vendredi 7 décembre 2012
Rançonner les internautes : l'attaque malware à la mode
Par coyote, vendredi 7 décembre 2012 à 21:21 - Malwares / sécurité
Les éditeurs d’antivirus rapportent actuellement la montée en puissance d’une forme récente de malware, baptisée ransomware. Ces nuisibles bloquent totalement l’accès au système d’exploitation d’un ordinateur et réclament une somme conséquente pour libérer les données.
Symantec, Sophos, Avast!, McAfee… Tous les éditeurs de solutions de sécurité affirment qu’une menace provenant du Web se répand actuellement comme une traînée de poudre. Cette race spécifique de malware porte l’appellation de ransomware. Comme son nom le laisse supposer, il est bien question de rançon avec ces virus informatiques. Et l’otage, c’est l’ordinateur, avec les données qu’il contient.
Concrètement, l’utilisateur contamine sa machine en cliquant sur un des nombreux pièges tendus sur un site de streaming ou de téléchargement. Le nuisible s’introduit alors le plus souvent via les failles d’un composant Flash ou Java non mis à jour. L’autre voie de contamination privilégiée repose sur des pièces jointes ou des liens cliquables dans les mails. Ensuite, une séquence programmée, prend le contrôle à distance de l’ordinateur. L’accès à toutes les données de l’utilisateur est bloqué. Pour le reste, tout dépend de la déclinaison du ransomware.
Dans tous les cas, une page s’affiche sur toute la surface de l’écran avec les logos du FBI, de la police allemande ou française ou d’une autre autorité gouvernementale. Un message vous explique que vous êtes en infraction pour une multitude de motifs (images pédophiles, pornographie, violation de la législation sur les droits d’auteur). Parfois, pour intimider davantage, la webcam de l’ordinateur est déclenchée et l’utilisateur peut se voir sur la page.
Intimidation et fausses amendes avec les ransomwares
Pour débloquer la situation, une seule solution, affirme le message à l'écran : payer une amende salée sous 48 ou 72 heures sous peine de confiscation de la machine ou de suppression de toutes les données. La somme demandée est conséquente et il est demandé de la régler via un système de carte prépayée comme MoneyPak, Ukash ou Epay. Ces procédés souvent utilisés pour les sites de paris en ligne sont l’équivalent de certains mandats Cash et permettent de brouiller les pistes.
Si l’utilisateur règle cette rançon, le blocage ne disparaît pas pour autant. Dans le meilleur des cas, le message indique inlassablement que votre dossier est en cours de traitement, et que cela peut prendre plusieurs heures. De leur côté, les cybercriminels ont empoché la rançon, et restent quasiment intraçables.
Les ransomwares, des virus très lucratifs
Et comme les utilisateurs ont peur de perdre leurs données, cette menace fonctionne bien malgré son manque de crédibilité. D’après Symantec, 2,9 % des victimes sont prêtes à payer pour retrouver le contrôle de leur ordinateur. Et ceci malgré la rançon qui peut dépasser 400 dollars (de 50 à 100 euros en Europe). Ainsi, Symantec rapporte qu'un minuscule gang de cybercriminels est parvenu à contaminer 68.000 ordinateurs en un mois. Il aurait pu récupérer jusqu'à 400.000 dollars !
Jaromir Horejsi, un analyste du laboratoire d’Avast!, explique à Futura-Sciences que cette arnaque n’est pas une nouveauté. « Les premiers cas remontent à 2009. À l’origine, elle s’est développée dans les pays de l’Est avant de débarquer en Europe et aux États-Unis. » L’ingénieur précise qu’il existe 2 principaux types de ransomware. Le plus courant et le moins méchant fait partie de la famille baptisée Reveton. Une fenêtre vient masquer tout l’écran. Un pseudomessage officiel s’affiche alors. En coulisse, ces malwares modifient des clés de registre afin de se lancer automatiquement au démarrage de l’ordinateur. Le spécialiste explique que si c'est le cas, rien n'est perdu. « Lorsque le PC est infecté, il est souvent nécessaire de démarrer avec une clé USB ou un DVD pour nettoyer le registre ». Plus de peur que de mal donc...
MBRlock, le plus dangereux des ransomwares
En revanche, l’autre famille de ransomware, de type MBRlock, est beaucoup plus agressive. Le nuisible s’attaque directement au MBR (Master Boot Record) qui permet normalement d’amorcer le disque dur afin de démarrer. Il le remplace et met de côté l’original. À chaque allumage de l’ordinateur, MBRlock s'active au lieu du démarrage du système d’exploitation. Lui aussi affiche un message exigeant de payer au moins une vingtaine d’euros pour débloquer l’ordinateur. Cette façon de procéder provient essentiellement des pays russophones. L’argent doit être versé via un paiement par téléphone. Débloquer l'ordinateur est alors un peu plus compliqué, mais pas impossible. Il faut trouver un moyen de charger, via une clé USB ou un CD, un outil permettant de réécrire le MBR du système.
Quelle est la parade pour éviter ces nuisibles ? Jaromir Horejsi nous répond en rappelant qu’il faut appliquer les consignes habituelles de bon sens : « prendre son temps avant de cliquer accidentellement sur n’importe quoi et surtout mettre à jour l’ensemble des composants Flash et Java, ainsi que le système d’exploitation et la solution de sécurité ». Mais surtout, ne pas flancher sous la pression des cybercriminels, sous peine de tomber dans un piège encore plus grand.
Source : Futura-Sciences
lu 3348 fois