.
Avec des développeurs, des commerciaux, un support client⊠et des milliards en jeu.
Oui, câest une industrie Ă part entiĂšre.
Et elle est bien plus organisĂ©e que vous ne lâimaginez.
Si vous avez dĂ©jĂ utilisĂ© Netflix, Spotify ou Dropbox, vous connaissez le principe de lâabonnement.
đ Vous payez un accĂšs mensuel, et en Ă©change, vous profitez du service sans vous occuper de la technique.
Eh bien, câest pareil pour les ransomwares.
Bienvenue dans le Ransomware-as-a-Service.
1ïžâŁUn groupe criminel crĂ©e un ransomware ultra efficace.
2ïžâŁIl le met en vente sur le Dark Web.
3ïžâŁDâautres cybercriminels lâachĂštent, le personnalisent et lâutilisent pour attaquer des cibles.
Et bien sur, le créateur prend une commission sur chaque rançon payée.
Câest une machine Ă cash.
On ne parle plus de "hackers" traditionnels.
On parle de vendeurs de ransomwares qui proposent leurs produits comme des logiciels professionnels.
Parmi les plus connus, on retrouve :
đ LockBit â Le leader du marchĂ©, ultra rapide et indĂ©tectable.
đ Conti â Un cartel cybercriminel qui a volĂ© des centaines de millions.
đ REvil â CĂ©lĂšbre pour ses attaques sur de grandes entreprises.
đ Ces groupes ne se contentent pas de coder des ransomwares.
Ils fournissent des manuels dâutilisation, des kits prĂȘts Ă lâemploi et mĂȘme un support technique pour aider leurs affiliĂ©s Ă mener leurs attaques.
Oui, certains groupes ont un "service client"⊠pour expliquer aux victimes comment payer la rançon.
La hotline du crime.
On a vu comment un ransomware fonctionne et comment il est vendu.
Mais il manque une piÚce clé du puzzle.
Mais les ransomwares il faut les installer, ils ne tombent pas du ciel. Quelquâun, quelque part, doit les recevoir et les exĂ©cuter. Et pour ça, les hackers ont une arme redoutable : le phishing.
Comment un simple email peut détruire une entreprise en quelques clics ? Réponse dans le prochain épisode !
Bienvenue dans le monde du phishing, croyez-moi, câest loin de ce que vous pensez
đ Ă la semaine prochaine pour le chapitre 3 ! đ
Merci pour votre lecture !
Vincent
Aaah aller, pour les plus curieux je vous raconte la fin de l'histoire de Joseph Popp !
On aurait pu croire que Joseph Popp Ă©tait un gĂ©nie du crime, un cybercriminel prĂ©curseur qui allait bĂątir un empireâŠ
Mais non. Mais alors pas du tout : Son ransomware a Ă©tĂ© un Ă©chec total. TrĂšs vite, un programme gratuit, AIDSOUT, a Ă©tĂ© dĂ©veloppĂ© pour restaurer les fichiers. Et selon les dires des autoritĂ©s Ă l'Ă©poque : Son virus Ă©tait bancal, mal conçu, et nâa probablement jamais rapportĂ© un centime.
Et lâhistoire ne sâarrĂȘte pas la.
Il est identifiĂ© et arrĂȘtĂ© en 1990. Les disquettes portaient l'adresse de la âPC Cyborg Corporationâ et les paiements devaient ĂȘtre envoyĂ©s Ă une boĂźte postale au Panama⊠Autant dire quâil nâa pas laissĂ© le temps Ă la police transpirer pour le retrouver.
Mais son procĂšs a tournĂ© au dĂ©lire. Lorsquâil sâest prĂ©sentĂ© devant le tribunal, il portait :
âïž Une perruque en papier.
âïž Des chaussures enroulĂ©es dans du papier aluminium.
Pourquoi ?
Parce quâil prĂ©tendait ĂȘtre persĂ©cutĂ© par des forces invisibles.
Verdict : inapte mentalement Ă ĂȘtre jugĂ©.
Joseph Popp a disparu de la vie publique, avant de mourir en 2007.
Alors, Joseph Popp était-il un criminel de génie⊠ou juste un homme qui a foiré son coup ?
Certains pensent quâil voulait juste sensibiliser le monde aux dangers des virus informatiques (un peu extrĂȘme comme prĂ©vention).
Dâautres disent quâil espĂ©rait juste faire de l'argent, et que son plan a lamentablement Ă©chouĂ©.
Ce qui est sĂ»r, câest quâil a posĂ© les bases dâun business qui allait exploser.
Aujourdâhui, les ransomwares sont devenus une industrie criminelle de plusieurs milliards de dollars.
Et contrairement Ă Popp, ceux qui en vivent aujourdâhui savent parfaitement ce quâils font.
La veille technologique est primordiale dans notre industrie. Nous vous faisons bénéficier des derniÚres actualités en la matiÚre. Abonnez-vous à notre newsletter pour les recevoir chaque mois dans votre boßte e-mail.
Externalisez votre informatique en toute sĂ©rĂ©nitĂ© avec TAS Cloud Services. HĂ©bergeur cloud de proximitĂ©, nous vous accompagnons Ă chaque Ă©tape pour vous permettre de bĂ©nĂ©ficier dâune solution parfaitement adaptĂ©e Ă vos besoins IT.
Nous sommes là pour répondre à toutes vos questions et demandes de renseignements.
A Sophia-Antipolis, France