RFI : En mai dernier, le rançongiciel («ransomware» en anglais) WannaCry a touché plus de 300 000 ordinateurs dans 150 pays. De quoi s’agit-il exactement?

Ondrej Vlcek : C’est le nom d’une catégorie de malwares («logiciels malveillants») qui réclament une rançon. Généralement, une fois qu’un rançongiciel est installé, le hacker s’empare du disque dur des victimes avec tous leurs fichiers personnels et demande de l’argent pour rendre les fichiers – sans quoi il les supprime. Une fois que l’ordinateur est infecté, le rançongiciel commence à chiffrer les fichiers, c’est-à-dire à les transformer afin qu’ils ne soient plus lisibles et que l’on ait besoin d’un mot de passe ou d’une clé de chiffrement pour y avoir accès. Il existe aujourd’hui de nouvelles variantes : en plus de crypter le disque dur, le rançongiciel peut aussi menacer l’utilisateur de faire fuiter les fichiers volés sur tout l’Internet.

Les vieux virus étaient beaucoup moins agressifs : ils détournaient votre ordinateur et l’utilisaient simplement pour envoyer des spams ou vous obliger à cliquer sur des pubs afin de générer de l’argent. Ils pouvaient aussi détourner votre ordinateur pour vous espionner et connaître vos mots de passe et identifiants. Là, une fois que la machine est infectée, vos fichiers personnels sont immédiatement modifiés et l’on vous réclame tout de suite de l’argent pour y accéder.

WannaCry est particulièrement inquiétant, car c’est un rançongiciel « auto-répliquant ». Qu’est-ce que cela signifie ?

Normalement, la plupart des logiciels malveillants aujourd’hui nécessitent l’action de l’homme : vous devez cliquer sur un lien, ouvrir une pièce jointe associée à un message électronique ou faire quelque autre exécution manuelle. Ici, tout est entièrement automatisé, c’est-à-dire que si vous avez un ordinateur vulnérable ou pas à jour, WannaCry peut l’infecter sans avoir besoin d’aucune interaction humaine, sans même que vous soyez devant votre ordinateur.

Quelles conséquences cela peut-il avoir sur l’ampleur de WannaCry ?

Cela rend sa propagation beaucoup plus rapide, car le fait de devoir cliquer sur un lien peut prendre des jours ou des semaines. Concernant WannaCry, le monde entier a été infecté en deux heures, le logiciel passant d’un ordinateur à l’autre.

Savons-nous aujourd’hui d’où viennent tous ces logiciels malveillants ? Et quelles sommes d’argent sont impliquées dans ces attaques ?

Pour ce qui concerne les rançongiciels, la plupart viennent de Russie et d’Ukraine (concernant WannaCry, la piste nord-coréenne semble la plus probable, ndlr). Nous avons des indications qui nous laissent penser que la majorité des rançongiciels aujourd’hui sont déployés de façon à ce qu’ils n’affectent pas les personnes vivant en Russie. La raison est qu’il existe en Russie une loi qui rend la création de rançongiciels illégale lorsqu’ils peuvent avoir un impact sur des citoyens russes, mais techniquement légale, d’une certaine manière, lorsqu’ils infectent des gens hors de Russie. L’année dernière, une estimation publiée par le FBI chiffrait le coût de ces cyberattaques à plus d’un milliard de dollars. Cette année, ce montant va probablement doubler et monter à plus de deux milliards de dollars.

Peut-on neutraliser ce type de logiciels malveillants ?

Il y a deux enjeux. Le premier, c’est la prévention. Très important : utiliser un système d’exploitation à jour afin de ne pas être trop vulnérable. Il faut aussi installer un logiciel antivirus de qualité. Enfin, il vaut mieux faire des sauvegardes régulièrement, car vous pouvez ainsi récupérer vos fichiers en cas d’attaque. Je fais des sauvegardes tous les jours et je recommande à tout le monde de faire de même.

La majorité des sauvegardes se font automatiquement, mais il faut être prudent sur ce point parce que, si le rançongiciel est installé sur l’ordinateur depuis un certain temps – un jour ou deux – la sauvegarde peut aussi enregistrer les fichiers infectés qui écraseront les anciennes versions saines.

Le second enjeu apparaît lorsque l’infection s’est produite : que peut-on faire ? En fait, quasiment la moitié des rançongiciels peuvent être supprimés et décryptés sans payer la rançon, car le chiffrement n’est pas bien installé, et possède des failles. Nous ou d’autres entreprises spécialisées dans la cybersécurité sommes capables d’accéder à l’algorithme de chiffrement et de décrypter les fichiers. Mais s’il est installé correctement, il n’y a aucune chance. Avec les ordinateurs d’aujourd’hui, décrypter les fichiers prendrait des centaines d’années.

Mon conseil : si vous êtes attaqué et qu’il n’y a pas de moyen de décrypter le disque dur aujourd’hui, ne supprimez pas vos fichiers infectés pour autant si vous en avez vraiment besoin. Bien que l’outil de décryptage pour ce rançongiciel en particulier ne soit pas disponible pour le moment, il peut l’être dans six mois, un mois ou même une semaine.

Chez Avast, travaillez-vous à décrypter WannaCry ?

Nous avons le plus gros ensemble d’outils de décryptage et nous travaillons toujours à traiter de nouveaux types de logiciels malveillants. Nous avons une équipe entièrement dédiée aux rançongiciels, pas seulement pour les bloquer, mais aussi pour identifier les auteurs, couper leurs moyens de communication, créer des outils de décryptage et informer le public des dangers encourus.

Selon vous, ce type d’attaques va-t-il se multiplier de plus en plus vite ?

Oui. Rien que l’an dernier, le volume de rançongiciels a plus que doublé, avec une croissance de 105 %. En 2017, je crois que ça augmentera encore plus. WannaCry est un exemple qui a fait la Une des médias, mais il n’y a pas que lui. Il y a des dizaines de « campagnes » de rançongiciels qui ne sont peut-être pas aussi visibles, mais qui, additionnées, font des millions de victimes.

Le vrai problème vient-il des mesures de sécurité trop faibles de certaines entreprises, administrations ou organisations ou du fait que les hackers sont de plus en plus performants ?

Les deux. Les hackers innovent sans cesse et en même temps, on peut se demander comment des institutions comme le NHS (Service de santé national, ndlr) au Royaume-Uni, l’entreprise Telefonica en Espagne ou le ministère de l’Intérieur russe peuvent encore utiliser des machines qui ne sont pas à jour.

■ Un peu de vocabulaire

Virus: « A l’origine, c’est un logiciel qui s’attache à d’autres programmes et qui les infecte. Mais le mot virus a été utilisé beaucoup plus largement et est utilisé aujourd’hui pour désigner n’importe quel logiciel malveillant. J’utilise plutôt malware, qui désigne tout type de logiciel malveillant, mais les deux mots sont aujourd’hui synonymes. »

Cheval de Troie : « C’est un programme installé qui a une fonction légitime, mais qui a une autre action plus sournoise en même temps – comme le vrai cheval de Troie. »

Rançongiciel : « C’est un logiciel qui chiffre des données et réclame une rançon pour les déchiffrer. »

Ver informatique : « C’est un logiciel malveillant qui se répand automatiquement – WannaCry est à la fois un rançongiciel et un ver informatique. »