Ransomware

Un ransomware (ou rançongiciel en français) est un type de logiciel malveillant qui chiffre les fichiers d'un système informatique et exige le versement d'une rançon, généralement en cryptomonnaie, en échange de la clé de déchiffrement. Apparu dans les années 1980, ce vecteur d'attaque est devenu l'une des menaces les plus coûteuses de la cybersécurité mondiale, générant des pertes estimées à plus de 20 milliards de dollars en 2021 selon Cybersecurity Ventures. Les victimes sont aussi bien des particuliers, des PME, des établissements de santé que des infrastructures critiques d'État.

Le premier ransomware documenté est le PC Cyborg Trojan (aussi appelé AIDS Trojan), distribué en 1989 par le biologiste américain Joseph Popp via 20 000 disquettes envoyées à des participants d'une conférence de l'OMS sur le SIDA. Le programme chiffrait les noms de fichiers sur le lecteur C: après 90 démarrages et demandait 189 dollars envoyés par courrier postal au Panama. Le chiffrement utilisé était symétrique et facilement réversible, ce qui limita son impact réel.

Pendant les années 1990 et 2000, les ransomwares restèrent marginaux, freinés par l'absence d'un mécanisme de paiement anonyme efficace. L'émergence du Bitcoin à partir de 2009 permit aux attaquants de percevoir des rançons sans être tracés, déclenchant une prolifération rapide du phénomène.

En 2012, le ransomware Reveton adopta une nouvelle tactique : se faisant passer pour un message des forces de l'ordre (FBI, Europol), il accusait la victime d'activités illicites et demandait une « amende » de 200 dollars via des bons prépayés Ukash. Ce modèle dit « police ransomware » connut une diffusion massive en Europe et en Amérique du Nord.

CryptoLocker, apparu en septembre 2013, constitue un tournant : il utilisa un chiffrement asymétrique RSA-2048 bits couplé à AES-256, rendant le déchiffrement sans la clé privée pratiquement impossible. Diffusé via des pièces jointes d'e-mails frauduleux (hameçonnage) et le botnet Gameover ZeuS, il infecta plus de 500 000 machines en moins d'un an et extorqua environ 3 millions de dollars avant son démantèlement en 2014 par l'opération Tovar.

CryptoWall et ses variantes (2014–2016) amplifièrent ce modèle, extorquant au total plus de 325 millions de dollars selon le Cyber Threat Alliance.

En mai 2017, WannaCry frappe plus de 200 000 systèmes dans 150 pays en 72 heures, exploitant la vulnérabilité Windows EternalBlue, développée par la NSA et divulguée par le groupe Shadow Brokers. Le NHS britannique fut contraint d'annuler environ 19 000 rendez-vous médicaux. Les pertes totales sont estimées entre 4 et 8 milliards de dollars. L'attaque fut attribuée par les gouvernements américain, britannique et australien au groupe nord-coréen Lazarus.

En juin 2017, NotPetya — ciblant initialement l'Ukraine via le logiciel comptable M.E.Doc — se propagea dans 65 pays et coûta plus de 10 milliards de dollars à des entreprises comme Maersk, FedEx/TNT ou Merck. Techniquement un wiper déguisé en ransomware, NotPetya ne prévoyait aucune fourniture de clé de déchiffrement.

En mai 2021, l'attaque contre Colonial Pipeline par le groupe REvil/DarkSide provoqua la fermeture de l'oléoduc approvisionnant 45 % de la côte Est américaine pendant 6 jours, entraînant une déclaration d'état d'urgence dans 17 États. La rançon payée s'éleva à 4,4 millions de dollars en Bitcoin ; le Department of Justice américain récupéra par la suite 2,3 millions de dollars de cette somme.

Les ransomwares exploitent plusieurs vecteurs d'entrée principaux :

• Phishing : pièces jointes malveillantes (fichiers Office avec macros, PDF piégés) ou liens vers des pages de téléchargement compromises. Selon le Verizon Data Breach Investigations Report 2023, le phishing est impliqué dans 36 % des violations de données.
• Exploitation de vulnérabilités : failles RDP (Remote Desktop Protocol) exposées sur Internet, correctifs non appliqués sur des équipements de périmètre tels que des passerelles VPN ou des serveurs de messagerie.
• Compromission de la chaîne logistique : attaque d'un fournisseur de logiciels tiers pour atteindre simultanément des milliers de clients (exemple : Kaseya VSA en juillet 2021, touchant 1 500 entreprises via LockBit et le groupe REvil).
• Accès Initial Brokers (IAB) : courtiers spécialisés vendant des accès compromis (identifiants VPN, sessions RDP actives) sur des forums cybercriminels clandestins.

Un ransomware moderne combine généralement deux algorithmes complémentaires :

• Un algorithme symétrique rapide (AES-256) pour chiffrer les fichiers locaux.
• Un algorithme asymétrique (RSA-2048 ou RSA-4096, parfois Curve25519) pour chiffrer la clé AES ; la partie privée reste sur les serveurs de l'attaquant.

Les fichiers ciblés en priorité regroupent les extensions bureautiques (.docx, .xlsx, .pdf), les bases de données (.sql, .mdf), les sauvegardes (.bak), les images de machines virtuelles (.vmdk) et les fichiers de projet. Certains ransomwares (LockerGoga, Ryuk) vont jusqu'à chiffrer le Master Boot Record pour bloquer le démarrage de la machine.

La communication entre le malware et l'infrastructure de commande et contrôle (C2) de l'attaquant transite souvent par le réseau Tor afin de préserver l'anonymat des serveurs. Après le chiffrement, une note de rançon (fichier .txt ou fond d'écran modifié) indique une adresse de portefeuille en cryptomonnaie (Bitcoin, Monero) et un délai de paiement (généralement 48 à 96 heures), passé lequel la rançon double ou les données exfiltrées sont publiées publiquement.

Depuis 2016 environ, le modèle du Ransomware as a Service (RaaS) structure le marché criminel : des développeurs (les « opérateurs ») fournissent une plateforme clé-en-main — code malveillant, tableau de bord de gestion des victimes, infrastructure de paiement, service d'assistance — à des affiliés qui conduisent les attaques en échange d'une commission généralement fixée entre 20 et 30 % de la rançon perçue. Ce modèle a drastiquement abaissé la barrière technique à l'entrée.

Parmi les groupes RaaS les plus actifs entre 2020 et 2024 :

Groupe	Période active	Particularité notable
LockBit	2019–2024	Plus de 2 000 victimes revendiquées ; panel d'affiliation automatisé ; versions Linux et ESXi
REvil (Sodinokibi)	2019–2022	Attaque Kaseya (70 M$ demandés) ; démantelé par le FSB russe en janvier 2022
Conti	2020–2022	Attaque du HSE irlandais (2021) ; code source intégral divulgué en mars 2022
ALPHV/BlackCat	2021–2024	Premier RaaS codé en Rust ; attaque MGM Resorts (2023, ~100 M$ de pertes estimées)
Cl0p	2019–présent	Exploitation massive de failles zero-day (MOVEit Transfer, 2023 : plus de 2 000 organisations touchées)

À partir de 2019, le groupe Maze inaugura la technique de la double extorsion : en plus de chiffrer les données, les attaquants les exfiltrent préalablement et menacent de les publier sur un site dédié (leak site) si la rançon n'est pas payée dans le délai imparti. Cette technique contourne la défense reposant sur les seules sauvegardes, car une restauration complète ne supprime pas le risque de divulgation des données.

La triple extorsion ajoute une troisième pression : contacter directement les clients, partenaires ou employés de la victime pour les informer de la compromission, ou déclencher simultanément une attaque par déni de service distribué (DDoS) pour accentuer la pression sur les équipes de sécurité.

• Rançons effectivement payées dans le monde : 457 millions de dollars en 2022, 1,1 milliard de dollars en 2023 (source : Chainalysis Crypto Crime Report 2024).
• Coût total intégrant les rançons, les temps d'arrêt, la remédiation et la perte de clientèle : estimé à 30 milliards de dollars en 2023 selon Cybersecurity Ventures.
• Durée moyenne d'interruption d'activité après une attaque : 22 jours en 2021 (Coveware Q4 2021 Ransomware Marketplace Report).
• Taux de récupération des données après paiement de la rançon : environ 65 % des victimes ayant payé obtiennent un outil de déchiffrement fonctionnel, 35 % ne récupèrent pas l'intégralité de leurs données.

D'après les rapports Sophos (State of Ransomware 2023) et IBM X-Force (2024) :

1. Santé et hôpitaux (données médicales sensibles, systèmes souvent non mis à jour)
2. Éducation (infrastructure hétérogène, budgets cybersécurité restreints)
3. Services financiers et assurances
4. Collectivités territoriales et administrations publiques
5. Industrie manufacturière et infrastructures critiques

En France, l'ANSSI a recensé 109 incidents ransomware significatifs en 2021, contre 192 en 2020 — une diminution partielle attribuée au démantèlement de plusieurs groupes criminels et à l'amélioration de la résilience des grandes organisations.

La réduction de la surface d'attaque repose sur plusieurs piliers complémentaires :

• Correctifs de sécurité : appliquer les mises à jour systèmes et applicatives dans les 72 heures suivant la publication d'un correctif critique ; les attaques exploitant des vulnérabilités connues non corrigées représentent 34 % des vecteurs initiaux (Verizon DBIR 2023).
• Authentification multifacteur (MFA) : obligatoire sur tous les accès distants (VPN, RDP, messagerie). L'absence de MFA est corrélée à plus de 80 % des compromissions par credential stuffing selon Microsoft (2023).
• Microsegmentation du réseau : isoler les postes, serveurs et VLAN pour empêcher un ransomware présent sur un poste de se propager latéralement vers les serveurs de fichiers ou les sauvegardes.
• Règle 3-2-1 pour les sauvegardes : 3 copies des données, sur 2 supports différents, dont 1 hors ligne (air-gapped) ou immuable (immutable storage) afin qu'aucune copie ne soit accessible depuis le réseau compromis.
• Filtrage des e-mails : sandbox d'analyse des pièces jointes, désactivation des macros Office non signées numériquement, blocage des domaines enregistrés récemment.
• Pare-feu de nouvelle génération (NGFW) et proxies web filtrant les communications vers les serveurs de commande et contrôle (C2) connus.

• EDR (Endpoint Detection and Response) : surveillance comportementale des processus en temps réel, détection d'activités caractéristiques d'un ransomware (chiffrement massif de fichiers, suppression des Volume Shadow Copies, modification du registre de démarrage).
• XDR (Extended Detection and Response) : corrélation des signaux provenant des EDR, du réseau, des identités et des environnements cloud pour une vision unifiée de l'attaque.
• SIEM couplé à un SOC : centralisation des journaux d'événements et analyse en temps réel ; un SOC opérationnel réduit le délai moyen de détection de 287 jours (IBM Cost of a Data Breach 2023) à quelques heures.
• Threat intelligence : abonnement à des flux de renseignement sur les menaces pour bloquer proactivement les indicateurs de compromission (IoC) des groupes actifs.
• Plan de réponse aux incidents testé régulièrement par des exercices de simulation (tabletop exercises), avec des contacts préétablis auprès des prestataires CSIRT/CERT.

Plusieurs référentiels structurent la résilience face aux ransomwares :

• NIST Cybersecurity Framework (CSF 2.0, 2024) : cinq fonctions — Identifier, Protéger, Détecter, Répondre, Récupérer — directement applicables à la gestion du risque ransomware.
• ISO/IEC 27001 : certification de management de la sécurité de l'information exigeant notamment une politique formalisée de gestion des sauvegardes et de continuité opérationnelle.
• Plan de continuité d'activité (PCA) et Plan de reprise d'activité informatique (PRA) : documentent les procédures de maintien des opérations et de redémarrage des systèmes après sinistre, en définissant des objectifs de temps de reprise (RTO) et de point de reprise (RPO).
• Directive NIS2 (transposée en droit français, entrée en application en 2024) : impose des obligations de signalement des incidents dans les 24 heures et des mesures de sécurité minimales aux entités essentielles et importantes.

En cas d'infection active, les étapes recommandées par l'ANSSI sont les suivantes :

1. Isoler immédiatement les systèmes infectés du réseau (déconnecter les câbles réseau, désactiver le Wi-Fi et le Bluetooth) pour stopper la propagation.
2. Préserver les preuves : captures d'écran de la note de rançon, collecte des journaux, image mémoire ou disque avant toute remédiation.
3. Ne pas éteindre les machines infectées tant que la collecte de preuves n'est pas achevée, sous peine de perdre des clés encore présentes en mémoire vive.
4. Alerter les autorités : en France, dépôt de plainte auprès du procureur de la République compétent et signalement sur la plateforme cybermalveillance.gouv.fr.
5. Éviter de payer la rançon si possible : le paiement ne garantit pas la récupération des données, finance les organisations criminelles et peut enfreindre des sanctions internationales (régime OFAC du Trésor américain).
6. Restaurer depuis des sauvegardes saines, uniquement après assainissement complet et vérifié des systèmes compromis.

Les ransomwares constituent des infractions au titre des articles 323-1 à 323-7 du Code pénal français (accès et maintien frauduleux dans un système informatique, entrave à son fonctionnement, extorsion). Les peines peuvent atteindre 15 ans d'emprisonnement et 300 000 euros d'amende pour des actes commis en bande organisée, portés à 20 ans si l'acte vise un système de traitement de données de l'État.

La conformité RGPD impose aux organismes victimes de notifier la CNIL dans les 72 heures suivant la découverte d'une violation de données personnelles — que celles-ci aient été chiffrées, exfiltrées ou simplement rendues inaccessibles — sous peine d'amende pouvant atteindre 4 % du chiffre d'affaires annuel mondial.

Le marché de la cyberassurance a connu de profondes mutations depuis 2020 : confrontés à une sinistralité élevée (le ratio sinistres/primes a dépassé 70 % en 2020), les assureurs ont relevé les primes, durci les critères d'éligibilité (MFA obligatoire, EDR requis, plan de reprise documenté) et plafonné certaines indemnisations. En 2023, le volume de primes cyber en France atteignait 1,1 milliard d'euros selon France Assureurs.

Certains assureurs excluent désormais explicitement les actes de cyberguerre (débat juridique initié par le cas NotPetya et la clause act of war), créant une zone grise pour les victimes d'attaques à visée géopolitique.

• No More Ransom (initiative Europol, Politie, Kaspersky Lab et McAfee, lancée en 2016) : portail public proposant plus de 120 outils de déchiffrement gratuits pour des familles de ransomwares documentées ; a permis d'éviter plus de 1,5 milliard de dollars de rançons selon Europol (2022).
• Counter Ransomware Initiative (CRI, fondée en 2021) : coalition de 48 pays s'engageant collectivement à ne pas payer les rançons visant des infrastructures critiques et à partager le renseignement sur les groupes criminels actifs.
• Cyber Resilience Act (règlement européen, 2024) : impose des exigences de cybersécurité by design pour les produits contenant des éléments numériques mis sur le marché européen, réduisant à terme la surface d'attaque disponible.

L'intelligence artificielle transforme le paysage des ransomwares dans les deux sens opposés.

Du côté offensif, les modèles de langage (LLM) facilitent la rédaction d'e-mails de phishing hyper-personnalisés et grammaticalement irréprochables, abaissant significativement le seuil de compétence requis pour les affiliés RaaS. Des outils comme WormGPT ou FraudGPT ont été documentés sur des forums cybercriminels dès 2023, proposant une génération de contenus malveillants sans les garde-fous des assistants grand public.

Du côté défensif, les solutions EDR et XDR modernes intègrent des modèles d'apprentissage automatique pour détecter en quelques secondes les comportements anormaux caractéristiques d'un ransomware (chiffrement massif de fichiers, accès aux Volume Shadow Copies, tentatives de désactivation des sauvegardes), avant que le dommage ne devienne irréversible.

Le Modèle Zero Trust — architecture qui postule qu'aucun utilisateur ou équipement ne doit être considéré comme fiable par défaut, même à l'intérieur du périmètre réseau — est de plus en plus adopté comme référence pour limiter l'impact d'une compromission initiale et réduire les possibilités de mouvement latéral d'un ransomware.

Face à la recrudescence des attaques, les organisations investissent dans la sensibilisation des collaborateurs et le renforcement des compétences spécialisées en cybersécurité. En France, le RSSI (Responsable de la Sécurité des Systèmes d'Information) est la figure centrale de la gouvernance cyber dans les organisations de taille intermédiaire et les grands groupes, avec une responsabilité directe sur la stratégie de protection contre les ransomwares.

Les certifications professionnelles en lien avec la lutte contre les ransomwares comprennent le CISSP (ISC²), le CISM (ISACA), le CEH (EC-Council) et les formations d'auditeurs en conformité ISO/IEC 27001. Des cursus spécialisés en réponse aux incidents et en tests d'intrusion préparent les équipes à simuler et contenir des attaques avant qu'elles ne surviennent.

La gestion des risques informatiques intègre désormais systématiquement le scénario ransomware parmi les risques prioritaires, notamment dans les analyses conduites selon la méthode EBIOS Risk Manager, recommandée par l'ANSSI. La cybersécurité des petites et moyennes entreprises constitue un enjeu particulier : disposant de ressources limitées, les PME représentent 43 % des cibles des ransomwares selon Verizon (2023), mais n'ont souvent ni RSSI dédié ni budget suffisant pour déployer des solutions EDR ou XDR.

• Cyberattaque
• Cybersécurité
• Hameçonnage
• Sauvegarde informatique
• Plan de continuité d'activité
• Plan de reprise d'activité informatique
• ANSSI
• Directive NIS2
• Cyberassurance
• Réponse aux incidents de sécurité