Ransomware : définition, fonctionnement et protection

En quelques années, le mot ransomware est passé du jargon des spécialistes de la cybersécurité aux journaux télévisés. Hôpitaux, mairies, PME et particuliers : personne n’est épargné par ces logiciels rançonneurs qui prennent vos données en otage contre paiement. Ce guide vous explique ce qu’est un ransomware, comment il infecte une machine, à quoi ressemble une attaque, ses conséquences concrètes et, surtout, les précautions simples à mettre en place pour ne pas en être victime.

Qu’est-ce qu’un ransomware ?

Un ransomware, aussi appelé rançongiciel ou logiciel rançonneur, est un logiciel malveillant qui bloque l’accès à vos données ou à votre appareil, puis vous demande une rançon pour le débloquer. Il vise aussi bien les ordinateurs que les smartphones et les serveurs d’entreprise. Une fois installé, il agit en quelques minutes : vos fichiers sont chiffrés ou votre système est verrouillé, un message s’affiche avec les instructions de paiement, souvent en cryptomonnaie.

Le premier ransomware documenté, AIDS Trojan, date de 1989. Les attaques se sont massivement professionnalisées à partir des années 2010 avec l’émergence du bitcoin, qui permet aux cybercriminels de recevoir des paiements sans traçabilité simple. WannaCry en 2017, puis les groupes comme LockBit, Conti ou REvil, ont fait du ransomware la cybermenace la plus coûteuse pour les entreprises, selon l’ANSSI.

Comment un ransomware infecte votre ordinateur

Les pirates exploitent plusieurs canaux pour déposer leur rançongiciel sur votre machine. Connaître ces portes d’entrée permet déjà de refermer la plupart d’entre elles.

• Les pièces jointes piégées : un e-mail au visuel crédible (facture, bon de livraison, CV) contient un document Word, Excel ou PDF infecté. Dès l’ouverture, une macro malveillante télécharge le ransomware.
• Le phishing : un lien dans un mail ou un SMS pointe vers un faux site qui déclenche le téléchargement.
• Les logiciels téléchargés sur des sources douteuses : sites de streaming, cracks, générateurs de clés, plateformes non officielles. Les adwares présents sur ces sites ouvrent souvent la voie à des infections plus graves.
• L’exploitation de failles non corrigées : c’est ainsi que WannaCry s’est propagé à plus de 200 000 machines en 2017, via une faille de Windows pourtant corrigée deux mois plus tôt par Microsoft.
• Les accès distants mal protégés : serveurs RDP exposés sur Internet sans double authentification, VPN sans mot de passe robuste, comptes administrateurs compromis.
• Les clés USB infectées, moins fréquentes mais redoutables en environnement professionnel.

Une fois sur la machine, le ransomware cherche à étendre son emprise : partages réseau, sauvegardes accessibles, autres postes. Les attaques ciblées contre les entreprises se déroulent souvent en plusieurs jours, avec une phase de reconnaissance avant le déclenchement du chiffrement.

Ransomware crypto ou ransomware locker : deux familles

Les ransomwares se répartissent en deux grandes familles, avec des logiques d’attaque distinctes.

Le ransomware crypto

C’est le plus répandu et le plus destructeur. Il chiffre vos fichiers (documents, photos, vidéos, bases de données) avec un algorithme robuste (AES-256 associé à une clé RSA). Sans la clé de déchiffrement, les fichiers sont illisibles. Votre système continue de fonctionner, mais vos données sont inutilisables. C’est à cette famille qu’appartiennent WannaCry, Locky, Ryuk, Conti ou LockBit.

Le ransomware locker

Il ne chiffre rien : il bloque l’accès à l’interface de votre appareil (écran de verrouillage permanent, clavier et souris désactivés). Les fichiers restent intacts, mais vous ne pouvez plus les atteindre. Ce type est plus fréquent sur smartphone Android, souvent sous la forme de fausses alertes de police exigeant une amende.

La double extorsion, nouvelle norme

Depuis 2020, les attaques contre les entreprises combinent deux menaces : chiffrement des données et exfiltration préalable de ces mêmes données, avec une menace de publication si la rançon n’est pas payée. Même avec une bonne sauvegarde, la victime reste sous pression pour éviter la fuite.

Comment se déroule une demande de rançon

Une fois le chiffrement terminé, un message apparaît sur votre écran ou sous la forme d’un fichier texte (readme.txt) déposé dans chaque dossier. Il précise le montant demandé, l’adresse de paiement en cryptomonnaie (le plus souvent en bitcoins ou en Monero) et un compte à rebours au-delà duquel la rançon double ou la clé est détruite.

Les montants varient fortement : de 200 à 500 € pour un particulier, plusieurs dizaines de milliers d’euros pour une PME, jusqu’à plusieurs millions pour un grand groupe. Les cybercriminels privilégient la cryptomonnaie pour limiter la traçabilité des paiements.

Faut-il payer ? L’ANSSI, le FBI et les autorités françaises répondent systématiquement non. Trois raisons : rien ne garantit que les pirates fourniront la clé, payer finance directement le cybercrime, et cela identifie votre entreprise comme une cible rentable qui sera de nouveau attaquée. En France, la loi interdit aux assurances de rembourser les rançons versées sans dépôt de plainte préalable.

Conséquences d’une infection par ransomware

Pour une entreprise

L’impact est rarement limité aux fichiers. On observe en général un arrêt complet de la production pendant plusieurs jours, voire plusieurs semaines, avec une remise en route progressive. Les coûts indirects (perte de chiffre d’affaires, heures supplémentaires, prestataires externes, communication de crise) dépassent largement le montant de la rançon. La ville de Baltimore, aux États-Unis, a été paralysée en mai 2019 par un ransomware s’appuyant sur une faille patchée par Microsoft, comme le raconte Le Monde : la remise en état a coûté plus de 18 millions de dollars, bien au-delà de la rançon de 75 000 $ demandée.

S’ajoute le risque réputationnel, surtout avec les attaques à double extorsion : publication de données clients, atteinte à la confidentialité, obligations de notification au RGPD et à la CNIL dans les 72 heures, possibles poursuites.

Pour un particulier

Le préjudice reste souvent moral et matériel : photos de famille perdues, documents administratifs inaccessibles, souvenirs irrécupérables. Sans sauvegarde, la plupart des fichiers chiffrés sont définitivement perdus. La piste du paiement est rarement fructueuse : beaucoup de particuliers ayant payé ne récupèrent jamais leurs données.

Comment se protéger d’un ransomware

Aucune mesure unique ne protège à 100 %, mais cumuler plusieurs bonnes pratiques réduit drastiquement les risques. Voici les six piliers d’une défense efficace.

• Sauvegardez systématiquement, selon la règle 3-2-1 : trois copies, sur deux supports différents, dont une hors ligne ou hors site. Sauvegarder ses données reste la seule parade fiable à une attaque réussie. Sous Windows, pensez à la sauvegarde système Windows 10/11 et à la sauvegarde dans le cloud.
• Mettez à jour votre système et vos logiciels. La majorité des ransomwares exploitent des failles déjà corrigées par les éditeurs. Activez les mises à jour automatiques de Windows (ou de votre autre système d’exploitation) et de vos logiciels.
• Installez un antivirus à jour. Un bon programme antivirus, avec un module anti-ransomware (Panda Free Antivirus, Bitdefender, Kaspersky, Intego pour macOS), bloque la majorité des menaces connues. Indispensable même pour les utilisateurs qui ne voient pas l’utilité d’un antivirus.
• Méfiez-vous des pièces jointes et des liens. Vérifiez l’expéditeur, survolez les liens avant de cliquer, n’activez pas les macros Office sur un document reçu par mail. En cas de doute, contactez l’expéditeur par un autre canal.
• Téléchargez uniquement depuis des sources officielles. Les sites de cracks et les plateformes de téléchargement illégales restent les premiers foyers de ransomwares. Préférez des antivirus gratuits mais légitimes plutôt que des versions piratées de logiciels payants.
• Activez la double authentification sur vos comptes critiques (messagerie, cloud, accès distants). En entreprise, segmentez le réseau pour limiter la propagation latérale et supervisez les accès RDP.

Que faire en cas d’attaque avérée ?

Si un ransomware s’active sur votre machine, agissez vite mais calmement :

1. Débranchez l’appareil du réseau (câble Ethernet, Wi-Fi) pour empêcher la propagation aux autres postes ou aux sauvegardes réseau.
2. Ne payez pas la rançon et ne tentez pas de négocier sans aide extérieure.
3. Signalez l’attaque sur cybermalveillance.gouv.fr et déposez plainte auprès de la gendarmerie ou du commissariat. Pour les entreprises, contactez l’ANSSI ou un prestataire labellisé PACS.
4. Conservez les fichiers chiffrés : le site No More Ransom, projet d’Europol, propose des outils de déchiffrement gratuits pour certains ransomwares dont la clé a été récupérée.
5. Restaurez depuis une sauvegarde saine, après formatage complet de la machine. Ne restaurez jamais sur une machine compromise sans réinstallation préalable.

Pour aller plus loin, consultez notre guide de protection contre les ransomwares en entreprise, avec une checklist détaillée à destination des DSI et des dirigeants de PME.

Foire aux questions

Faut-il payer la rançon demandée par un ransomware ?

Non. L’ANSSI, le FBI et les autorités françaises le déconseillent formellement. Rien ne garantit que vous recevrez la clé de déchiffrement, le paiement finance la cybercriminalité et désigne votre entreprise comme une cible récurrente.

Comment reconnaître un ransomware avant l’attaque ?

Pendant la phase silencieuse, un ransomware est quasi indétectable pour un utilisateur. Quelques signes d’alerte : ralentissements anormaux, activité disque inhabituelle, alertes de l’antivirus, extensions de fichiers qui changent (.locked, .crypt, .encrypted). Le message de rançon signe l’infection.

Mon antivirus suffit-il à me protéger des ransomwares ?

C’est une protection indispensable mais pas suffisante. Les bons antivirus (Bitdefender, Kaspersky, ESET) bloquent la majorité des ransomwares connus, mais les nouvelles variantes passent parfois. L’antivirus doit être complété par des sauvegardes hors ligne, des mises à jour et de la prudence.

Peut-on déchiffrer les fichiers sans payer ?

Parfois, oui. Le projet No More Ransom, piloté par Europol, publie gratuitement des outils de déchiffrement pour certains ransomwares dont les clés ont été saisies lors d’opérations policières. Consultez nomoreransom.org avant toute autre action.

Les smartphones sont-ils concernés par les ransomwares ?

Oui, surtout sous Android. Les ransomwares mobiles sont généralement de type locker : ils bloquent l’écran ou verrouillent l’appareil. Sur iOS, les infections restent rares en raison du sandbox strict d’Apple. La vigilance sur les applications téléchargées hors Google Play reste essentielle.

Une sauvegarde dans le cloud protège-t-elle d’un ransomware ?

Seulement si elle est correctement configurée. Un cloud synchronisé en permanence (OneDrive, Google Drive classique) peut se faire chiffrer avec le reste. Préférez les sauvegardes versionnées ou les solutions qui conservent les anciennes versions pendant plusieurs mois.

Qui signaler en cas d’attaque par ransomware en France ?

Déposez plainte à la gendarmerie ou au commissariat, signalez l’attaque sur cybermalveillance.gouv.fr. Les entreprises doivent notifier la CNIL dans les 72 heures en cas de fuite de données personnelles et peuvent contacter l’ANSSI pour les cas critiques.

Cela pourrait aussi vous intéresser

Quel est le premier réflexe à avoir en cas d’attaque par ransomware ? URL : définition, structure et fonctionnement Google Play Protect : définition, fonctionnement et limites sur Android Dépannage informatique à distance : définition et fonctionnement