{"id":1134,"date":"2022-06-21T08:25:00","date_gmt":"2022-06-21T06:25:00","guid":{"rendered":"https:\/\/www.proginov.com\/blog\/?p=1134"},"modified":"2026-02-19T10:18:03","modified_gmt":"2026-02-19T09:18:03","slug":"les-ransomwares-comment-ca-marche","status":"publish","type":"post","link":"https:\/\/www.proginov.com\/blog\/les-ransomwares-comment-ca-marche\/","title":{"rendered":"Les ransomwares, comment \u00e7a marche ?"},"content":{"rendered":"\n

Par St\u00e9phane Delhommeau,<\/strong> responsable des services d\u2019h\u00e9bergement de Proginov<\/em><\/p>\n\n\n\n

\"Hacker<\/figure>\n\n\n\n

On peut distinguer deux types d\u2019attaques de ransomwares : la basique et la sophistiqu\u00e9e.<\/strong><\/p>\n\n\n\n

L\u2019attaque de base se propage souvent par un phishing : un utilisateur clique sur un lien ou ouvre un fichier Excel infect\u00e9, le virus lance alors un ex\u00e9cutable sur le poste. Il utilise la puissance du PC, regarde tous les partages r\u00e9seaux, s\u2019appuie \u00e9ventuellement sur les failles, ou utilise tout simplement les identifiants obtenus pour se propager sur d\u2019autres PC et tout le r\u00e9seau (on parle de lat\u00e9ralisation).<\/p>\n\n\n\n

Lors d\u2019une attaque sophistiqu\u00e9e, la porte d\u2019entr\u00e9e est la m\u00eame via un phishing : l\u2019objectif de l\u2019attaquant est de r\u00e9cup\u00e9rer des identifiants de connexion et d\u2019avoir un acc\u00e8s \u00e0 distance sur le poste de travail. Mais l\u2019attaque ne d\u00e9marre pas tout de suite. L\u2019attaquant r\u00e9cup\u00e8re les logins et mots de passe du poste infect\u00e9, s\u2019y connecte et observe ce qui se passe pendant plusieurs jours. Il regarde la qualit\u00e9 du poste infect\u00e9 : en effet, il va pr\u00e9f\u00e9rer un poste allum\u00e9 24h\/24 et 7j\/7. Il scanne le r\u00e9seau pour comprendre comment il fonctionne, fait des tests de vuln\u00e9rabilit\u00e9, d\u00e9tecte les identifiants pour devenir administrateur afin de pouvoir d\u00e9sactiver les sauvegardes, arr\u00eater les bases, installer le virus sur diff\u00e9rents serveurs et installer les outils qui serviront \u00e0 communiquer avec la victime. \u00c0 un instant T, les pirates d\u00e9cident de d\u00e9clencher l\u2019attaque, souvent une veille de week-end ou dans la nuit, les d\u00e9g\u00e2ts seront plus importants du fait du manque de r\u00e9activit\u00e9 de la victime : ils chiffrent alors les donn\u00e9es.<\/p>\n\n\n\n

Dans le cas d\u2019une attaque basique, si les mises \u00e0 jour sont bien g\u00e9r\u00e9es, si l\u2019antivirus est \u00e0 jour \u00e9galement, le virus est vite banni. Si les bases de donn\u00e9es sont en fonctionnement, le virus ne progressera pas beaucoup car il ne peut pas infecter une base de donn\u00e9es en cours d\u2019utilisation. Il va donc probablement r\u00e9ussir \u00e0 chiffrer quelques fichiers, mais s\u2019il est arr\u00eat\u00e9 \u00e0 temps, les cons\u00e9quences ne seront pas trop graves.<\/p>\n\n\n\n

En revanche, dans le cas d\u2019une attaque complexe, les bases de donn\u00e9es \u00e9tant arr\u00eat\u00e9es, les d\u00e9g\u00e2ts seront plus importants. Pour autant, il faut savoir qu\u2019en g\u00e9n\u00e9ral, les cryptolockers ne chiffrent pas la totalit\u00e9 de la base, ils en chiffrent un petit bout au d\u00e9but, au milieu et \u00e0 la fin. Cela suffit \u00e0 penser que la base est inutilisable. Or des entreprises sont sp\u00e9cialis\u00e9es dans la remise en \u00e9tat de bases endommag\u00e9es. Ce qui est chiffr\u00e9 est endommag\u00e9, le reste peut \u00eatre r\u00e9cup\u00e9r\u00e9, mais la perte d\u2019int\u00e9grit\u00e9 de la base la rend souvent inexploitable. Par ailleurs, certaines entreprises reviennent aux sauvegardes sur bandes, car si le disque peut \u00eatre chiffr\u00e9, les bandes, aussi ancienne que soit cette technologie permettent, de pallier ce probl\u00e8me.<\/p>\n\n\n\n

En moyenne, au regard des diff\u00e9rentes attaques rendues publiques, les entreprises, souvent mal pr\u00e9par\u00e9es \u00e0 ces sc\u00e9narios, mettent entre 10 \u00e0 15 jours pour que leur activit\u00e9 reprenne suite \u00e0 un ransomware, et plusieurs mois pour que tout revienne \u00e0 la normale. En effet, il faut analyser tout le syst\u00e8me pour trouver la source de la compromission afin d\u2019\u00e9viter qu\u2019elle ne recommence une fois les machines restaur\u00e9es. Puis vient le temps de restauration et de v\u00e9rification des diff\u00e9rentes machines voire leur r\u00e9installation si n\u00e9cessaire. L\u2019id\u00e9al est d\u2019identifier et cartographier au pr\u00e9alable les processus critiques de l\u2019entreprise pour identifier les donn\u00e9es \u00e0 remonter en priorit\u00e9 pour reprendre l\u2019activit\u00e9.<\/p>\n\n\n\n

Bref, assurez-vous d\u2019avoir un syst\u00e8me de sauvegarde avec un stockage hors-ligne dont les restaurations sont test\u00e9es r\u00e9guli\u00e8rement. Et quoi qu\u2019il en soit, la moralit\u00e9 est toujours la m\u00eame : soyez vigilants pour \u00e9viter de t\u00e9l\u00e9charger un virus !<\/p>\n","protected":false},"excerpt":{"rendered":"

Par St\u00e9phane Delhommeau, responsable des services d\u2019h\u00e9bergement de Proginov On peut distinguer deux types d\u2019attaques de ransomwares : la basique et la sophistiqu\u00e9e. L\u2019attaque de base se propage souvent par un phishing : un utilisateur clique sur un lien ou ouvre un fichier Excel infect\u00e9, le virus lance alors un ex\u00e9cutable sur le poste. Il utilise la… Lire la suite…<\/a><\/p>\n","protected":false},"author":1,"featured_media":1135,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[177,44],"tags":[185,159],"class_list":["post-1134","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite","category-hebergement","tag-cryptolocker","tag-cybersecurite"],"_links":{"self":[{"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/posts\/1134","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/comments?post=1134"}],"version-history":[{"count":1,"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/posts\/1134\/revisions"}],"predecessor-version":[{"id":1136,"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/posts\/1134\/revisions\/1136"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/media\/1135"}],"wp:attachment":[{"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/media?parent=1134"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/categories?post=1134"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.proginov.com\/blog\/wp-json\/wp\/v2\/tags?post=1134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}