Cryptolocker peut se targuer d’avoir contribué à démocratiser le concept de ransomware auprès du grand public. Piloté par un réseau de hackers russes, ce cheval de Troie chiffre les documents personnels de sa victime et exige le versement d’une rançon pour rétablir l’accès aux données.

Les premières traces de Cryptolocker sont repérées le 5 septembre 2013. À partir de cette date et pendant plusieurs mois, des internautes du monde entier ont la surprise de voir s’afficher une alarmante fenêtre rouge sur l’écran de l’ordinateur. Un compte à rebours jaune vif s’y égrène, accompagné d’une demande de rançon en bonne et due forme. Elle affirme que l’accès aux documents importants stockés sur l’ordinateur a été verrouillé, et précise que le seul moyen de le rétablir est d’accepter de verser 300 dollars ou 300 euros via un outil de paiement anonyme.

Image d'erreur

Le fameux écran de Cryptolocker indiquant qu’il faut payer une rançon pour avoir de nouveau accès à ses fichiers.

Verrouillage par chiffrement

Comme son nom l’indique, Cryptolocker est un logiciel capable de verrouiller (locker) l’accès à des fichiers par l’intermédiaire d’un chiffrement (crypto). Le logiciel décrit lui-même son fonctionnement : il scanne le disque dur à la recherche de documents susceptibles d’avoir de la valeur aux yeux de l’utilisateur, et chiffre ces derniers pour qu’il ne soit plus possible de les lire, les ouvrir ou les copier. Le chiffrement est assuré par une clé RSA codée sur 2048 bits. Elle est virtuellement inviolable, et place donc l’utilisateur devant un choix cornélien : régler la rançon ou perdre définitivement l’accès à ses documents.

Le département de police de la petite ville de Swansea (Massachusetts) paie 2 Bitcoins pour récupérer ses données

Cryptolocker se diffuse principalement par email, sous la forme de pièces jointes censées incarner des factures ou des bons de livraison. Un clic malencontreux suffit alors à lancer le logiciel, qui entame en tâche de fond le chiffrement des documents personnels. Il cible les extensions de fichier les plus courantes (documents Word, photos, MP3, vidéos, etc.) et ne révèle sa présence qu’à l’issue de la procédure de verrouillage.

Image d'erreur

Une carte de l’infection selon Fox It.

Payer la rançon suffit-il à se débarrasser de la menace ? Rien n’est moins sûr, mais certaines victimes choisissent de payer, faute d’alternative. Le Herald News raconte par exemple en novembre 2013 comment le département de police de la petite ville de Swansea (Massachusetts) a choisi de verser 2 Bitcoins, soit l’équivalent de 750 dollars au cours de l’époque, pour récupérer ses données.

Opération Torval

Un chercheur en sécurité italien illustrera plus tard sa thèse (PDF) dédiée à l’intelligence économique dans la blockchain en retraçant une partie des transactions réalisées par les victimes du logiciel. Son analyse n’est probablement que partielle mais Michele Spagnuolo montre que l’équivalent de plusieurs centaines de milliers de dollars en Bitcoin ont été versés.

L’enquête conjointe qui mènera à la chute de Cryptolocker révèle que ses administrateurs sont également à la tête d’un important « botnet », un réseau de « PC zombies » infectés à l’insu de leurs utilisateurs et susceptibles d’être « réveillés » pour lancer une cyberattaque. L’opération Torval mobilise pendant six mois les forces de police du monde entier. Elle établit le lien entre Cryptolocker et Zeus et remonte jusqu’aux serveurs depuis lesquels sont pilotés ces logiciels malveillants. Ils sont saisis et démantelés en juin 2014 mais à cette date, de nombreux clones de Cyberlocker ont déjà pris le relais : les ransomwares ont prouvé leur efficacité.

Image de Une : Le message affiché à l’écran par Cryptolocker lors de l’infection d’un PC. Crédit image : Christiaan Colen via Flickr.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.