Le 9 février dernier, Jean-Paul, commercial dans une PME de Nouvelle-Aquitaine spécialisée dans la communication, s’apprête à visiter le site Internet d’un de ses prospects. À peine vient-il de se connecter qu’une fenêtre pop-up s’ouvre sur l’écran de son ordinateur. Arborant le logo de Chrome, le navigateur qu’il utilise, elle signale que des polices de caractères manquantes empêchent l’affichage correct des pages du site. Un bouton situé au bas de la fenêtre permet de télécharger lesdites polices de caractères. Jean-Paul est invité à cliquer dessus. Ce qu’il fait. Quelques instants plus tard, un message l’informe que les données présentes sur sa machine sont désormais cryptées. S’il veut les récupérer, il doit payer une rançon dans une monnaie électronique appelée Dash qui, selon Evan Duffield, son créateur, assure, contrairement au bitcoin, le parfait anonymat de ses détenteurs.
Heureusement, l’ordinateur de Jean-Paul n’était pas connecté au réseau de l’entreprise. La contamination de ce dernier a donc été évitée. Le service informatique réglera le problème en formatant l’ordinateur. Toutes les données présentes sur la machine seront perdues. On notera que l’antivirus, pourtant à jour et actif, n’a pas été capable de bloquer l’installation et le lancement du rançongiciel baptisé GranCrab.
Bien entendu, il est impératif d’utiliser des logiciels antimalwares et de les maintenir à jour. Comme il convient de systématiquement mettre à jour les systèmes d’exploitation et les navigateurs Internet. Pour autant, comme le démontre cette histoire, cela n’est pas suffisant pour éviter tous risques de contamination.
Les pop-up infectées
La fenêtre pop-up est un moyen souvent utilisé par les pirates informatiques pour véhiculer des malwares et notamment des rançongiciels. Cette technique est très efficace dans la mesure où c’est la victime elle-même qui initie l’action de téléchargement et de lancement du malware. Pour la convaincre, les pirates vont la mettre dans une situation émotionnelle forte et l’inciter à prendre une décision rapide. Typiquement, la fenêtre pop-up signalera un dysfonctionnement qu’il est urgent de régler (polices de caractères manquantes, manque de rapidité de la machine, manque de place sur le disque dur) ou un risque encouru (virus détecté) et proposera une solution (se connecter à un site, télécharger un fichier, lancer un scan de la machine…). Evidemment pour rassurer l’utilisateur, la pop-up prendra les couleurs d’un prestataire de confiance (Windows, un éditeur d’antivirus, Google…).
Ne jamais donner suite à une demande impromptue émanant d’une pop-up est un principe à suivre. Dans tous les cas, il faut faire part de ses doutes à ses collègues ou à son service informatique avant toute action. Un excès de prudence fait perdre beaucoup moins de temps et d’argent qu’un rançongiciel.
En outre, pour limiter l’irruption de ces fenêtres, il ne faut pas hésiter à changer le paramétrage de son navigateur. Les principaux d’entre eux (Chrome, Firefox…) permettent de les bloquer.
Enfin, si un jour, par malheur, une de vos machines est victime d’un rançongiciel, la première chose à faire est de la déconnecter de votre réseau. Ainsi, avec un peu de chance, la contamination du serveur et des autres ordinateurs sera évitée.
Bien entendu, pour ne pas perdre de données suite à ce type d’attaque, il convient de faire quotidiennement des sauvegardes tout en prenant soin de stocker ces dernières sur un support isolé de la machine et du serveur de l’entreprise.
Les Echos Publishing 2017