Cryptolocker: une infection rare mais dramatique

Les "rançongiciels" (ou "ransomware") ne sont pas une nouveauté. Le cas classique: un cheval de Troie bloque un ordinateur et affiche sur la machine infectée un message venant prétendûment d'une autorité de police - comme le Département fédéral de la justice et police, ciblé il y a quelques mois. Sous prétexte que sa machine contient des données illégales, l'utilisateur doit payer une amende. De quoi donner des sueurs froides, mais l'attaque est assez bénigne: pas de dommage à l'ordinateur, et il est (relativement) aisé de débloquer la machine.

Or, dans le dernier semestre sous revue, une infection bien plus virulente a été observée par MELANI, la Centrale d'enregistrement et d'analyse pour la sûreté de l'information: le maliciel Cryptolocker, observé pour la première fois en Suisse en novembre 2013, crypte toutes les données stockées sur un disque dur et les supports de données raccordés, les rendant inaccessibles à la victime. Peu répandue, l'attaque a néanmoins de lourdes conséquences : "Derrière chaque cas se cache une histoire personnelle dramatique: des particuliers ont ainsi perdu tout leur passé numérique", relève le MELANI dans son rapport. Qui ajoute que les conséquences peuvent être encore plus graves pour les PME, les "données commerciales disparues pouvant menacer leur survie".

Quel est le modus operandi des escrocs? Une fois la machine infectée, ceux-ci amorcent leur chantage, demandant de l'argent en échange de la clé permettant de restaurer les fichiers. Comme le relève le rapport du MELANI, divers antivirus sont déjà capables de repérer et d'éliminer Cryptolocker; mais c'est souvent trop tard, les fichiers ayant déjà été cryptés. Comment restaurer les données d'origine? "Dans les anciens rançongiciels intégrant un cryptage de données de l'utilisateur, la clé était une valeur programmée par défaut, qu'il était facile d'extraire du code source. Ce n'est plus le cas avec Cryptolocker: une clé différente est générée par victime". Selon MELANI, il n'y a pour l'heure aucun moyen de décrypter les données sans la clé. Pour autant, la Centrale déconseille de céder au chantage, puisque rien ne garantit que les pirates enverront effectivement la clé à la victime.

Que faire?

MELANI a déjà pris des mesures avec les fournisseurs d'accès pour réduire la menace.

Concernant les particuliers, les principes de prudence habituels s'appliquent: Cryptolocker se répand via la pièce-jointe infectée d'un e-mail ou, plus retors, lors d'infections par "drive-by download" (téléchargement qui se fait à l'insu de l'utilisateur) sur des pages web piégées par les pirates. Difficile dès lors de s'en prémunir.

MELANI recommande donc d'effectuer régulièrement des sauvegardes externes (back-ups). Avec un facteur aggravant dans le cas de Cryptolocker: le maliciel s'en prend aussi aux disques durs externes raccordés à l'ordinateur. Le rapport cite un cas particulièrement tragique où le "ransonware" a sévi pendant un processus de sauvegarde, détruisant à la fois les données originales et le back-up. MELANI recommande donc d'utiliser deux disques durs externes à tour de rôle et de ne les raccorder qu'au moment de la sauvegarde.