Attaque par ransomware : devez-vous payer la rançon ?

Jigsaw, NotPetya ou REvil : non, ce ne sont pas les noms des purs-sangs arrivés premiers au tiercé du jour, mais ceux de ransomwares désormais célèbres pour leur diabolique efficacité. Les ransomwares (ou rançongiciels), ce sont ces logiciels qui bloquent les systèmes informatiques de diverses organisations pour leur extorquer une rançon en échange d’un déblocage.

Jigsaw supprime un certain nombre de fichiers du système infecté, puis il augmente progressivement ce volume au fil de l’attaque, tant que la rançon n’est pas payée. NotPetya est le champion en matière d’importances des dégâts, avec une facture globale estimée à près de 10 milliards de dollars. Quant à REvil, il détient le record d’activité. Près de 19 % de la totalité des attaques de ransomwares survenues dans le monde entre août 2020 et juillet 2021 lui ont été attribuées.

Hélas, désormais, toutes les entreprises sont potentiellement concernées par ce fléau. L’une des questions que les décisionnaires doivent donc se poser est la suivante : faut-il payer la rançon ? Voici notre réponse à cette épineuse question.

Comment fonctionne un rançongiciel ?

Les rançongiciels s’introduisent généralement dans l’entreprise par l’intermédiaire d’un e-mail contenant un lien vers un site malveillant. Alternativement, cet email peut déclencher le téléchargement d’un programme malveillant. Ils peuvent aussi être intégrés dans un fichier infecté transmis en pièce jointe, et s’installer automatiquement sur l’ordinateur du titulaire du compte email lors de l’ouverture de ces fichiers.

Toutefois, de plus en plus fréquemment, ces logiciels s’immiscent dans le réseau de l’organisation en utilisant des failles présentes dans le système d’information (dans un logiciel non mis à jour, par exemple), ou en exploitant des faiblesses de l’architecture informatique. Dans ce cas, l’infection ne requiert aucune action, et de ce fait, elle peut être très discrète.

Lorsqu’il a pénétré dans le système informatique d’une entreprise, le logiciel malveillant peut graduellement infecter certains ou l’intégralité des fichiers en les chiffrant (en codant leur contenu) pour les rendre inexploitables. Les auteurs de l’attaque peuvent alors réclamer le paiement d’une rançon en échange de déblocage du système.

La rançon réclamée peut être une somme modique (parfois 200 ou 300 €), mais dans certains cas, elle atteint des montants astronomiques.

Selon une étude de Cybereason, “Ransomware: The True Cost to Business”, dans près de 35 % des cas, la rançon réclamée était comprise entre 350 000 $ et 1,4 million de dollars ; et dans 7 % des cas, elle excédait ces montants.

Faut-il payer la rançon ?

Dans ces conditions, on peut se demander s’il est raisonnable de payer la rançon en cas d’attaque.

Comment allez-vous payer ?

La première question qui se pose porte sur le mode de paiement de la rançon. De toute évidence, les attaquants souhaitent rester anonymes, il est peu probable qu’ils vous donnent les coordonnées d’un compte bancaire. De plus, en effectuant le virement, vous exposez votre propre compte bancaire à des risques de vol.

Très souvent, les pirates réclament un paiement en cryptomonnaie plus ou moins officielle, vous obligeant parfois à vous rendre sur le Dark Web pour effectuer la transaction. Bien sûr, vous n’obtiendrez aucune preuve de paiement. Rien ne les empêchera donc d’affirmer qu’ils n’ont pas reçu la rançon.

Qui vous garantit que vous récupérerez vos données ?

Par définition, les auteurs de l’attaque sont malhonnêtes, et rien ne garantit donc qu’ils tiendront parole et qui vous remettront la clé de chiffrement après paiement de la rançon.

Et même s’ils vous la remettent, cela ne signifie pas que vous pourrez retrouver un système d’information intègre. Dans certains cas, certaines de vos données auront été corrompues et seront inexploitables.

Une incitation à la récidive ?

Hélas, il semble que très souvent, le paiement de la rançon ne fait qu’encourager les auteurs malveillants des attaques à renouveler leur exploit sur la même victime.

L’étude de Cybereason a ainsi constaté que près de 80 % des organisations qui avaient payé la rançon réclamée lors d’une première attaque par ransomware ont subi une seconde attaque. Près de la moitié d’entre elles soupçonne que ce sont les mêmes pirates qui en sont à l’origine.

L’étude cite même le cas d’une entreprise qui a été attaquée une seconde fois seulement 15 jours après avoir réglé la rançon de plusieurs millions de dollars qui lui avait été extorquée lors de la première attaque.

Et dans 46 % des cas, les organisations concernées rapportent que certaines de leurs données ont été corrompues, malgré le paiement de la rançon.

Mieux vaut prévenir que guérir

Dans ces conditions, il vaut mieux renoncer à tenter de débloquer le système informatique, et adopter une stratégie de prévention des attaques, et une autre de récupération des données. La première s’appuiera sur la sécurisation du système informatique, tandis que la seconde mettra l’accent sur les sauvegardes et l’existence d’un Plan de Reprise d’Activité (PRA).

Vous pensez que vous n’avez ni le temps ni les moyens de vous protéger contre ce type de risque qui menace l’existence de votre entreprise ? Confiez ces missions à un partenaire expert en cyber sécurité. À la Réunion, Youtell est reconnu comme tel par Cybermalveillance.gouv, le programme gouvernemental de lutte contre les cybermenaces. Ne vous demandez plus si vous devriez payer la rançon en cas d’attaque : contactez-nous dès à présent pour mettre en place les mesures indispensables au maintien de vos activités, quoi qu’il arrive.