Imaginez allumer votre ordinateur un matin et découvrir que tous vos fichiers — photos, documents, vidéos, données professionnelles — sont devenus inaccessibles. À la place, un message s’affiche : vous devez payer une rançon en Bitcoin pour récupérer vos données. C’est exactement ce que fait un ransomware.
Cette menace, aussi appelée rançongiciel en français, touche chaque année des millions de particuliers, d’entreprises, d’hôpitaux et de collectivités à travers le monde. En 2023, le coût moyen d’une attaque par ransomware atteignait 4,5 millions d’euros selon IBM. Comprendre comment fonctionne cette menace, c’est donc déjà la moitié du chemin pour s’en protéger.
Définition du ransomware — qu’est-ce que c’est exactement ?
Un ransomware — ou rançongiciel en français — est un logiciel malveillant qui s’infiltre dans un système informatique, chiffre les fichiers pour les rendre inaccessibles, puis exige le paiement d’une rançon en échange de la clé permettant de les déchiffrer.
Le terme vient de l’anglais ransom (rançon) et ware (logiciel). C’est en quelque sorte le braqueur de banque du monde numérique : au lieu de vider vos coffres, il cadenasse vos fichiers et vous réclame la clé.
Le principe est redoutablement simple. D’abord, le ransomware s’installe discrètement sur votre appareil. Ensuite, il chiffre vos données avec un algorithme puissant, rendant leur déchiffrement impossible sans la clé détenue par les attaquants. Enfin, il affiche une demande de rançon avec des instructions pour le paiement — généralement en cryptomonnaie pour préserver l’anonymat des pirates.
Comment fonctionne un ransomware étape par étape
Une attaque par ransomware suit généralement un scénario prévisible en quatre phases.
Phase 1 — L’infiltration
Le ransomware entre dans votre système via différents vecteurs. Le plus courant est l’email de phishing avec une pièce jointe malveillante ou un lien vers un site infecté. D’autres vecteurs existent également : exploitation de failles de sécurité non corrigées, accès distant mal sécurisé, ou téléchargement de logiciels piratés.
Phase 2 — La propagation
Une fois installé, le ransomware ne se contente pas de rester sur l’appareil infecté. Il se propage rapidement sur le réseau local, cherche les partages réseau, les disques connectés, et les sauvegardes accessibles pour maximiser les dégâts. C’est pourquoi une attaque peut paralyser toute une organisation en quelques heures.
Phase 3 — Le chiffrement
Le ransomware chiffre alors massivement les fichiers avec un algorithme robuste — généralement AES-256 ou RSA. Sans la clé de déchiffrement, il est mathématiquement impossible de récupérer les données. Les fichiers chiffrés reçoivent souvent une nouvelle extension — par exemple, `.locked`, `.encrypted` ou `.pays`.
Phase 4 — La demande de rançon
Une fois le chiffrement terminé, une note de rançon apparaît à l’écran. Elle indique le montant demandé, les instructions de paiement en cryptomonnaie, et généralement un compte à rebours pour faire pression sur la victime. Le montant varie selon la cible : de quelques centaines d’euros pour un particulier à plusieurs millions pour une grande entreprise.
Les différents types de ransomwares
Le ransomware chiffrant — le plus dangereux
C’est la forme la plus répandue et la plus destructrice. Le ransomware chiffrant — ou crypto-ransomware — chiffre tous les fichiers accessibles et réclame une clé de déchiffrement contre paiement. Sans cette clé, les fichiers sont irrécupérables. Parmi les exemples les plus connus : WannaCry, LockBit et REvil.
Le ransomware locker
Contrairement au précédent, le ransomware locker ne chiffre pas les fichiers. Il verrouille complètement l’accès au système d’exploitation, empêchant toute utilisation de l’appareil. L’écran affiche uniquement la demande de rançon. Ce type est aujourd’hui moins courant, mais reste actif sur mobile.
La double extorsion
Les ransomwares modernes combinent souvent deux menaces. D’abord, ils chiffrent les fichiers. Ensuite, ils volent les données sensibles et menacent de les publier sur le dark web si la victime ne paie pas. Cette tactique de double extorsion augmente considérablement la pression sur les victimes — même celles qui ont des sauvegardes.
Le Ransomware-as-a-Service (RaaS)
Des groupes criminels proposent désormais leurs ransomwares en kit, comme un véritable service. Des pirates peu expérimentés achètent l’accès à ces outils et partagent les rançons avec les développeurs. Ce modèle a considérablement facilité la prolifération des attaques ces dernières années.
Les exemples de ransomwares les plus célèbres
WannaCry (2017)
WannaCry reste l’attaque de ransomware la plus médiatisée de l’histoire. En mai 2017, il a infecté plus de 300 000 ordinateurs dans 150 pays en quelques jours, exploitant une faille Windows connue sous le nom d’EternalBlue. Le système de santé britannique (NHS) s’est retrouvé paralysé, des milliers d’opérations ont été annulées. Les dommages sont estimés à plusieurs milliards de dollars.
LockBit
LockBit est l’un des groupes de ransomware les plus actifs depuis 2019. Il sort régulièrement de nouvelles versions intégrant des techniques d’évasion avancées et une capacité à s’autopropager sur les réseaux. LockBit cible principalement les entreprises, les hôpitaux et les infrastructures critiques à travers le monde.
REvil (Sodinokibi)
REvil est un groupe de ransomware-as-a-service responsable de plusieurs attaques majeures, dont celle contre Kaseya en 2021 qui a touché plus de 1 500 entreprises simultanément. Le groupe a réclamé 70 millions de dollars de rançon — un record à l’époque.
Comment un ransomware arrive sur votre ordinateur
Comprendre les vecteurs d’infection est essentiel pour s’en protéger. Les principales portes d’entrée sont les suivantes :
- Les emails de phishing — pièces jointes malveillantes ou liens vers des sites infectés. C’est de loin le vecteur le plus courant.
- Les failles logicielles non corrigées — les ransomwares exploitent des vulnérabilités connues dans les systèmes d’exploitation et les logiciels non mis à jour.
- Les accès distants mal sécurisés — les connexions RDP (Bureau à distance) avec des mots de passe faibles ou sans double authentification sont des cibles privilégiées.
- Les logiciels piratés — les cracks et keygans téléchargés sur des sites non officiels contiennent souvent des malwares.
- Les clés USB infectées — brancher une clé USB trouvée ou reçue sans vérification peut suffire à infecter un système.
Que faire si vous êtes victime d’un ransomware
Si un ransomware chiffre vos fichiers, voici les étapes à suivre dans l’ordre. Chaque minute compte — agissez donc rapidement.
Étape 1 — Déconnectez-vous immédiatement du réseau
Coupez votre connexion internet et déconnectez l’appareil du réseau local. Débranchez les câbles réseau et désactivez le WiFi. Cette action limite la propagation du ransomware aux autres appareils connectés.
Étape 2 — N’éteignez pas l’ordinateur
Contrairement à l’instinct, évitez d’éteindre l’ordinateur brutalement. Certains ransomwares stockent temporairement la clé de chiffrement en mémoire vive — un spécialiste pourrait potentiellement la récupérer sur un système encore allumé.
Étape 3 — Ne payez pas la rançon
Les autorités françaises, l’ANSSI et Cybermalveillance.gouv.fr déconseillent fortement de payer la rançon. D’abord, rien ne garantit que les pirates envoient effectivement la clé de déchiffrement après paiement. Ensuite, payer finance la cybercriminalité et vous désigne comme une cible willing to pay pour de futures attaques.
Étape 4 — Cherchez un déchiffreur gratuit
Avant toute chose, identifiez le ransomware qui vous a attaqué. Le site No More Ransom (nomoreransom.org), soutenu par Europol et plusieurs entreprises de cybersécurité, propose des outils de déchiffrement gratuits pour de nombreuses variantes de ransomwares. Consultez-le en priorité.
Étape 5 — Signalez l’attaque
Déposez une plainte auprès de la police ou de la gendarmerie et signalez l’incident sur Cybermalveillance.gouv.fr. Ces signalements permettent aux autorités de suivre les groupes criminels et d’alerter d’autres victimes potentielles.
Étape 6 — Restaurez depuis une sauvegarde saine
Si vous disposez de sauvegardes récentes et non connectées au réseau au moment de l’attaque, c’est votre meilleure option de récupération. Reformatez complètement le système avant de restaurer les données pour éliminer tout résidu du ransomware.
Comment se protéger contre les ransomwares
La bonne nouvelle, c’est que la protection contre les ransomwares repose sur des mesures accessibles à tous, même sans compétences techniques avancées.
La règle 3-2-1 pour les sauvegardes
Les sauvegardes régulières constituent la défense la plus efficace contre les ransomwares. Appliquez la règle du 3-2-1 : conservez 3 copies de vos données, sur 2 supports différents (disque dur externe + cloud), avec 1 copie hors ligne et déconnectée du réseau. Cette dernière copie est cruciale — de nombreux ransomwares cherchent et chiffrent également les sauvegardes connectées.
Mettez à jour vos logiciels sans attendre
WannaCry exploitait une faille Windows pour laquelle Microsoft avait publié un correctif deux mois avant l’attaque. Les machines non mises à jour ont été touchées. Les mises à jour corrigent les vulnérabilités que les ransomwares exploitent — ne les reportez donc jamais.
Activez la double authentification partout
La double authentification protège vos accès distants et vos comptes cloud contre les intrusions, même si vos identifiants sont compromis. Activez-la en priorité sur vos accès professionnels, votre messagerie et vos services de stockage cloud.
Méfiez-vous des emails suspects
La majorité des infections par ransomware commencent par un email de phishing. N’ouvrez jamais les pièces jointes d’expéditeurs inconnus et vérifiez toujours l’URL avant de cliquer sur un lien. Un logiciel espion peut également servir de porte d’entrée pour un ransomware.
Utilisez un antivirus avec protection anti-ransomware
Les solutions antivirus modernes intègrent des modules spécifiques de protection contre les ransomwares. Ils surveillent le comportement des programmes et bloquent toute tentative de chiffrement massif de fichiers, même pour des variantes inconnues.
Limitez les droits d’accès
N’utilisez pas un compte administrateur pour votre usage quotidien. Un ransomware qui infecte un compte standard aura accès à beaucoup moins de fichiers qu’un ransomware qui infecte un compte administrateur. Cette pratique, appelée principe du moindre privilège, réduit considérablement l’impact d’une infection.
Questions fréquentes sur les ransomwares
Non — les autorités déconseillent fermement de payer. Rien ne garantit que les pirates fournissent la clé de déchiffrement après paiement. De plus, payer finance la cybercriminalité et vous désigne comme une cible future. Consultez d’abord No More Ransom pour un déchiffreur gratuit.
Oui. Si les ransomwares ciblent principalement Windows, des variantes existent pour macOS, Android et même Linux. Les appareils Apple sont moins touchés en raison de leur architecture plus fermée, mais ils ne sont pas immunisés. Sur Android, les ransomwares se propagent principalement via des applications téléchargées hors du Play Store.
Parfois. Trois options existent : utiliser un déchiffreur gratuit sur No More Ransom, restaurer depuis une sauvegarde non infectée, ou faire appel à un spécialiste en récupération de données. La probabilité de récupération dépend du type de ransomware et de la qualité de vos sauvegardes.
En termes d’impact financier, oui. Les groupes de ransomware ciblent de plus en plus les grandes organisations — hôpitaux, collectivités, entreprises — car elles peuvent payer des rançons plus élevées et ont davantage à perdre. Cependant, les particuliers restent des cibles fréquentes de campagnes automatisées à grande échelle.
C’est un modèle criminel où des développeurs proposent leur ransomware en kit à d’autres pirates, qui l’utilisent pour attaquer des cibles et reversent une commission. Ce modèle a démocratisé les attaques par ransomware, permettant à des pirates peu expérimentés de mener des attaques sophistiquées.
Les signes sont généralement immédiats : fichiers avec une extension inconnue, impossibilité d’ouvrir vos documents, message de rançon sur l’écran. Parfois, une légère lenteur du système précède l’affichage du message — c’est le ransomware qui chiffre vos fichiers en arrière-plan. Si vous remarquez ce ralentissement inhabituel, déconnectez immédiatement l’appareil du réseau.
