UNIVERSITE HASSAN 1ER

ECOLE NATIONALE DES SCIENCES APPLIQUES

KHOURIBGA

Realisee par :
Rania ELHAMMOUCHI
Aicha MINT LEYTOU N DEYE
Encadree par :
M.Khalid EL GHOLAMI
INTRODUCTION

Le rseau est devenu une partie intgrante des systmes et

infrastructures industriels critiques, des systmes de transports, de
sant, du divertissement, des entreprises ou encore de la finance, et
plus gnralement de nos vies. Ses bienfaits peuvent tre
immenses. Mais il peine sadapter, face laugmentation des
appareils connects (et souvent vulnrables), des grands volumes
de donnes non protges et dun nombre croissant dutilisateurs
qui ne comprennent pas, pour la plupart, les risques auxquels ils
sont exposs.

Etant donn la forte augmentation des cybermenaces , le vol de

donnes confidentielles qui peut tout simplement conduire la
fermeture d'une entit ou mme influencer une lection
prsidentielle, la numrisation croissante de notre socit et
limportance accorde ce domaine, les besoins vont croissant, au
sein des administrations comme dans le priv. La cyberscurit
devient pour un enjeu de souverainet et pour les entreprises un
enjeu conomique, pourprotgerleur savoir-faire et leur outil de
est quoi une Cest quoi un
Histoire et typesCommentBonnes regl
Cas dattaque
cyber-attack? ransomware?de ransomwareil fonction? a suivre

Plan de la presentation
Une cyber-attaque,
cest quoi ?

Une cyber-attaque
est action Rcemment, un
particulirement groupement nomm
malveillante dont Anonynous a sem
lobjectif est de la terreur en sattaquant
perturber de faon des organismes
explicite votre spcifiques qui
matriel informatique. dpendaient des
Pour cela, laction est institutions
Une cyber- ralise via le rseau gouvernementales de Alors que
attaque peut tre internet. diffrents pays. gnralement il
luvre dune sagit dune
personne seule attaque pour
mais peut aussi dtruire, ces
maner dun derniers ont des
groupe de objectifs
plusieurs pirates gopolitiques.
informatiques.
Quelques cas
dattaque

Au dbut de l'anne 2016, deshackers ont

paralys totalement le systme informatique
del'tablissement Hollywood Presbyterian
Medical Center situ en Californie, via un
ransomware. D'aprs la chane de tlvision
NBC, les pirates informatiques auraient
demand l'quivalent de 3.4 millions de
dollars enbitcoin dposer sur un compte
anonyme. Et ce n etait pas la seul attaque ce
n etait qu un debut, en moyenne les
entreprises ont du affronter plus de 29
attaques en 2016 Ce danger devenu
permanent n'est pas sans consquence
moyen et long terme puisqu'un certain
nombre de consommateur reconnat quesa
loyaut envers une marque diminue aprs
qu'une attaque informatiquea port atteinte
aux donnes qu'il lui avait confi. Et les
grands groupes sont loin d'tre pargns par
le phnomne..
le 8 juin 2016 L'Universit canadienne de
Calgary a t victime d'un ransomware qui a
paralys une partie de son systme
informatique, et pris en otage des donnes,
y compris de travaux de chercheurs.elle
avait acceptde payer 20 000 dollars
canadiens, soit environ 14 000 euros, pour
tenter de retrouver laccs tous ses
fichiers.
le 30 janvier 2017 Des pirates
informatiques ont utilis un ransomware
pour dsactiver le systme lectronique
d'un htel autrichien et demander une
ranon de 1 500 euros. Il s'agit de la
troisime attaque informatique qui cible
l'tablissement.
Des pirates informatiques ont transform
les vacances de plusieurs clients dun
htel autrichien en un vritable
cauchemar. En effet, ils ont utilis
unransomwarequi a ciblle systme de
scurit et a dsactiv les cls
lectroniques de ltablissement,en
coinantles touristes lextrieur de leurs
chambres.
Le nombre dattaques de
ransomwares a littralement
explos passant de 3,8 millions
d'attaques en 2015 638
millions lanne dernire. Les
ransomwares ont t 167 fois
plus utiliss dune anne sur
lautre en tant que payload
favori pour les campagnes de-
mail malveillantes et les kits
d'exploits. la fin du premier
trimestre de 2016, 209 millions
de dollars de ranons ont t
pays par les entreprises, et au
milieu de lanne, prs de la
moiti des organisations ont
indiqu quelles avaient t
victimes dune attaque de
ransomware lors des 12 mois
prcdents , a dit le rapport.
La premire hausse majeure
d'attaques de ransomwares a
dbut pendant le mois de mars
2016, lorsque le nombre de ces
attaques est pass de 282 000
30 millions dattaques en un
mois. Le premier trimestre de
2016 a connu 30,9 millions
dattaques. Cette tendance a
continu tout au long de lanne
avec le quatrime trimestre qui
sest sold avec 266,5 millions
dattaques de ransomwares.
SonicWall prvoit que cette
prolifration de ransomwares va
continuer durant lanne 2017.
Selon le rapport de SonicWall,
lanne 2016 a t innovante du
point de vue des professionnels
de la scurit comme des
cybercriminels. Si la firme a
relev une diminution de 6,25%
du nombre de diffrents
malwares qui se propagent,
passant de 64 millions en 2015
60 millions en 2016, les
cybercriminels se focalisent de
plus en plus sur les
ransomwares, notamment en
raison de laugmentation des
services Ransomware-as-a-
service (RaaS).
genierie industrielle
mecanique Financier Pharmaceutique Immobilier

15% 13% 13% 12%

Aucun secteur na t pargn par les tentatives dattaques de ransomware.

Plusieurs secteurs-cls ont t cibls de manire peu prs quivalente, y
compris le secteur de lingnierie industrielle et mcanique (regroupant 15%
des attaques par ransomware), suivi ex aequo des services pharmaceutiques
(13%) et financiers (13%), ainsi que du secteur immobilier (12%) en
 33% des
32% des victimes
victimes ayant paye
36% en sont pres
pretes a 44% des
payer victimes
ayant paye
31% en sont pres
30% des 48% des
victimes victimes
ayant paye ayant paye
14% en sont pres 52% en sont pres
50% des
victimes
ayant paye
40% en sont pres
Si les tats-Unis ont connu le plus grand nombre dattaques ransomwares en 2016, les
entreprises britanniques ont t trois fois plus susceptibles dtre attaques compares
aux entreprises amricaines. La Chine a t dsigne comme le pays le moins cibl du
fait de la restriction stricte sur lusage du bitcoin et du rseau Tor.
Cest quoi un randsomware?
Randsomware
est un type de malware qui empche ou
limite les utilisateurs d'accder leur
systme, soit en bloquant l'cran du
systme ou en verrouillant les fichiers
des utilisateurs moins qu'une ranon
ne soit paye.Des familles de
ransomware plus modernes,
catgorises collectivement comme
crypto-ransomware, chiffrent certains
types de fichiers sur les systmes
infects et obligent les utilisateurs
payer la ranon grce certaines
mthodes de paiement en ligne pour
obtenir une cl de dcryptage.
Prix et paiement
Les prix de la ranon varient en fonction
de la variante du ranon et du prix ou des
taux de change des monnaies
numriques.Grce l'anonymat peru
par les cryptocouleurs, les oprateurs de
ranons prvoient gnralement des
paiements de ranon en bitcoins.Les
versions rcentes de ransomware ont
galement numr d'autres options de
paiement telles que iTunes et les cartes-
cadeaux Amazon.Il convient toutefois de
noter que le paiement de la ranon ne
garantit pas que les utilisateurs
obtiendront la cl de dchiffrement ou
l'outil de dverrouillage ncessaires pour
rcuprer l'accs au systme infect ou
Quelques types
0 7ev3n
Ransom_EMPER (Janvier 2016) Il demande une
1 rancon de 13 bitcoins.
PETYA
RANSOM_PETYA.D(Mars 2016) Publipour la
premire fois en mars 2016, il le MBR du systme et
0 est livr via des services de stockage en nuage
lgitimes tels que Dropbox.
CERBER
3
RANSOM_CERBER.A mars 2016, CERBER a t
trouv pour avoir un fichier de
configuration.CERBER a ete utilis dans une
attaque qui a potentiellement exposdes millions
d'utilisateurs de Microsoft Office 365 l'infection.
SAMSAM
RANSOM_CRYPSAM.B mars 2016,SAMSAM est install
aprs que les attaquants exploitent des vulnrabilits
sur des serveurs non rpartis - au lieu des URL
0 malveillantes habituelles et des courriers indsirables
-
Bucbi
Ransom_BUCBI (Mai 2016) arrive via brute force
5 remote desktop protocol.
0 R980 ransomware
Ransom_CRYBEE (Juillet 2016) Il utilise des
7 addresses email disposable pour garantir
lanonymat
LOCKY
RANSOM_LOCKY.A Dcouvert en fvrier 2016, il est 0
remarquable pour ses mthodes de distribution,
d'abord vu arriver comme unemacro .doc, puis se
diffuse viaAdobe Flash et Windows Kernel 2
Exploits.Il est connu pour la suppression des clichs
instantans des fichiers pour rendre les
sauvegardes locales inutiles
CRYPTXXX
Ransom_WALTRIX (Avril 2016) une large
0
distribution via le Angler Exploit Kit.
JIGSAW
4
Ransom_JIGSAW.I avril 2016 Avec l'imagerie de la
franchise de films Saw, la note de ranon comporte
uncompte rebours pour faire pression sur ses
victimes, avec la promesse d'augmenter le montant
de la ranon tout en supprimant des portions des
fichiers crypts chaque fois que la minuterie est
puise.Les variantes rcentes de Jigsaw
comportent galement une fonctionnalit
desupport de chat qui permet aux victimes de
SilentShade
contacter le cybercriminal. 0
Ransom_CRYPSHED (Juin 2016) Arrive via spam
autant que attachement JavaScript ,il demande
6
une rancon moin cher (30 USD environs)
SHARKRAAS 0
8
Ransom_SHARKRAAS (Aout 2016) cree des
ransomware parametre
CryptXXX
Locky
PETYA
 Histoire

Les cas d'infection

ranon ont t observs
pour la premire fois en
Russie entre 2005 et
2006. Trend Micro a
publi unrapportsur un
cas en 2006 impliquant
une variante de
ransomware (dtect
TROJ_CRYZIP.A) qui a
compress certains
types de fichiers avant
d'craser les fichiers
d'origine, Fichiers zip
protgs
Il a galement cr un fichier par amot
texte qui servide
de note de ranon informant
passe dans le systme
les utilisateurs que les fichiers peuvent tre rcuprs en change de 300 $.
de l'utilisateur.
Dans ses annes prcdentes, le ransomware cryptait gnralement des
types de fichiers particuliers tels que DOC, .XLS, .JPG, .ZIP, .PDF et d'autres
extensions de fichiers couramment utiliss.
Ransomware se propage en dehors de
la Russie
Les infections Ransomware taient initialement limites la Russie, mais sa
popularit et son modle commercial rentable ont rapidement trouv son chemin vers
d'autres pays travers l'Europe.

En mars 2012, Trend Micro a observ une propagation continue des infections
ranon en Europe et en Amrique du Nord.Semblable TROJ_RANSOM.BOV, cette
nouvelle vague de ransomware a affich une
page de notification suppose de l'agence de police locale de la victime au lieu de la
note de ranon typique.

Au cours de cette priode, diffrentes tactiques taient utilises pour rpandre le

ranon.Un cas en 2012 a impliqu un site deconfiserie franaise populairesite Web
qui a t compromise pour servir TROJ_RANSOM.BOV.Cette tactique d'arrosage a
entran des infections gnralises en France et au Japon, o la boutique avait
galement une importante base de supporters.Au lieu de la note de
ranonhabituelle,TROJ_RANSOM.BOV aaffich un faux avis de laGendarmerie

En 2012, diffrents types de variantes Reveton ont t exposs de nouvelles

techniques.Au cours de la dernire partie de l'anne, Trend Micro a fait tat
devariantes qui utilisaientlalanguematernelle de la victime et d'unfaux certificat
numrique.

Fin 2013, un nouveau type de ranon a merg que les fichiers chiffrs, en dehors de
 Vers la fin de 2013, unenouvelle variante de CryptoLocker a merg - avec des
routines de propagation.Cette variante, dtecte commeWORM_CRILOCK.A , peut se
propager via des lecteurs amovibles, une routine inoue dans d'autres variantes
CRILOCK.Cela signifie que le malware peut se propager facilement par rapport
d'autres variantes.La nouvelle variante ne s'appuie pas sur les logiciels malveillants
downloader comme CRILOCK pour infecter les systmes;Plutt, il prtend tre un
activateur pour le logiciel utilis sur les sites de partage de fichiers peer-to-peer
(P2P).Les diffrences techniques ont conduit certains chercheurs croire que ce
malware a t produit par un copieur.

En 2014, Trend Micro a vu deuxvariantesd'un nouveau malware appelBitCrypt.La

premire variante,TROJ_CRIBIT.A , ajoute ".bitcrypt" tous les fichiers crypts et
affiche une note de ranon en anglais.La deuxime variante,TROJ_CRIBIT.B, ajoute le
nom de fichier avec ".bitcrypt 2" et utilise une note de ranon multilingue en 10
langues.Les variantes CRIBIT utilisent les algorithmes de cryptage RSA (426) -AES et
RSA (1024) -AES pour chiffrer les fichiers et spcifient que le paiement des fichiers de
dverrouillage est effectu dans Bitcoins.

En 2015, le kit d'exploit Angler tait l'un des kits d'exploit les plus populaires utiliss
pour rpandre le ransomware, et a notamment t utilis dans une srie d'attaques de
malversation travers des mdias populaires tels que des sites de nouvelles et des
sites localiss.Angler a t constamment mis jour pour inclure un certain nombre
d'exploits Flash, et a t connu pour tre utilis dans des campagnes remarquables
telles que la fuite de l'quipe de piratage et Pawn Storm.En raison de son intgration

TROJ_POSHCOD
ER.A
Une nouvelle variante des menaces
Ransomware et Cryptolocker a fait surface
qui exploite la fonction Windows
PowerShell pour chiffrer les fichiers.Trend
Micro dtecte cela comme
TROJ_POSHCODER.A.Windows PowerShell
est une fonctionnalit intgre dans
Windows 7 et versions ultrieures.Les
cybercriminels abusent souvent de cette
fonctionnalit pour rendre les menaces
indtectables sur le systme et / ou le
rseau.
Simulation
PowerShell
Script
$strDir = "C:\temp\test1\"
GCI $strDir | Remove-Item Force
1..200 | % { $strPath = $strDir + $_
+ ".txt"; "something" | Out-File
$strPath | Out-Null }
Measure-Command { 1..101 | %
{ $strPath = $strDir + $_ + ".txt";
$strNewPath = $strPath + ".chng";
"changed" | Out-File -Append
$strPath; Rename-Item -Path $strPath
-NewName $strNewPath } }
Comment ils fonctionnent ?

Les ransomwares sinstallent comme dautres programmes malveillants, cest--dire

viabeaucoup de moyens diffrents.
Ils peuvent tre joins dans des e-mails,tlchargsvia des sites de partages, se faire
passer pour desfaux antivirus, se propager via des failles dans lesnavigateursetbien
dautres. Il ny a donc pas de faons trs spcifiques de se faire infecter, la seule
chose qui peut vous faire viter le pire et de rflchir avant deffectuer un double clic
sur un programme suspect. Les antivirus les dtectent galement, maispas toujours.
On peut trouver les ranongiciels sous plusieurs extensions de fichiers diffrentes dont
.exe mais aussi .scr, entre autres. Les icnes sont souvent changes dans le but
de vous faire croire quil sagit dun document lgitime ou dundossier.
Ds leur excution, les ransomwares chiffrent discrtementtous les fichiers
classiques prsents sur lordinateurmais aussi sur les cls USB ventuellement
branches ainsi que sur les lecteurs rseau.
Dun point de vuecryptographique, on a deux grandes faons de chiffrer des donnes :
la faonsymtriqueet la faonasymtrique.
La faon symtrique est la faon qui nous vient navement lesprit : on utilisele
mme mot de passe pour chiffrer et pour dchiffrer.
Le problme cest que pour pouvoir dchiffrer des donnes chiffres avec une cl
donne, il faut justement cette cl. Et on na pas de faon scurise de partager cette
cl ( part en mains propres).
La faon asymtrique rgle ce problme, une cl dite publique est partage, elle
permet uniquement dechiffrer des donnes. La cl prive nest pas partage et
permet dedchiffrer les donnes. Cette cl prive est donc garde bien au chaud
Le premier ransomware AIDS dont on parlait au dbut de larticle utilisait un
chiffrement symtrique donc facilement cassable. Les ransomwares rcents utilisent les
mmes techniques de chiffrement que celles utilises habituellement pour chiffrer des
communications entre machines, savoir des chiffrements asymtriques.

Lorsque la victime paie, cest la cl prive qui lui est fournie. Lorsquelle ne paie pas, la
cl est probablementdtruite et les fichiers se retrouvent chiffrs jamais. Du
moins, peu de personnes sur Terre disposent dun supercalculateur suffisamment
patient pour casser des cls RSA 2048 bits (utilises par Cryptolocker). On dit que
mme Chuck Norris narriverait pas cracker un chiffrement RSA 2048 bits
Par ailleurs, vous trouverez beaucoup de mthodes de dsinfection sur le net
permettant de retirer le ransomware de votre ordinateur. Il faut bien savoir que mme
en supprimant le ranongiciel en question, vos fichiers chiffrs le resteront.La
suppression du programme malveillant ne dchiffre pas les fichiers, sinon les
ransomwares ne seraient mme pas un problme.

Vous pouvez galement tomber sur des outils permettant de dchiffrer les fichiers
chiffrsmais condition de fournir la cl prive ces outils. Limitant ainsi
beaucoup leur champ daction.
Tout cela pour dire que si le ranongiciel est bien pens, vous avez trs peu de chances
de rcuprer vos fichiers sans payer
 Quelques bonnes rgles
suivre ?

Ne pas
cliquer sur les
liens Raliser des
Tenir a jour provenant de sauvegarde
son notamment
sources
courriers
des
lectroniques s de vos
ordinateur Installer inconnues fichiers les modifier
-Le systme non sollicits ou des
dexploitation (autoriser messages sur les
les mises jour un rseaux sociaux sur unplusdisque dur les mots
automatiques) provenant de contacts
-Tous vos antivirus
il existe des solutions
logiciels payantes,
amovible, sur des de
devospasse diffrentes
(navigation/ e-mail)
comme
gratuites. Vrifiez avec
inconnus ou
correspondant leur
ne
importants:
cdroms ou encore applications sur Internet
-Plugins (Java, Flash, PDF) sur des disques de ( webmails messagerie
un antivirus tout faon habituelle de partage sur Internet. instantanes , rseaux
support amovible (cl sadresser vous
USB notamment) sociaux, banque en
dorigine inconnue ligne, FTP).
Conseils
supplmentaires

Sur windows vous pouvez

vrifier les dernires Bloquer les scripts Bloquer les sites
versions des applications malicieux malicieux
avecSecunia Personal avecMarmiton avecBlockulicious.
Software
InspectorouHippo
Update Checker

rajoutez leur navigateur diffrentes

options de protection, telles
lextensionNoScript qui vous
permettent davoir un contrle site
par site du lancement des scripts
inclus dans les pages Web.