Cet hiver, la demande de rançon est à la mode, et il n’existe pratiquement plus un seul recoin du monde Internet et télécom qui ne soit touché. A ce train-là, on peut s’attendre à recevoir des lettres de menace du genre « pAy3 B0cou d’ArGent siN0n J3 tue ton T313viseur, ta m0ntr3 conn3kté é ton N4bazT4g ».
Le premier à s’en inquiéter est, une fois de plus, Brian Krebs qui remarque une très nette augmentation des virus-chiffreurs visant les sites Web. Données et fichiers textes ou images sont irrémédiablement chiffrés et rendus inexploitables tant qu’une rançon conséquente n’aura pas été versée. Le salaire du backup, en quelques sortes. Si l’on ajoute à ces méfaits l’activité presque traditionnelle des attaques visant les stations de travail des particuliers (principalement du fait de CryptoWall) c’est près d’un millier de plaintes pour racket au chiffrement qu’aurait reçu le FBI durant le premier semestre de 2015.
De son côté, Europol estime qu’à l’intérieur des frontières de la Communauté, durant les deux premiers mois durant lesquels est apparu Cryptolocker en 2013, plus de 250 000 infections auraient été subies, le montant des rançons effectivement versées frisant les 24 millions d’Euros. Cette rapide progression n’a pu être freinée que grâce à l’élimination du botnet Gameover Zeus, l’un des principaux vecteurs de diffusion du virus.
359 millions de dollars : cet autre chiffre impressionnant, fournis cette fois par nos confrères de Hacked.com (d’après une étude signée Heimdal Security), représenterait le « chiffre d’affaires » réalisé par Cryptowall 3.0… et la version 4.0 promet d’être bien plus ravageuse nous assure Elliot Maras.
En général, une clef de déchiffrement est obtenue en payement de la rançon. En général, car parfois, explique Lawrence Abrams dans les colonnes de bleepingcomputer, le virus-chiffreur est frappé par un bug qui rend toute récupération impossible. Il est également difficile d’estimer le pourcentage de personnes ayant effectivement reçu une clef de déchiffrement une fois la rançon payée, les victimes ayant tendance à ne pas crier leur mésaventure sur les toits.
Parfois, les maîtres-chanteurs menacent, si la somme due n’est pas versée, de publier l’intégralité des fichiers sur Internet. « Les auteurs du malware ont donc effectué un backup certainement plus récent que le vôtre et se proposent de le mettre à votre disposition si vous ne leur versez pas un seul centime » explique ironiquement Brian Krebs. Mais la plus élémentaires des prudences veut que chacun puisse sauvegarder ses propres données sur un support inattaquable (disques à écriture unique) ou inaccessible depuis le réseau local. Ajoutons que les sauvegardes « dans le cloud » peuvent constituer un certain niveau d’assurance, mais ne sont pas totalement infaillibles si la ressource distante est connectée à l’ordinateur-victime au moment même de l’infection.
L’éditeur d’anti-virus Dr Web tient à peu près ce même langage en analysant le comportement d’un ransomware visant les machines Linux et baptisé fort à propos « Linux.Encoder.1 ». Un chercheur de l’équipe F-Secure estime que le chiffre d’affaires du gang à l’origine de Linux.Encoder frise les 12 000 dollars par mois. Net d’impôt, payé en Bitcoins. Mais même les histoires les plus ténébreuses peuvent s’achever avec un happy-end. Aussi terrible soit-il, Linux.Encoder est lui-même frappé par un défaut qui a permis à l’équipe de Bitdefender d’offrir à tout usager un petit script de déchiffrement en python.
Les stations de travail et serveurs Web, sous Windows ou sous Linux… ce n’est pas tout. Il en va de même pour les téléphones et tablettes sous Android s’émeut Charlie Osborne de ZDNet. L’article ne mentionne pas spécifiquement les ransomwares, mais plutôt les vecteurs d’attaque qui « rootent » les terminaux mobiles, éliminant du coup le filtre imposé par les éditeurs et possesseurs de places de marché « officielles ». Le Sans en profite pour effectivement faire le lien avec les ransomware qui, d’ailleurs, appartiennent plus à la catégorie des applications « bloquantes » que des virus-chiffreurs, précise un article de Security Intelligence. Et le Sans d’achever son article du jour par une série de recommandations.
– ton téléphone ne jailbreakeras point, et des virus tu seras protégé
– tes applications chez Google, Amazon, Apple ou Microsoft toujours ira chercher, et à Cydia le dos tu tourneras…
L’on pourrait presque ajouter « En ton constructeur de téléphone toujours auras confiance, quand bien même tes données il pillera et tes choix d’achat dictera ».
Vient enfin l’une des dernières catégories de racket : la rançon au déni de service. Le très sécurisé et très Helvétique prestataire de services de messagerie ProtonMail en a fait les frais, et résume, au fil de son blog, le film des évènements.
Dans un premier temps, les serveurs de ProtonMail se font submerger par une impressionnante attaque en dénis de service. Ne pouvant faire face, les responsables de ce service, pressés par certains utilisateurs de poids, acceptent de payer la rançon de près de 6000 dollars payables en Bitcoin.
Quelques jours plus tard, l’équipe dirigeante de ProtonMail modifie son billet et affirme fort et clair qu’elle s’est un peu fait forcer la main et regrette d’avoir cédé à la pression. Pourquoi ? Parce qu’une fois la rançon versée, l’attaque a repris de plus belle. « Plus jamais nous ne payerons », tempête le porte-parole de l’entreprise.