Rançongiciels : la recherche passe à l'offensive

Explications avec Jean-Yves Marion, directeur du Loria, à l'occasion de la création de Cybermallix, laboratoire commun avec l'éditeur de logiciels Wallix.

Vous êtes spécialisé dans la lutte contre ces rançongiciels (ransomwares) grâce aux méthodes formelles, à l’intelligence artificielle (IA) et à la collaboration avec des start-up et entreprises. Pouvez-vous nous expliquer ce que sont ces programmes, et comment ils fonctionnent ?

Jean-Yves Marion : Le principe d’un rançongiciel est relativement simple. Un logiciel malveillant, oumalware, compromet un ordinateur ou tout autre système informatique, comme une tablette ou un smartphone. Il bloque ou crypte ensuite une partie de son système et n’en restitue l’accès qu’après versement d’une rançon, généralement sous forme de cryptomonnaie. L’attaquant peut également récupérer des données pour faire du chantage ou les revendre. Dans tous les cas, les forces de l’ordre recommandent de ne pas payer et de visiterle site officiel dédié. 

Ces attaques peuvent être de grande ampleur, avec par l'exemple la paralysie récente d'un réseau d'oléoducs aux États-Unis. Dans le détail, elles suivent à peu près toutes le même schéma, en trois phases. La première étape consiste à s’introduire dans le système. L’intrusion passe généralement par duphishing(hameçonnage en français)  : une technique d’ingénierie sociale qui incite la victime à ouvrir un mail comprenant un lien ou un document qui exécutera un script. Ce script, qu’on appelle unloader, récupère alors à son tour, à l’insu de l’utilisateur, un code malveillant qui va installer le fichier exécutable qui constitue le cœur duransomware. Un programme malveillant, par exemple le rançongiciel Wannacry, peut également exploiter une vulnérabilité, comme un bug ou une erreur, pour infecter un système.

Lire la suite (CNRS)