Vous êtes sur la page 1sur 23

UNIVERSITE HASSAN 1ER

ECOLE NATIONALE DES SCIENCES APPLIQUES


KHOURIBGA

Realisee par :
Rania ELHAMMOUCHI
Aicha MINT LEYTOU N DEYE
Encadree par :
M.Khalid EL GHOLAMI
INTRODUCTION

Le rseau est devenu une partie intgrante des systmes et


infrastructures industriels critiques, des systmes de transports, de
sant, du divertissement, des entreprises ou encore de la finance, et
plus gnralement de nos vies. Ses bienfaits peuvent tre
immenses. Mais il peine sadapter, face laugmentation des
appareils connects (et souvent vulnrables), des grands volumes
de donnes non protges et dun nombre croissant dutilisateurs
qui ne comprennent pas, pour la plupart, les risques auxquels ils
sont exposs.

Etant donn la forte augmentation des cybermenaces , le vol de


donnes confidentielles qui peut tout simplement conduire la
fermeture d'une entit ou mme influencer une lection
prsidentielle, la numrisation croissante de notre socit et
limportance accorde ce domaine, les besoins vont croissant, au
sein des administrations comme dans le priv. La cyberscurit
devient pour un enjeu de souverainet et pour les entreprises un
enjeu conomique, pourprotgerleur savoir-faire et leur outil de
est quoi une Cest quoi un
Histoire et typesCommentBonnes regl
Cas dattaque
cyber-attack? ransomware?de ransomwareil fonction? a suivre

Plan de la presentation
Une cyber-attaque,
cest quoi ?

Une cyber-attaque
est action Rcemment, un
particulirement groupement nomm
malveillante dont Anonynous a sem
lobjectif est de la terreur en sattaquant
perturber de faon des organismes
explicite votre spcifiques qui
matriel informatique. dpendaient des
Pour cela, laction est institutions
Une cyber- ralise via le rseau gouvernementales de Alors que
attaque peut tre internet. diffrents pays. gnralement il
luvre dune sagit dune
personne seule attaque pour
mais peut aussi dtruire, ces
maner dun derniers ont des
groupe de objectifs
plusieurs pirates gopolitiques.
informatiques.
Quelques cas
dattaque

Au dbut de l'anne 2016, deshackers ont


paralys totalement le systme informatique
del'tablissement Hollywood Presbyterian
Medical Center situ en Californie, via un
ransomware. D'aprs la chane de tlvision
NBC, les pirates informatiques auraient
demand l'quivalent de 3.4 millions de
dollars enbitcoin dposer sur un compte
anonyme. Et ce n etait pas la seul attaque ce
n etait qu un debut, en moyenne les
entreprises ont du affronter plus de 29
attaques en 2016 Ce danger devenu
permanent n'est pas sans consquence
moyen et long terme puisqu'un certain
nombre de consommateur reconnat quesa
loyaut envers une marque diminue aprs
qu'une attaque informatiquea port atteinte
aux donnes qu'il lui avait confi. Et les
grands groupes sont loin d'tre pargns par
le phnomne..
le 8 juin 2016 L'Universit canadienne de
Calgary a t victime d'un ransomware qui a
paralys une partie de son systme
informatique, et pris en otage des donnes,
y compris de travaux de chercheurs.elle
avait acceptde payer 20 000 dollars
canadiens, soit environ 14 000 euros, pour
tenter de retrouver laccs tous ses
fichiers.
le 30 janvier 2017 Des pirates
informatiques ont utilis un ransomware
pour dsactiver le systme lectronique
d'un htel autrichien et demander une
ranon de 1 500 euros. Il s'agit de la
troisime attaque informatique qui cible
l'tablissement.
Des pirates informatiques ont transform
les vacances de plusieurs clients dun
htel autrichien en un vritable
cauchemar. En effet, ils ont utilis
unransomwarequi a ciblle systme de
scurit et a dsactiv les cls
lectroniques de ltablissement,en
coinantles touristes lextrieur de leurs
chambres.
Le nombre dattaques de La premire hausse majeure Selon le rapport de SonicWall,
ransomwares a littralement d'attaques de ransomwares a lanne 2016 a t innovante du
explos passant de 3,8 millions dbut pendant le mois de mars point de vue des professionnels
d'attaques en 2015 638 2016, lorsque le nombre de ces de la scurit comme des
millions lanne dernire. Les attaques est pass de 282 000 cybercriminels. Si la firme a
ransomwares ont t 167 fois 30 millions dattaques en un relev une diminution de 6,25%
plus utiliss dune anne sur mois. Le premier trimestre de du nombre de diffrents
lautre en tant que payload 2016 a connu 30,9 millions malwares qui se propagent,
favori pour les campagnes de- dattaques. Cette tendance a passant de 64 millions en 2015
mail malveillantes et les kits continu tout au long de lanne 60 millions en 2016, les
d'exploits. la fin du premier avec le quatrime trimestre qui cybercriminels se focalisent de
trimestre de 2016, 209 millions sest sold avec 266,5 millions plus en plus sur les
de dollars de ranons ont t dattaques de ransomwares. ransomwares, notamment en
pays par les entreprises, et au SonicWall prvoit que cette raison de laugmentation des
milieu de lanne, prs de la prolifration de ransomwares va services Ransomware-as-a-
moiti des organisations ont continuer durant lanne 2017. service (RaaS).
indiqu quelles avaient t
victimes dune attaque de
ransomware lors des 12 mois
prcdents , a dit le rapport.
genierie industrielle
mecanique Financier Pharmaceutique Immobilier

15% 13% 13% 12%

Aucun secteur na t pargn par les tentatives dattaques de ransomware.


Plusieurs secteurs-cls ont t cibls de manire peu prs quivalente, y
compris le secteur de lingnierie industrielle et mcanique (regroupant 15%
des attaques par ransomware), suivi ex aequo des services pharmaceutiques
(13%) et financiers (13%), ainsi que du secteur immobilier (12%) en
33% des
32% des victimes
victimes ayant paye
36% en sont pres
pretes a 44% des
payer victimes
ayant paye
31% en sont pres
30% des 48% des
victimes victimes
ayant paye ayant paye
14% en sont pres 52% en sont pres
50% des
victimes
ayant paye
40% en sont pres
Si les tats-Unis ont connu le plus grand nombre dattaques ransomwares en 2016, les
entreprises britanniques ont t trois fois plus susceptibles dtre attaques compares
aux entreprises amricaines. La Chine a t dsigne comme le pays le moins cibl du
fait de la restriction stricte sur lusage du bitcoin et du rseau Tor.
Cest quoi un randsomware?

Randsomware Prix et paiement


est un type de malware qui empche ou Les prix de la ranon varient en fonction
limite les utilisateurs d'accder leur de la variante du ranon et du prix ou des
systme, soit en bloquant l'cran du taux de change des monnaies
systme ou en verrouillant les fichiers numriques.Grce l'anonymat peru
des utilisateurs moins qu'une ranon par les cryptocouleurs, les oprateurs de
ne soit paye.Des familles de ranons prvoient gnralement des
ransomware plus modernes, paiements de ranon en bitcoins.Les
catgorises collectivement comme versions rcentes de ransomware ont
crypto-ransomware, chiffrent certains galement numr d'autres options de
types de fichiers sur les systmes paiement telles que iTunes et les cartes-
infects et obligent les utilisateurs cadeaux Amazon.Il convient toutefois de
payer la ranon grce certaines noter que le paiement de la ranon ne
mthodes de paiement en ligne pour garantit pas que les utilisateurs
obtenir une cl de dcryptage. obtiendront la cl de dchiffrement ou
l'outil de dverrouillage ncessaires pour
rcuprer l'accs au systme infect ou
Quelques types

0 7ev3n LOCKY
RANSOM_LOCKY.A Dcouvert en fvrier 2016, il est 0
Ransom_EMPER (Janvier 2016) Il demande une

1 rancon de 13 bitcoins. remarquable pour ses mthodes de distribution,


d'abord vu arriver comme unemacro .doc, puis se
diffuse viaAdobe Flash et Windows Kernel 2
PETYA Exploits.Il est connu pour la suppression des clichs
instantans des fichiers pour rendre les
RANSOM_PETYA.D(Mars 2016) Publipour la
sauvegardes locales inutiles
premire fois en mars 2016, il le MBR du systme et
CRYPTXXX
0 est livr via des services de stockage en nuage
Ransom_WALTRIX (Avril 2016) une large

0
lgitimes tels que Dropbox.
CERBER distribution via le Angler Exploit Kit.

3
RANSOM_CERBER.A mars 2016, CERBER a t
trouv pour avoir un fichier de JIGSAW
4
configuration.CERBER a ete utilis dans une Ransom_JIGSAW.I avril 2016 Avec l'imagerie de la
attaque qui a potentiellement exposdes millions franchise de films Saw, la note de ranon comporte
d'utilisateurs de Microsoft Office 365 l'infection. uncompte rebours pour faire pression sur ses
SAMSAM victimes, avec la promesse d'augmenter le montant
RANSOM_CRYPSAM.B mars 2016,SAMSAM est install de la ranon tout en supprimant des portions des
aprs que les attaquants exploitent des vulnrabilits fichiers crypts chaque fois que la minuterie est
sur des serveurs non rpartis - au lieu des URL puise.Les variantes rcentes de Jigsaw

0 malveillantes habituelles et des courriers indsirables


-
Bucbi
comportent galement une fonctionnalit
desupport de chat qui permet aux victimes de
SilentShade
contacter le cybercriminal. 0
Ransom_BUCBI (Mai 2016) arrive via brute force

5 remote desktop protocol.


Ransom_CRYPSHED (Juin 2016) Arrive via spam
autant que attachement JavaScript ,il demande
6
0 R980 ransomware
une rancon moin cher (30 USD environs)

SHARKRAAS 0
8
Ransom_CRYBEE (Juillet 2016) Il utilise des Ransom_SHARKRAAS (Aout 2016) cree des

7 addresses email disposable pour garantir


lanonymat
ransomware parametre
CryptXXX
Locky
PETYA
Histoire

Les cas d'infection


ranon ont t observs
pour la premire fois en
Russie entre 2005 et
2006. Trend Micro a
publi unrapportsur un
cas en 2006 impliquant
une variante de
ransomware (dtect
TROJ_CRYZIP.A) qui a
compress certains
types de fichiers avant
d'craser les fichiers
d'origine, Fichiers zip
protgs
Il a galement cr un fichier par amot
texte qui servide
de note de ranon informant
passe dans le systme
les utilisateurs que les fichiers peuvent tre rcuprs en change de 300 $.
de l'utilisateur.
Dans ses annes prcdentes, le ransomware cryptait gnralement des
types de fichiers particuliers tels que DOC, .XLS, .JPG, .ZIP, .PDF et d'autres
extensions de fichiers couramment utiliss.
Ransomware se propage en dehors de
la Russie
Les infections Ransomware taient initialement limites la Russie, mais sa
popularit et son modle commercial rentable ont rapidement trouv son chemin vers
d'autres pays travers l'Europe.

En mars 2012, Trend Micro a observ une propagation continue des infections
ranon en Europe et en Amrique du Nord.Semblable TROJ_RANSOM.BOV, cette
nouvelle vague de ransomware a affich une
page de notification suppose de l'agence de police locale de la victime au lieu de la
note de ranon typique.

Au cours de cette priode, diffrentes tactiques taient utilises pour rpandre le


ranon.Un cas en 2012 a impliqu un site deconfiserie franaise populairesite Web
qui a t compromise pour servir TROJ_RANSOM.BOV.Cette tactique d'arrosage a
entran des infections gnralises en France et au Japon, o la boutique avait
galement une importante base de supporters.Au lieu de la note de
ranonhabituelle,TROJ_RANSOM.BOV aaffich un faux avis de laGendarmerie

En 2012, diffrents types de variantes Reveton ont t exposs de nouvelles


techniques.Au cours de la dernire partie de l'anne, Trend Micro a fait tat
devariantes qui utilisaientlalanguematernelle de la victime et d'unfaux certificat
numrique.

Fin 2013, un nouveau type de ranon a merg que les fichiers chiffrs, en dehors de
Vers la fin de 2013, unenouvelle variante de CryptoLocker a merg - avec des
routines de propagation.Cette variante, dtecte commeWORM_CRILOCK.A , peut se
propager via des lecteurs amovibles, une routine inoue dans d'autres variantes
CRILOCK.Cela signifie que le malware peut se propager facilement par rapport
d'autres variantes.La nouvelle variante ne s'appuie pas sur les logiciels malveillants
downloader comme CRILOCK pour infecter les systmes;Plutt, il prtend tre un
activateur pour le logiciel utilis sur les sites de partage de fichiers peer-to-peer
(P2P).Les diffrences techniques ont conduit certains chercheurs croire que ce
malware a t produit par un copieur.

En 2014, Trend Micro a vu deuxvariantesd'un nouveau malware appelBitCrypt.La


premire variante,TROJ_CRIBIT.A , ajoute ".bitcrypt" tous les fichiers crypts et
affiche une note de ranon en anglais.La deuxime variante,TROJ_CRIBIT.B, ajoute le
nom de fichier avec ".bitcrypt 2" et utilise une note de ranon multilingue en 10
langues.Les variantes CRIBIT utilisent les algorithmes de cryptage RSA (426) -AES et
RSA (1024) -AES pour chiffrer les fichiers et spcifient que le paiement des fichiers de
dverrouillage est effectu dans Bitcoins.

En 2015, le kit d'exploit Angler tait l'un des kits d'exploit les plus populaires utiliss
pour rpandre le ransomware, et a notamment t utilis dans une srie d'attaques de
malversation travers des mdias populaires tels que des sites de nouvelles et des
sites localiss.Angler a t constamment mis jour pour inclure un certain nombre
d'exploits Flash, et a t connu pour tre utilis dans des campagnes remarquables
telles que la fuite de l'quipe de piratage et Pawn Storm.En raison de son intgration
Simulation
TROJ_POSHCOD PowerShell
ER.A Script
$strDir = "C:\temp\test1\"
Une nouvelle variante des menaces
Ransomware et Cryptolocker a fait surface GCI $strDir | Remove-Item Force
qui exploite la fonction Windows
PowerShell pour chiffrer les fichiers.Trend 1..200 | % { $strPath = $strDir + $_
Micro dtecte cela comme + ".txt"; "something" | Out-File
TROJ_POSHCODER.A.Windows PowerShell $strPath | Out-Null }
est une fonctionnalit intgre dans
Windows 7 et versions ultrieures.Les
Measure-Command { 1..101 | %
cybercriminels abusent souvent de cette
{ $strPath = $strDir + $_ + ".txt";
fonctionnalit pour rendre les menaces
$strNewPath = $strPath + ".chng";
indtectables sur le systme et / ou le
"changed" | Out-File -Append
rseau.
$strPath; Rename-Item -Path $strPath
-NewName $strNewPath } }
Comment ils fonctionnent ?

Les ransomwares sinstallent comme dautres programmes malveillants, cest--dire


viabeaucoup de moyens diffrents.
Ils peuvent tre joins dans des e-mails,tlchargsvia des sites de partages, se faire
passer pour desfaux antivirus, se propager via des failles dans lesnavigateursetbien
dautres. Il ny a donc pas de faons trs spcifiques de se faire infecter, la seule
chose qui peut vous faire viter le pire et de rflchir avant deffectuer un double clic
sur un programme suspect. Les antivirus les dtectent galement, maispas toujours.
On peut trouver les ranongiciels sous plusieurs extensions de fichiers diffrentes dont
.exe mais aussi .scr, entre autres. Les icnes sont souvent changes dans le but
de vous faire croire quil sagit dun document lgitime ou dundossier.
Ds leur excution, les ransomwares chiffrent discrtementtous les fichiers
classiques prsents sur lordinateurmais aussi sur les cls USB ventuellement
branches ainsi que sur les lecteurs rseau.
Dun point de vuecryptographique, on a deux grandes faons de chiffrer des donnes :
la faonsymtriqueet la faonasymtrique.
La faon symtrique est la faon qui nous vient navement lesprit : on utilisele
mme mot de passe pour chiffrer et pour dchiffrer.
Le problme cest que pour pouvoir dchiffrer des donnes chiffres avec une cl
donne, il faut justement cette cl. Et on na pas de faon scurise de partager cette
cl ( part en mains propres).
La faon asymtrique rgle ce problme, une cl dite publique est partage, elle
permet uniquement dechiffrer des donnes. La cl prive nest pas partage et
permet dedchiffrer les donnes. Cette cl prive est donc garde bien au chaud
Le premier ransomware AIDS dont on parlait au dbut de larticle utilisait un
chiffrement symtrique donc facilement cassable. Les ransomwares rcents utilisent les
mmes techniques de chiffrement que celles utilises habituellement pour chiffrer des
communications entre machines, savoir des chiffrements asymtriques.

Lorsque la victime paie, cest la cl prive qui lui est fournie. Lorsquelle ne paie pas, la
cl est probablementdtruite et les fichiers se retrouvent chiffrs jamais. Du
moins, peu de personnes sur Terre disposent dun supercalculateur suffisamment
patient pour casser des cls RSA 2048 bits (utilises par Cryptolocker). On dit que
mme Chuck Norris narriverait pas cracker un chiffrement RSA 2048 bits
Par ailleurs, vous trouverez beaucoup de mthodes de dsinfection sur le net
permettant de retirer le ransomware de votre ordinateur. Il faut bien savoir que mme
en supprimant le ranongiciel en question, vos fichiers chiffrs le resteront.La
suppression du programme malveillant ne dchiffre pas les fichiers, sinon les
ransomwares ne seraient mme pas un problme.

Vous pouvez galement tomber sur des outils permettant de dchiffrer les fichiers
chiffrsmais condition de fournir la cl prive ces outils. Limitant ainsi
beaucoup leur champ daction.
Tout cela pour dire que si le ranongiciel est bien pens, vous avez trs peu de chances
de rcuprer vos fichiers sans payer
Quelques bonnes rgles
suivre ?

Ne pas
cliquer sur les
liens Raliser des
Tenir a jour provenant de sauvegarde
son notamment
sources
courriers
des
lectroniques s de vos
ordinateur Installer inconnues fichiers les modifier
-Le systme non sollicits ou des
dexploitation (autoriser messages sur les
les mises jour un rseaux sociaux sur unplusdisque dur les mots
automatiques) provenant de contacts
-Tous vos antivirus
il existe des solutions
logiciels payantes,
amovible, sur des de
devospasse diffrentes
(navigation/ e-mail)
comme
gratuites. Vrifiez avec
inconnus ou
correspondant leur
ne
importants:
cdroms ou encore applications sur Internet
-Plugins (Java, Flash, PDF) sur des disques de ( webmails messagerie
un antivirus tout faon habituelle de partage sur Internet. instantanes , rseaux
support amovible (cl sadresser vous
USB notamment) sociaux, banque en
dorigine inconnue ligne, FTP).
Conseils
supplmentaires

Sur windows vous pouvez


vrifier les dernires Bloquer les scripts Bloquer les sites
versions des applications malicieux malicieux
avecSecunia Personal avecMarmiton avecBlockulicious.
Software
InspectorouHippo
Update Checker

rajoutez leur navigateur diffrentes


options de protection, telles
lextensionNoScript qui vous
permettent davoir un contrle site
par site du lancement des scripts
inclus dans les pages Web.