La liste des logiciels de chantage ne cesse de s’allonger. Alors qu’il y a quelques années de tels maliciels (ransomware) se contentaient de bloquer l’écran, que quelques manipulations suffisaient à débloquer, les versions actuelles ont un potentiel de nuisance bien plus élevé. Après Cryptolocker, analysé dans le dernier rapport semestriel, un nouveau maliciel appelé Synolocker est apparu dans la période sous revue. En Belgique aussi, de nombreux cas ont été signalés. Toutes les données du serveur de stockage en réseau (Network Attached Storage, NAS) infecté sont cryptées, et la victime est priée de verser une rançon en échange de la clé privée requise. En effet, seule la clé publique nécessaire au cryptage en mode asynchrone a été installée sur son ordinateur, et il est pratiquement impossible de décrypter les données sans la clé privée correspondante. En l’occurrence, l’infection ne nécessitait aucune interaction de l’utilisateur, mais exploitait de façon ciblée une faille de sécurité des appareils NAS de la société Synology. Il ne s’agissait toutefois pas d’une vulnérabilité inconnue, puisqu’un correctif (patch) est proposé depuis décembre 2013.11 Un autre maliciel avait apparemment exploité la même faille de sécurité dès février 2014. A l’époque, les pirates avaient installé sur les appareils NAS des programmes de minage de bitcoins, et produit ainsi des crypto-monnaies.12
Un autre cheval de Troie appelé CTB-Locker est apparu en août 2014. Il a pour particularité de communiquer sous forme cryptée avec ses serveurs de commande et de contrôle (C&C) et d’utiliser le service d’anonymisation Tor pour brouiller les pistes. D’où les réelles difficultés de la police et des entreprises de sécurité à localiser et analyser lesdits serveurs.
Il y a également eu de bonnes nouvelles au deuxième semestre 2014: les entreprises de sécurité informatique FireEye et Fox-IT ont mis à disposition un service gratuit, permettant aux victimes de Cryptolocker de récupérer leurs données verrouillées.14 Une action lancée par le FBI contre ce réseau de zombies a en effet abouti à la découverte des clés privées. Il est ainsi possible de décrypter les données d’origine. Il n’est donc pas exclu que dans le cas de Synolocker aussi, les recherches et investigations aident à retrouver un jour les clés de cryptage correspondantes. Les propriétaires de données cryptées par Synolocker et non récupérables feraient donc bien de les garder malgré tout.
Il est indiqué de copier régulièrement ses données sur des supports de stockage externes (backup). Ces appareils ne seront reliés à l’ordinateur que pendant le processus de sauvegarde. En outre, il faut veiller à mettre systématiquement à jour tant les systèmes d’exploitation que la totalité des applications installées (p. ex. Adobe Reader, Adobe Flash, Sun Java, etc.). Dans la mesure du possible, la fonction de mise à jour automatique sera activée. La remarque vaut également pour les microprogrammes (firmware) des routers, des NAS, des serveurs de musique, etc.
