Un ransomware ne se contente pas de “verrouiller” un ordinateur. Dans les attaques modernes, il parcourt méthodiquement les fichiers, les chiffre avec des algorithmes robustes, puis rend la récupération difficile sans la clé détenue par les cybercriminels. Comprendre ce mécanisme permet de mieux mesurer les risques, d’identifier les signaux faibles et de renforcer les défenses avant qu’un incident ne paralyse une organisation.
Un ransomware est un logiciel malveillant conçu pour empêcher l’accès à des données ou à des systèmes, généralement afin d’exiger une rançon. Dans sa forme la plus courante, il chiffre les fichiers de la victime : documents bureautiques, bases de données, archives, images, fichiers métiers ou sauvegardes accessibles. Le chiffrement transforme ces données lisibles en un contenu incompréhensible, que seul un détenteur de la bonne clé peut théoriquement restaurer.
Le principe n’est pas nouveau. CryptoLocker, apparu en 2013, a popularisé l’usage d’un chiffrement fort dans les campagnes de rançongiciel. Depuis, des familles comme WannaCry, Ryuk, Conti ou LockBit ont montré que ces attaques pouvaient toucher aussi bien des particuliers que des hôpitaux, des collectivités locales, des industriels ou des groupes internationaux. Leur efficacité repose moins sur une prouesse technique isolée que sur une chaîne d’actions bien orchestrées.
Lorsqu’il chiffre des fichiers, le ransomware cherche généralement trois objectifs : agir vite, toucher un maximum de données utiles et empêcher la restauration facile. C’est pourquoi les attaques modernes combinent souvent reconnaissance du réseau, arrêt de certains services, ciblage des partages de fichiers et suppression ou altération des copies de sauvegarde accessibles depuis la machine compromise.
Le chiffrement visible par la victime est souvent la dernière étape d’une attaque. Avant cela, les cybercriminels doivent entrer dans le système. Les méthodes varient : courriel de phishing avec pièce jointe piégée, exploitation d’une faille non corrigée, identifiants volés, accès distant mal sécurisé ou compromission d’un prestataire. Dans de nombreux incidents, l’accès initial n’est pas spectaculaire : un mot de passe réutilisé ou un serveur exposé suffit.
Une fois à l’intérieur, les attaquants cherchent à comprendre l’environnement. Ils identifient les machines importantes, les serveurs de fichiers, les répertoires partagés, les comptes disposant de privilèges élevés et les sauvegardes accessibles. Cette phase peut durer quelques minutes dans une attaque automatisée, ou plusieurs jours dans une opération ciblée contre une entreprise. Les groupes les plus structurés adoptent une approche proche de celle d’un cambriolage préparé : repérage, élargissement de l’accès, puis déclenchement coordonné.
Dans certains cas, le ransomware est déployé après une phase d’exfiltration de données. Les attaquants copient des documents sensibles avant de chiffrer les systèmes, afin d’ajouter une pression supplémentaire : payer pour récupérer l’accès, mais aussi pour éviter la publication d’informations confidentielles. Ce modèle de double extorsion est devenu fréquent dans les attaques visant les organisations.
Un ransomware ne chiffre pas toujours tout ce qu’il trouve. Pour rester efficace, il cible en priorité les fichiers qui ont de la valeur pour la victime. Les extensions courantes comme .docx, .xlsx, .pdf, .jpg, .sql, .zip ou .pst sont souvent recherchées. Les fichiers système indispensables au démarrage de l’ordinateur peuvent être évités, car un poste totalement inutilisable risquerait d’empêcher la victime de lire la demande de rançon ou de communiquer avec les attaquants.
Les ransomwares parcourent généralement les dossiers locaux, les disques externes connectés et les lecteurs réseau montés. Dans une entreprise, cela peut inclure des serveurs partagés contenant des contrats, des plans, des dossiers RH, des données clients ou des fichiers de production. Plus les droits du compte compromis sont étendus, plus la surface touchée est large. C’est l’une des raisons pour lesquelles le principe du moindre privilège est central en cybersécurité.
Certains logiciels malveillants intègrent aussi des listes d’exclusion. Ils évitent par exemple des répertoires système ou certains fichiers nécessaires au fonctionnement minimal de Windows. Cette sélection montre que le chiffrement n’est pas un phénomène aléatoire : il est pensé pour maximiser l’impact économique tout en conservant une forme de contrôle sur l’attaque.
Le chiffrement utilisé par les ransomwares modernes repose souvent sur une combinaison de deux approches : le chiffrement symétrique et le chiffrement asymétrique. Le premier utilise une même clé pour chiffrer et déchiffrer les données. Il est rapide, ce qui le rend adapté au traitement de milliers de fichiers. Des algorithmes reconnus comme AES peuvent être utilisés, non parce qu’ils sont malveillants, mais parce qu’ils sont efficaces et largement éprouvés.
Le chiffrement asymétrique, lui, repose sur une paire de clés : une clé publique et une clé privée. La clé publique peut servir à protéger une clé de chiffrement, tandis que la clé privée reste entre les mains des attaquants. Dans un scénario courant, le ransomware génère une clé unique pour chiffrer les fichiers d’une machine, puis chiffre cette clé avec la clé publique du groupe criminel. Sans la clé privée correspondante, la récupération devient extrêmement difficile, voire impossible dans des conditions réalistes.
Cette architecture est parfois appelée chiffrement hybride. Elle explique pourquoi il ne suffit généralement pas de “casser” le ransomware pour retrouver les fichiers. Si l’implémentation cryptographique est correcte et que les clés ne sont pas retrouvées sur la machine, le déchiffrement sans sauvegarde ni clé valide peut être hors de portée.
Lors de l’exécution, le ransomware commence souvent par analyser les emplacements accessibles. Il dresse une liste de fichiers à traiter, puis les ouvre un par un pour en modifier le contenu. Selon les variantes, il peut chiffrer l’intégralité du fichier ou seulement certaines portions. Chiffrer partiellement un gros fichier permet d’aller plus vite tout en le rendant inutilisable, notamment pour les bases de données, les archives volumineuses ou les fichiers multimédias.
Après le chiffrement, le fichier peut être renommé avec une extension ajoutée, parfois associée au nom du groupe criminel ou à un identifiant unique. Ce changement a une fonction pratique et psychologique : il signale que le fichier a été touché et facilite le comptage des données compromises. La victime découvre alors des noms inhabituels, des icônes modifiées et des documents impossibles à ouvrir avec leurs applications habituelles.
Le ransomware dépose aussi une note de rançon dans les dossiers affectés ou sur le bureau. Ce message explique que les fichiers ont été chiffrés, donne des instructions de contact et fixe parfois un délai. Les montants demandés varient fortement : quelques centaines d’euros pour des particuliers, plusieurs centaines de milliers, voire millions, dans des attaques contre de grandes organisations. Les autorités rappellent toutefois que le paiement ne garantit ni la récupération complète des données ni l’absence de nouvelles menaces.
Quand le chiffrement est bien réalisé, le principal obstacle est mathématique. Les algorithmes modernes sont conçus pour résister à la force brute, c’est-à-dire à la tentative d’essayer toutes les clés possibles. Dans la pratique, le nombre de combinaisons est si élevé qu’une recherche exhaustive serait irréaliste avec les moyens disponibles. La faiblesse, lorsqu’elle existe, se trouve plutôt dans une erreur de conception du ransomware, une mauvaise génération de clé ou une fuite d’informations.
Il arrive que des chercheurs en cybersécurité publient des outils de déchiffrement gratuits pour certaines familles de ransomwares. Des initiatives comme No More Ransom, soutenue par des acteurs publics et privés, recensent des solutions lorsque des clés ont été saisies ou lorsqu’une faille a été découverte dans le malware. Mais ces cas ne doivent pas donner une fausse impression : pour de nombreuses variantes récentes, aucun déchiffreur public n’existe.
Les sauvegardes restent donc le moyen le plus fiable de restaurer l’activité. Encore faut-il qu’elles soient isolées, testées et non accessibles en écriture depuis les systèmes compromis. Une sauvegarde connectée en permanence au réseau peut être chiffrée comme le reste. C’est pourquoi les experts recommandent des copies hors ligne, immuables ou séparées, ainsi que des tests réguliers de restauration.
Le chiffrement peut produire plusieurs indices. Une machine peut ralentir brutalement, le disque peut travailler de manière intensive, des fichiers peuvent changer d’extension en masse ou des messages d’erreur apparaître lors de l’ouverture de documents. Sur un réseau d’entreprise, les équipes techniques peuvent observer une activité anormale sur les partages de fichiers, avec de nombreuses opérations de lecture et d’écriture en peu de temps.
Après l’attaque, les signes deviennent plus évidents : fichiers illisibles, notes de rançon, services indisponibles, applications métiers bloquées. Dans un hôpital, cela peut retarder l’accès aux dossiers patients. Dans une mairie, interrompre l’état civil ou la paie. Dans une usine, perturber la production. Les conséquences dépassent donc largement l’informatique : elles touchent l’organisation du travail, la continuité de service et parfois la sécurité des personnes.
Face à ces signaux, la réaction doit être rapide. Déconnecter les machines suspectes du réseau, prévenir les équipes compétentes, conserver les traces et éviter les manipulations improvisées peut limiter les dégâts. L’objectif n’est pas seulement de nettoyer un poste, mais de comprendre l’étendue de la compromission. Un ransomware visible peut cacher un accès persistant ou une exfiltration déjà réalisée.
La prévention repose sur une combinaison de mesures techniques et organisationnelles. Les correctifs de sécurité réduisent l’exposition aux failles connues. L’authentification multifacteur limite l’usage d’identifiants volés, notamment pour les accès à distance. La segmentation du réseau empêche qu’un poste compromis donne automatiquement accès à l’ensemble des serveurs. Ces mesures n’éliminent pas le risque, mais elles compliquent fortement la progression des attaquants.
La gestion des droits est tout aussi importante. Un compte utilisateur ne devrait pas pouvoir modifier des répertoires qui ne lui sont pas nécessaires. Les comptes administrateurs doivent être réservés aux tâches qui l’exigent, surveillés et protégés. Dans les attaques réelles, l’abus de privilèges trop larges est un accélérateur majeur du chiffrement massif.
Enfin, la préparation humaine compte. Former les salariés au phishing, définir un plan de réponse à incident, tenir un inventaire des actifs critiques et tester les sauvegardes sont des actions concrètes. Un ransomware exploite souvent les angles morts : un ancien serveur oublié, un compte actif après un départ, une sauvegarde jamais restaurée. La cybersécurité efficace repose sur la régularité plus que sur les effets d’annonce.
Le chiffrement par ransomware est redoutable parce qu’il détourne une technologie légitime. Les mêmes principes cryptographiques qui protègent les transactions bancaires, les communications sécurisées ou les données sensibles servent ici à prendre des fichiers en otage. La différence ne tient pas à l’outil mathématique, mais à l’intention et au contrôle des clés.
Comprendre le déroulement d’une attaque aide à dépasser l’image simpliste du virus qui apparaît soudainement sur un écran. Dans de nombreux cas, le chiffrement est l’aboutissement d’une intrusion, d’une escalade de privilèges et d’un repérage minutieux. Plus une organisation détecte tôt ces étapes, plus elle a de chances d’éviter le scénario le plus coûteux.
La meilleure réponse reste une stratégie équilibrée : réduire les portes d’entrée, limiter les droits, surveiller les comportements anormaux et disposer de sauvegardes réellement exploitables. Le ransomware continuera d’évoluer, mais ses mécanismes fondamentaux sont connus. Cette connaissance, appliquée avec rigueur, transforme une menace opaque en risque maîtrisable.
