Le ransomware (ou rançongiciel en français) est une menace majeure dans le domaine de la cybersécurité.
Il s’agit d’un type de logiciel malveillant (malware) qui bloque l’accès à des systèmes ou des données en les chiffrant, …
et qui exige le paiement d’une rançon pour rétablir l’accès.
Un ransomware est un logiciel malveillant conçu pour prendre en otage des données ou des systèmes informatiques.
Les victimes sont sommées de payer une rançon, généralement en cryptomonnaie (comme Bitcoin), pour récupérer leurs données.
Le premier ransomware connu, "AIDS Trojan", a été distribué via disquette.
Depuis les années 2010, le ransomware est devenu une menace courante, avec des campagnes comme WannaCry (2017) et Ryuk.
Par phishing (emails malveillants avec pièces jointes ou liens infectés).
Par exploit de vulnérabilités (ex. via RDP, VPN non sécurisé, ou applications non patchées).
Téléchargement drive-by (via des sites compromis).
Le malware explore le réseau pour infecter d’autres machines.
Utilisation de vulnérabilités, comme EternalBlue exploitée dans WannaCry.
Les fichiers ciblés (documents, bases de données, etc.) sont chiffrés à l’aide d’algorithmes robustes (ex. AES, RSA).
Les fichiers prennent souvent des extensions spécifiques (ex. .locked, .crypt).
Une note de rançon s’affiche, indiquant le montant à payer, souvent en cryptomonnaie.
Des délais sont imposés, avec la menace de perdre définitivement les données si la rançon n’est pas payée.
Les attaquants fournissent, ou non, une clé pour déchiffrer les données après paiement.
Bloque l’accès au système (par exemple, écran verrouillé). Moins courant aujourd’hui, remplacé par des ransomwares plus complexes.
Chiffre les fichiers pour empêcher leur utilisation. La forme la plus répandue et la plus dévastatrice.
En plus de chiffrer les données, les attaquants menacent de publier des informations sensibles (exfiltration de données).
Les cybercriminels louent des kits de ransomware à d’autres attaquants, rendant les attaques accessibles même aux personnes ayant peu de compétences techniques.
Combine plusieurs techniques d’extorsion, comme l’utilisation de DDoS (attaques par déni de service) en complément.
Distribué par disquette (20 000 envoyées par courrier postal)
Créé par Joseph Popp, biologiste américain
Se déclenchait après 90 redémarrages, chiffrait noms de fichiers
Demandait 189 $ envoyés par mandat à un PO Box au Panama
Popp jugé inapte mentalement, jamais condamné
Diffusé par le botnet Gameover Zeus
Premier ransomware utilisant RSA-2048 asymétrique correctement
500 000 victimes, ~27 millions $ extorqués en 2 mois
Démantelé en mai 2014 par l'opération Tovar (FBI + Europol)
Auteur : Evgeniy Bogachev (russe), encore en fuite, 3 M $ de récompense
WannaCry — 230 000 ordinateurs dans 150 pays en 4 jours. Le NHS britannique a fermé des urgences, des opérations chirurgicales annulées. |
Exploitait EternalBlue (faille SMB), outil NSA volé par les Shadow Brokers
Attribué à la Corée du Nord (Lazarus Group)
Stoppé par Marcus Hutchins via un kill switch (domaine enregistré 10,69 $)
Renault dut arrêter sa production, Telefónica, Deutsche Bahn, FedEx touchés
Rançon demandée : 300 $ en Bitcoin — peu payée
En réalité un wiper — destruction définitive sans clé de récupération
Diffusé via le logiciel comptable ukrainien M.E.Doc
Maersk : 300 M $ de pertes, 4000 serveurs détruits, 45 000 PC à reconstruire
Merck : 870 M $, Mondelez : 100 M $
Total mondial : ~10 milliards $
Attribué au GRU russe (Sandworm)
Distribué via Emotet → TrickBot → Ryuk (chaîne en 3 temps)
Cible : grandes entreprises (Big Game Hunting)
Rançons typiques : 500 k$ à 5 M$
UHS (240 hôpitaux US) paralysés en 2020 — 67 M $ de pertes
Total estimé extorqué : 150 millions $
Maze a introduit la double extorsion : chiffrer les fichiers ET menacer de publier les données volées si la rançon n’est pas payée. |
Premier ransomware avec site de leak publique
Cible Cognizant, Canon, LG, Xerox, Bouygues Construction (200 M $)
"Retraite" annoncée en novembre 2020 — équipe redéployée vers Egregor
Ransomware-as-a-Service le plus actif
Demande record : 50 M$ à Acer, 70 M$ à Kaseya
Kaseya VSA (juillet 2021) : compromission de 1500 entreprises via une seule attaque (supply chain)
JBS Foods (boucherie) paya 11 M$ — pénurie de viande aux US
Démantelé en janvier 2022 par les forces russes (avant l’invasion de l’Ukraine)
Successeur de Ryuk, méthodes ultra-agressives
Cibla l’État du Costa Rica en 2022 → état d’urgence national déclaré
Plus de 180 millions $ extorqués
Chats internes fuités en mars 2022 (révélant 60 000 messages internes)
Démantelé après cette fuite, équipe redistribuée vers d’autres groupes (Black Basta, Royal)
LockBit a été le ransomware le plus actif de 2022-2023 avec plus de 2000 victimes connues et 91 M$ extorqués aux US seuls. |
RaaS, modèle "concurrence" : versions LockBit 2.0, 3.0, "LockBit Black"
Cibles : Continental, Royal Mail UK, Boeing, ICBC (banque chinoise)
Opération Cronos (février 2024) : démantelé par Europol, FBI, NCA
Site de leak réutilisé par les autorités pour publier des contre-messages
Tentative de retour en activité, mais affaibli
Premier ransomware écrit en Rust (langage moderne)
Multi-OS : Windows, Linux, ESXi
Attaqua MGM Resorts (Vegas) en 2023 — 100 M $ de pertes opérationnelles
Change Healthcare (2024) — paralysie du système de santé US, 22 M $ payés
Démantelé puis réapparu, "exit scam" final en mars 2024
Colonial Pipeline (mai 2021) — l’oléoduc transportant 45 % du carburant de la côte Est US arrêté pendant 6 jours. Pénurie d’essence dans 17 États. |
Colonial paya 4,4 millions $ — FBI récupéra 2,3 M $ en saisissant les portefeuilles BTC
DarkSide ferma boutique sous la pression internationale
Équipe re-formée sous le nom BlackMatter, puis ALPHV
Black Basta — héritier de Conti
Royal — actif sur les administrations US
RansomHub — RaaS croissant
Akira — petit mais efficace, cible PME
Cl0p — exploite des zero-days (MOVEit en 2023, 2700 victimes)
| Année | Ransomware | Impact marquant |
|---|---|---|
1989 | AIDS Trojan | Premier ransomware (par disquette) |
2013 | CryptoLocker | 27 M$ — démantelé par opération Tovar |
2017 | WannaCry | NHS UK paralysé, 230 k PC |
2017 | NotPetya | 10 Md $ — Maersk, Merck |
2018 | Ryuk | UHS hôpitaux, 150 M$ extorqués |
2019 | Maze | Invente la double extorsion |
2021 | DarkSide | Colonial Pipeline, pénurie carburant |
2021 | REvil | Kaseya, 1500 victimes en 1 attaque |
2022 | Conti | Costa Rica en état d’urgence |
2024 | LockBit | Démantelé (op. Cronos) |
Perte de données sensibles et de la productivité.
Non seulement le paiement de la rançon, mais aussi les coûts de récupération, d’enquête et d’indemnisation.
Exposition des données clients ou partenaires.
Perte de données personnelles (photos, documents, etc.). Angoisse psychologique.
Hôpitaux, infrastructures publiques, écoles, etc.
Risque accru d’instabilité en cas d’attaque sur des infrastructures critiques (énergie, transport).
Mettre à jour et patcher les logiciels régulièrement.
Utiliser des solutions de sécurité robustes (antivirus, EDR).
Limiter les accès via RDP ou VPN non sécurisés.
Implémenter le principe du moindre privilège pour les utilisateurs.
Maintenir des sauvegardes régulières et hors ligne (air-gapped).
Vérifier l’intégrité et la restaurabilité des sauvegardes.
Former les utilisateurs à identifier les emails de phishing.
Promouvoir des bonnes pratiques (mot de passe fort, éviter de télécharger des fichiers inconnus).
Limiter la propagation d’un ransomware en isolant les segments critiques.
Mise en œuvre de systèmes de détection d’anomalies (IDS/IPS).
Déploiement de solutions Zero Trust.
Isoler les machines infectées :
Déconnecter immédiatement les machines du réseau pour empêcher la propagation.
Utiliser des outils comme ID Ransomware pour reconnaître la variante.
Vérifier si une clé de déchiffrement gratuite est disponible sur des plateformes comme No More Ransom.
Ne payez jamais la rançon : cela ne garantit pas la récupération des données, alimente les cybercriminels et fait de vous une cible récurrente. |
Payer ne garantit pas la récupération des données et alimente les cybercriminels.
Consultez les autorités (police, agences gouvernementales).
Depuis des sauvegardes sécurisées et non infectées.
Identifier la source de l’attaque.
Renforcer les systèmes pour prévenir de futures infections.
No More Ransom (site collaboratif proposant des outils de déchiffrement gratuits).
EDR (Endpoint Detection and Response) : Logiciels comme CrowdStrike, SentinelOne.
Sauvegarde et reprise après sinistre : Veeam, Acronis.
Threat intelligence : Surveillez les tendances et les nouvelles menaces.
Le ransomware reste l’une des menaces les plus dévastatrices de la cybersécurité moderne.
La meilleure défense reste la prévention : sauvegardes hors ligne, sensibilisation, EDR et patch management.
À combiner avec : EDR · Moindre privilège · Hardening · IDS/IPS |