On ouvre une page web, ou on clique sur un lien dans un e-mail, et le bureau de l’ordinateur tourne au gris. Une fenêtre s’ouvre dans le navigateur, avec le logo du FBI en haut à gauche. Dans un coin de la fenêtre, on peut voir la vidéo d’un visage filmé en direct. On tente de cliquer ailleurs, mais l’écran est verrouillé. Puis, surprise, ce visage qui nous regarde à l’écran, on finit par le reconnaître: c’est le nôtre.
Ce n’est pas le scénario d’un quelconque film d’horreur japonais. C’est une forme de virus particulièrement effrayante baptisée «ransomware», ou «virus rançon» qui depuis quelques mois fait l’objet d’un nombre de signalement en forte progression.
Personne ne sait combien de gens ont été infectés, mais McAfee, l’éditeur de logiciels de sécurité, rapporte avoir enregistré 120.000 nouveaux échantillons de ce genre de virus au deuxième trimestre 2012, soit quatre fois plus qu’à la même période l’an dernier.
120.000 nouveaux échantillons de ce genre de virus
Il existe plusieurs variantes de virus rançon, qui ont toutes pour trait commun de commencer par vous interdire l’accès à votre propre ordinateur. Le reste du programme: extorquer de l’argent en faisant chanter l’utilisateur, en l’intimidant ou en lui faisant peur d’une façon ou d’une autre. Aucune contrainte physique mais beaucoup cèdent, et c’est compréhensible.
Le processus que je décris dans le premier paragraphe est celui de l’infection par un virus nommé Reveton, que l’on contracte en cliquant sur un lien malveillant ou en se rendant sur un site web infecté, déclenchant son téléchargement automatique. Sous la vidéo, qui reflète notre surprise quand on se reconnaît, se trouve l’adresse IP de l’ordinateur, le «nom d’hôte», et un avertissement: «votre ordinateur est verrouillé».
En lisant la suite, on découvre que l’on est accusé de possession de fichiers illégalement téléchargés en violation des lois fédérales sur le copyright (une nouvelle version affirme que vous êtes en infraction à la législation SOPA, pour Stop Online Piracy Act qui, qui comme tout «netizen» sérieux devrait le savoir, n’a en fait jamais été adoptée.)
Ce crime, peut-on lire, est puni d’une amende ou d’une peine de prison allant jusqu’à 3 ans. La seule façon de récupérer l’accès à son ordinateur, indique le message, c’est de passer à la caisse. Et à moins d’avoir réglé «l’amende» dans les 48 ou les 72 heures –ce qui requiert par exemple l’achat d’une carte-mandat cash prépayée du genre d’une Moneypak de Green Dot, qui rend la transaction difficile à suivre– on ne pourra plus jamais accéder à sa machine et de surcroît, on court le risque de poursuites au pénal.
Les poursuites au pénal sont bidon, bien sûr, mais l’impossibilité d’accéder à ses données est bien réelle, selon Chet Wisniewski, conseiller sécurité en chef à Sophos, une entreprise s’occupant de sécurité des données. Certaines victimes ont rapporté qu’après un laps de temps leurs fichiers avaient été tout bonnement effacés.
D’un autre côté, il n’est pas sûr que de payer change quoi que ce soit, ou si cela ne fait qu’inciter les escrocs à essayer de presser un peu plus le citron. Ce dont les experts en sécurité sont certains, c’est que l’escroquerie semble fonctionner de façon automatique. On aurait tort de penser qu’on a affaire à un être humain dont on pourrait obtenir la mansuétude, du fait qu’on a vraiment, mais alors vraiment, vraiment, besoin de ces fichiers.
Il existe d’autres types de virus rançon, qui se dispensent de la tactique de l’intimidation à la webcam, mais se servent d’autres moyens pour faire monter les enchères. Graham Cluley de Sophos m’a raconté que les parents âgés d’un de ses amis ont eu affaire à une déclinaison d’un de ces virus, qui affirmait avoir trouvé du matériel pédopornographique sur leur ordinateur. Ils savaient qu’ils n’avaient jamais téléchargé ce genre de choses. Et pourtant, ils étaient tentés de suivre les instructions à l’écran plutôt que d’affronter la honte d’avoir à expliquer la situation à leurs enfants ou à la police.
Ces escroqueries constituent une évolution des formes précédentes de virus rançon, qui ne faisaient pas mystères des intentions criminelles de leurs créateurs. L’une des variantes décrite par Sophos en 2010 cryptait les fichiers de l’utilisateur, modifiait son fond d’écran afin d’y afficher un message d’alerte, puis affichait un fichier texte lui ordonnant d’effectuer un virement de 120 dollars (92 euros) sur un compte en Suisse en échange des instructions permettant de décrypter ses fichiers. Ce dernier était prévenu:
«Ne parlez à personne de ce message si vous voulez récupérer vos fichiers!»
De toute évidence, l’intimidation fonctionne. McAfee a classé les virus-rançon parmi les tendances principales en malware dans son dernier rapport trimestriel sur la menace informatique, qui constate que ces derniers semblent prendre la place des «faux antivirus» en tant qu’escroquerie à la mode (les faux antivirus ont atteint leur pic à la mi-2011).
Brian Krebs, du blog Krebs on Security a pour sa part mis la main sur les données d’une escroquerie au virus-rançon en France, qui révèlent qu’en l’espace d’une journée, 2.116 ordinateurs avaient été infectés. Sur ce total, seules 79 victimes avaient effectivement payé, mais à 100 dollars (environ 77 euros) par tête, le butin n’est pas négligeable, d’autant que les auteurs se livraient probablement à la même arnaque dans plusieurs autres pays.
Ce que les virus-rançon prouvent, c’est qu’au fur et à mesure que l’utilisateur moyen apprend à reconnaître les tentatives d’extorsion classiques telles que l’arnaque nigériane, les criminels informatiques développent des ruses plus sophistiquées.
Les groupes de «hacktivistes» façon Anonymous et LulzSec jouissent d’une médiatisation très importante, grâce à des opérations spectaculaires —attaques par déni de service ou fuitages de mots de passe— visant grosses entreprises ou sites gouvernementaux. Mais chaque jour, des réseaux criminels en expansion constante, originaires d’Europe de l’Est pour beaucoup, s’attaquent à des individus isolés, partout dans le monde, et sans publicité.
Que faut-il faire si, faute d’avoir pris ses précautions et par manque de chance, on se retrouve infecté par un virus rançon? Primo, indique Paul Ducklin dans une vidéo très instructive, ne pas paniquer et éviter les réactions hâtives. Une fois que le virus a pris le contrôle de votre ordinateur, de toute façon, il est très probable que le mal soit déjà fait (en théorie, il est possible que les hackers analysent vos fichiers en quête de données personnelles, mais en pratique c’est rarement le cas. Trop d’efforts pour un résultat incertain).
Ne pas tenir compte des menaces qui vous enjoignent de ne rien dire à personne. A moins d’être vous-même un expert, il est fortement conseillé de contacter un expert en sécurité informatique pour vous aider à gérer la situation. Il se peut qu’un antivirus puisse résoudre le problème mais dans la plupart des cas, vous devrez réinstaller votre système d’exploitation à partir de zéro. Le FBI –le vrai FBI– conseillle également de porter plainte auprès de
http://www.ic3.gov" onclick="window.open(this.href);return false;.
Comme pour l’essentiel des virus, la meilleure protection consiste simplement à éviter les visites aux sites web infectés ou de cliquer sur des liens suspects, que ce soit sur le web ou dans un courrier électronique, un tweet ou un message Facebook, voire (c’est récent) un message Skype.
Mieux vaut également installer les dernières mises à jour de sécurité de son système d’exploitation et de ses applications, et adopter un logiciel antivirus comme mesure prophylactique supplémentaire. Ce genre d’attaque, néanmoins, ne fait que souligner l’importance de l’archivage de ses données. A moins d’accepter le risque de les perdre définitivement.
Il est envisageable, comme l’admettent en privé certains spécialistes en sécurité, que de payer la rançon demandée amène les malfaiteurs à restituer vos données. Mais la ligne officielle, c’est qu’il ne faut jamais payer, ce qui dans la plupart des cas est le conseil le plus avisé. Une fois que les hackers ont empoché la rançon, rien ne les incite en réalité à vous rendre l’accès à vos fichiers. De plus, ayant trouvé un pigeon, il est bien possible qu’ils reviennent vous plumer.
Adieu, Prince nigérian, bonjour, arnaques de plus en plus personnalisées. Si vous avez une adresse email, vous avez sûrement déjà reçu un de ces courriels d'un supposé membre royal ou d'un pasteur d'un pays lointain, vous expliquant avoir reçu une grosse somme d'argent mais avoir besoin d'aide pour transférer cet argent, vous offrant en échange une commission, bien sûr. Pour cette opération, le prince nigérian aurait d'abord besoin que vous lui avanciez quelques petites sommes d'argent via Western Union pour des détails officiels. Evidemment, vous ne recevrez jamais la commission d'un butin inexistant, et vous aurez entre-temps perdu l'argent des «avances».
Si cette bonne vieille arnaque –qui existait déjà avant Internet– continue d'être mise en oeuvre, elle est désormais rejointe par des tentatives de scams beaucoup plus personnalisées et sophistiquées, rapporte The Next Web.
D'abord avec le «spearphishing», une technique d'hameçonnage ciblé où les scammeurs envoient des messages personnalisés à leurs victimes: dans l'opération Octobre Rouge récemment découverte par le laboratoire d'anti-virus Kaspersky, tel diplomate a par exemple reçu une petite annonce de vente de voiture diplomatique.
Le spearphishing se joue sur le long terme, explique The Next Web, un peu comme un voleur qui repèrerait les lieux plusieurs fois avant de cambrioler une maison. De telle sorte que quand le pirate envoie son maliciel (dans un mail se faisant passer pour votre banque et incluant même votre numéro de compte bancaire, récupéré en piratant votre boîte mail par exemple), la victime est beaucoup plus à même de se faire avoir.
Une autre technique consiste à «appâter» la victime en lui proposant une information qui se révèle être un virus ou un maliciel. The Next Web évoque ainsi un groupe de pirates qui a acheté sur le marché noir les adresses mails de milliers de directeurs financiers de grosses entreprises. Les pirates ont ensuite prétendu appartenir au fisc et expliqué que les codes des impôts de leurs entreprises avaient changé, offrant dans le mail un fichier PDF bien pratique résumant toutes ces modifications. Le fichier était infecté avec un logiciel espion qui a récupéré tous les détails des systèmes de paiement des entreprises, et les pirates ont ensuite ajouté discrètement quelques employés fictifs à ces listes de personnes à payer...
Certains internautes se sont mis à contre-arnaquer ceux qui les attaquaient. Sans aller jusque-là, si vous recevez un email suspicieux, vous pouvez chercher si ce genre de mails a été reçu par d'autres ou noté comme une arnaque, en en recherchant les détails sur un moteur de recherche par exemple, et ne pas hésiter à appeler les impôts / la banque / toute autre autorité qui prétend vous envoyer un mail demandant des détails de votre compte en banque ou souhaitant régler un problème de sécurité par mail, pour voir ce qu'il en est réellement. N'utilisez pas alors un numéro de téléphone fourni dans le courrier électronique en question... Le gouvernement donne quelques conseils en plus, tout comme cet article du Parisien.
S’enregistrer
Connexion
FAQ
