Rançongiciel (ransomware)
Logiciel malveillant qui chiffre et/ou exfiltre des données, puis exige un paiement pour le déchiffrement ou la non-publication — l'entrée est presque toujours humaine.
Un rançongiciel (ou ransomware) est un logiciel malveillant qui, une fois exécuté dans l’environnement cible, chiffre les fichiers et/ou les exfiltre vers une infrastructure contrôlée par l’attaquant, puis exige une rançon — pour la clé de déchiffrement, pour la non-publication des données volées, ou les deux (le modèle « double extorsion » devenu standard depuis que le groupe Maze l’a popularisé en 2019). Le Verizon DBIR et le Threat Landscape de l’ENISA classent le rançongiciel parmi les schémas d’incident à plus fort impact ; le Panorama de la menace annuel de l’ANSSI dit la même chose pour les organisations françaises.
L’étape technique de détonation fait les gros titres, mais la voie d’accès est presque toujours humaine. La kill chain typique :
- Accès initial. Email de phishing, push fatigue MFA approuvé par un collaborateur fatigué, réutilisation de mot de passe, service exposé vulnérable, ou octroi OAuth à une application contrôlée par l’attaquant.
- Prise de pied et reconnaissance. Outils living off the land, collecte d’identifiants, mouvement latéral.
- Élévation de privilèges. Admin domaine ou admin cloud acquis.
- Exfiltration d’abord, chiffrement ensuite. Les affiliés modernes copient les données avant chiffrement, pour que le levier de rançon survive aux sauvegardes.
- Détonation. Chiffrement déployé à grande échelle sur serveurs et postes, souvent calé sur un vendredi soir ou un jour férié.
Propriétés caractéristiques du paysage actuel :
- Exploité comme une entreprise. La plupart des incidents sont opérés par les affiliés d’une plateforme Ransomware-as-a-Service, pas par des acteurs isolés.
- Double ou triple extorsion. Chiffrer, publier, parfois DDoS ou notifier directement les clients/régulateurs.
- Empilage réglementaire. Sous NIS2 et RGPD, un incident rançongiciel avec exfiltration est aussi une violation de données personnelles avec un délai de notification de 72 heures à la CNIL.
- Les sauvegardes seules ne suffisent pas. Elles protègent du chiffrement pur, pas du volet fuite de la double extorsion.
La défense se joue sur deux tableaux. Technique : MFA partout, FIDO2 quand possible, EDR, segmentation, sauvegardes immuables, hygiène des services exposés. Humain : raccourcir la chaîne en fermant les moments phishing, fatigue MFA et octroi OAuth avant qu’ils ne livrent l’accès initial. Les deux doivent fonctionner — l’ANSSI rappelle explicitement que le rançongiciel est un problème de gouvernance autant que de technique.
Termes liés
- Ransomware-as-a-Service (RaaS)Modèle d'affaires cybercriminel où des opérateurs louent leur rançongiciel, leur infrastructure et leurs sites de fuite à des affiliés contre un pourcentage des rançons.
- Hameçonnage (phishing)Attaque d'ingénierie sociale qui usurpe l'identité d'un tiers de confiance pour obtenir des identifiants, de l'argent ou un accès — par e-mail, SMS, voix, QR code ou consentement OAuth.
- Fatigue MFAAttaque d'ingénierie sociale qui sature un utilisateur de notifications push MFA jusqu'à ce qu'il valide par lassitude ou confusion.
- Attaque par la chaîne d'approvisionnementIntrusion qui compromet un fournisseur amont de confiance — logiciel, SaaS, MSP — pour atteindre toutes les organisations clientes en aval.