Qu'est-ce qu'un ransomware et comment reconnaître une infection ?

Un ransomware est un logiciel malveillant qui chiffre vos fichiers et exige une rançon en échange de la clé de déchiffrement. Les signes d'infection sont : des fichiers qui changent d'extension et deviennent illisibles, une note de rançon (fichier texte ou image) qui apparaît sur le bureau ou dans chaque dossier, une activité inhabituelle du disque dur, et un ralentissement brutal de l'ordinateur. Si vous observez ces symptômes, déconnectez immédiatement votre ordinateur d'internet et du réseau local.

Faut-il payer la rançon pour récupérer ses fichiers ?

Les autorités et experts en cybersécurité déconseillent unanimement de payer. Premièrement, payer finance les groupes criminels et les encourage à cibler davantage de victimes. Deuxièmement, rien ne garantit qu'ils vous enverront la clé de déchiffrement après paiement — environ 30 % des victimes qui paient ne récupèrent jamais leurs données. Troisièmement, une fois identifié comme payeur, vous pouvez être ciblé à nouveau. Épuisez d'abord les alternatives : vérifiez No More Ransom, restaurez depuis une sauvegarde saine.

Le projet No More Ransom peut-il vraiment m'aider ?

Oui, si votre ransomware figure parmi ceux pour lesquels une clé de déchiffrement a été obtenue. Le site nomoreransom.org (disponible en français) regroupe plus de 130 outils de déchiffrement gratuits couvrant des centaines de souches de ransomware. Uploadez deux fichiers chiffrés et une note de rançon dans l'outil Crypto Sheriff pour identifier automatiquement le ransomware et vérifier si un outil de récupération existe. Ce service est gratuit et officiel.

Comment le ransomware entre-t-il sur un ordinateur ?

Les vecteurs d'infection principaux sont : les pièces jointes malveillantes dans les e-mails (PDF, Word avec macros, ZIP contenant un exécutable), les liens de phishing vers de faux sites qui téléchargent le malware, les vulnérabilités non corrigées dans Windows ou les logiciels, les connexions Bureau à distance (RDP) mal sécurisées, et les logiciels piratés téléchargés sur des sites non officiels. Plus de 90 % des infections par ransomware commencent par un e-mail de phishing.

Une sauvegarde cloud protège-t-elle contre le ransomware ?

Pas automatiquement. Si votre disque cloud est synchronisé en temps réel (Google Drive, OneDrive en mode synchronisation), le ransomware peut chiffrer les fichiers locaux qui seront aussitôt synchronisés vers le cloud — remplaçant les versions saines par des versions chiffrées. La protection repose sur le versionnement : activez-le sur votre service cloud pour pouvoir revenir à des versions antérieures à l'infection. Le versionnement est généralement conservé 30 jours sur les offres payantes.

Que faire des fichiers chiffrés que je ne peux pas récupérer maintenant ?

Ne les supprimez pas. Conservez une copie des fichiers chiffrés sur un support externe mis de côté. Des outils de déchiffrement sont régulièrement publiés par les chercheurs en sécurité et les forces de l'ordre au fil du temps. Un ransomware sans solution aujourd'hui peut avoir une clé de déchiffrement disponible dans 6 mois ou 2 ans, comme cela s'est produit pour plusieurs souches majeures. Garder les fichiers chiffrés vous laisse une chance future.

Windows Defender suffit-il à se protéger contre les ransomwares ?

Windows Defender (Microsoft Defender Antivirus) s'est considérablement amélioré et offre une protection de base satisfaisante, notamment grâce à la fonctionnalité Accès contrôlé aux dossiers qui bloque les modifications non autorisées de vos dossiers protégés. Pour une protection maximale, activez cette fonctionnalité, maintenez Windows à jour, et activez la protection cloud de Defender. Pour les entreprises ou les utilisateurs à risque élevé, un EDR (Endpoint Detection & Response) dédié apporte une couche de protection comportementale supplémentaire.

Ransomware : comment protéger et récupérer ses fichiers

Le ransomware est devenu l'une des menaces informatiques les plus dévastatrices pour les particuliers comme pour les entreprises. En quelques secondes, des années de photos, documents et fichiers professionnels peuvent se retrouver chiffrés et inaccessibles. Ce guide vous explique comment fonctionne cette menace, comment vous en protéger efficacement, quoi faire si vous êtes déjà infecté, et comment construire une stratégie de sauvegarde qui résiste à ces attaques.

Qu'est-ce qu'un ransomware et comment fonctionne-t-il

Un ransomware (ou rançongiciel en français) est un logiciel malveillant conçu pour chiffrer les fichiers de sa victime et réclamer une rançon — généralement en cryptomonnaie — en échange de la clé permettant de les déchiffrer. Son nom vient de la contraction de « ransom » (rançon) et « software » (logiciel).

Le fonctionnement technique est d'une redoutable efficacité. Une fois exécuté sur votre machine, le ransomware commence par établir une communication avec les serveurs de contrôle de ses opérateurs (C&C servers) pour obtenir ou déposer une clé de chiffrement asymétrique. Il parcourt ensuite méthodiquement votre disque dur et les lecteurs réseau accessibles, chiffrant chaque fichier avec un algorithme robuste — généralement AES-256 pour le chiffrement des fichiers et RSA-2048 pour la clé principale. En l'espace de quelques minutes à quelques heures selon la quantité de données, tous vos documents, photos, vidéos et archives deviennent illisibles.

La sophistication des ransomwares modernes ne s'arrête pas là. Certaines souches avancées, comme celles utilisées dans les attaques ciblant les entreprises, exfiltrent d'abord vos données avant de les chiffrer — créant une double extorsion : payer pour la clé de déchiffrement ET pour que vos données volées ne soient pas publiées. D'autres désactivent les copies d'ombre Windows (VSS), effacent les points de restauration système, et tentent de se propager latéralement sur le réseau local avant de déclencher le chiffrement.

Le profil des victimes a évolué. Si les attaques ciblées sur les hôpitaux, collectivités et grandes entreprises font la une des journaux, les particuliers représentent encore une part significative des victimes — souvent via des campagnes de phishing automatisées qui ne ciblent personne en particulier mais raflent des dizaines de milliers de victimes à chaque vague.

Comment le ransomware se propage

Comprendre les vecteurs d'infection est indispensable pour mettre en place une prévention ciblée. Contrairement aux idées reçues, les ransomwares ne s'installent pas par magie — ils nécessitent toujours une action de l'utilisateur ou une vulnérabilité logicielle non corrigée.

Le phishing par email : vecteur numéro un

Plus de 90 % des infections par ransomware débutent par un email de phishing. Ces messages imitent parfaitement des communications officielles — un colis DHL en attente, une facture impayée, un document à signer, une notification bancaire. La pièce jointe malveillante peut être un fichier PDF contenant un lien, un document Word dont les macros installent le ransomware, ou un fichier ZIP contenant un exécutable déguisé en document. Le simple fait d'ouvrir la pièce jointe et d'autoriser les macros ou d'exécuter le programme déclenche l'infection.

Les campagnes de phishing sont de plus en plus sophistiquées. Certaines utilisent des informations personnelles collectées sur les réseaux sociaux pour personnaliser les messages et les rendre plus crédibles. D'autres usurpent l'identité d'interlocuteurs réels de la victime (attaques de type Business Email Compromise). Pour approfondir ce sujet, le site i-actu.fr propose des ressources détaillées sur les techniques de phishing et comment les reconnaître.

Les vulnérabilités non corrigées

WannaCry, l'une des attaques ransomware les plus dévastatrices de l'histoire (mai 2017, plus de 200 000 victimes dans 150 pays), exploitait une vulnérabilité Windows nommée EternalBlue — une faille connue et corrigée par Microsoft deux mois avant l'attaque. Les organisations et particuliers n'ayant pas appliqué le correctif se retrouvèrent massivement infectés. La leçon est simple mais souvent ignorée : une mise à jour Windows en attente peut être la porte d'entrée d'une catastrophe.

Le bureau à distance (RDP) mal sécurisé

Le protocole Bureau à distance (RDP) de Windows, utilisé pour accéder à distance à un ordinateur, est une cible privilégiée des attaquants. Un accès RDP exposé sur internet avec un mot de passe faible ou par défaut peut être compromis par force brute en quelques heures. Les ransomwares déployés via RDP sont particulièrement dévastateurs car l'attaquant dispose de tous les droits administrateur sur la machine.

Prévention : les mesures qui bloquent vraiment les attaques

La bonne nouvelle est que la grande majorité des ransomwares peuvent être évités en appliquant quelques mesures de protection éprouvées. Ces mesures ne sont ni coûteuses ni techniquement complexes pour la plupart d'entre elles. Pour une sécurité numérique globale, notre guide de sécurisation des données personnelles présente l'ensemble des défenses complémentaires à mettre en place.

Maintenir les systèmes et logiciels à jour

C'est la mesure de prévention la plus efficace et la plus sous-estimée. Activez les mises à jour automatiques de Windows, macOS, et de tous vos logiciels — notamment les navigateurs, les lecteurs PDF et les suites Office. Les ransomwares exploitent presque exclusivement des vulnérabilités connues et corrigées. Un système à jour est imperméable à la plupart des vecteurs d'exploitation automatisés.

Sauvegardes régulières et isolées

Une stratégie de sauvegarde bien conçue est votre filet de sécurité ultime. Si vous avez une sauvegarde récente et saine, une attaque ransomware devient un incident gérable plutôt qu'une catastrophe. Nous détaillons la sauvegarde anti-ransomware dans la section dédiée plus bas.

Formation et vigilance face au phishing

Apprenez à identifier les e-mails de phishing : vérifiez l'adresse email de l'expéditeur (pas seulement le nom affiché), méfiez-vous des messages créant une urgence artificielle, ne cliquez jamais sur un lien dans un email sans vérifier l'URL de destination, et n'activez jamais les macros dans des documents reçus par email. En entreprise, des formations régulières et des simulations de phishing réduisent significativement le taux de clics sur des liens malveillants.

Activer l'Accès contrôlé aux dossiers sur Windows

Windows 10 et 11 intègrent une fonctionnalité de sécurité souvent méconnue : l'Accès contrôlé aux dossiers (dans Sécurité Windows > Protection contre les virus et menaces > Paramètres de protection contre les ransomwares). Elle empêche tout programme non approuvé de modifier les fichiers dans vos dossiers protégés (Documents, Images, etc.). Activez-la dès maintenant — c'est gratuit et très efficace contre les ransomwares qui n'ont pas anticipé cette protection.

Schéma de propagation d'un ransomware par email de phishing et mesures de prévention

Si vous êtes infecté : les étapes à suivre

Si vous suspectez une infection en cours ou constatez que vos fichiers sont chiffrés, chaque seconde compte. Voici le protocole à suivre dans l'ordre.

Étape 1 — Isoler immédiatement : déconnectez l'ordinateur d'internet (débranchez le câble ethernet, désactivez le Wi-Fi) et du réseau local. Débranchez tous les disques externes et clés USB. Éteignez les appareils partagés sur le réseau (NAS, autres ordinateurs). L'objectif est d'arrêter la propagation et d'empêcher le ransomware d'atteindre d'autres supports ou d'autres machines.

Étape 2 — Identifier le ransomware : notez l'extension des fichiers chiffrés et le contenu de la note de rançon. Ces informations permettent d'identifier la souche spécifique du ransomware via des bases de données comme ID Ransomware (gratuit, en ligne) ou Crypto Sheriff de No More Ransom. L'identification est cruciale pour savoir si un outil de déchiffrement existe.

Étape 3 — Ne pas payer précipitamment : avant toute décision concernant la rançon, vérifiez l'existence d'un outil de déchiffrement gratuit et évaluez si une restauration depuis sauvegarde est possible. Payer doit être un dernier recours absolu.

Étape 4 — Préserver les preuves : si vous envisagez de porter plainte (recommandé), photographiez la note de rançon et notez tous les détails de l'infection. En France, vous pouvez signaler l'incident sur cybermalveillance.gouv.fr et déposer plainte auprès des autorités.

Étape 5 — Nettoyer avant de restaurer : si vous avez une sauvegarde saine, ne restaurez jamais sur un système encore infecté. Réinstallez proprement le système d'exploitation, vérifiez l'absence de tout résidu du ransomware, puis restaurez vos données depuis la sauvegarde.

Faut-il payer la rançon ?

La question est légitime et douloureuse quand des années de photos de famille ou de travail sont en jeu. La réponse des autorités et des experts en cybersécurité est unanimement négative — et les raisons sont solides.

D'abord, payer ne garantit pas la récupération. Les statistiques varient selon les sources, mais entre 20 % et 40 % des victimes qui paient ne reçoivent jamais la clé de déchiffrement, ou reçoivent une clé défectueuse. Vous feriez confiance à des criminels pour tenir parole — c'est un pari risqué. Certains groupes envoient bien les clés (pour maintenir leur réputation et inciter les futures victimes à payer), mais d'autres ont tout simplement disparu ou ont perdu les clés lors du démantèlement de leur infrastructure.

Ensuite, payer finance directement le développement de nouvelles attaques plus sophistiquées. Les groupes cybercriminels réinvestissent les rançons dans l'amélioration de leurs outils et dans le recrutement de nouveaux affiliés. En payant, vous contribuez à l'écosystème qui vous a attaqué.

Enfin, payer vous identifie comme une cible solvable. Certaines victimes ont signalé avoir été attaquées à nouveau peu après avoir payé une première rançon — les attaquants sachant qu'elles sont prêtes à payer.

La seule situation où le paiement peut se justifier concerne des données à valeur vitale absolument irrécupérables par d'autres moyens, et uniquement après avoir épuisé toutes les alternatives. Dans ce cas, négocier le montant est possible (certains opérateurs acceptent une réduction) et faire appel à un spécialiste en gestion des incidents ransomware est recommandé.

Outils de déchiffrement gratuits : No More Ransom

Avant de payer quoi que ce soit, consultez le projet No More Ransom. Cette initiative lancée en 2016 par Europol, la police néerlandaise, et des partenaires privés (dont Kaspersky et McAfee) met à disposition gratuitement plus de 130 outils de déchiffrement couvrant des centaines de souches de ransomware.

Le site nomoreransom.org propose l'outil Crypto Sheriff : uploadez deux de vos fichiers chiffrés et votre note de rançon, et le système identifie automatiquement le ransomware et vérifie si un outil de déchiffrement est disponible. Si la souche est reconnue et qu'un outil existe, vous pouvez télécharger le déchiffreur gratuitement et récupérer vos fichiers sans payer la rançon.

No More Ransom a permis à plus de 6 millions de victimes de récupérer leurs données sans payer. La liste des ransomwares couverts s'étend régulièrement au fur et à mesure que les chercheurs et les forces de l'ordre obtiennent des clés de déchiffrement suite au démantèlement d'infrastructures criminelles. Une souche sans outil aujourd'hui peut avoir une solution dans quelques semaines ou mois — c'est pourquoi conserver une copie des fichiers chiffrés peut valoir la peine.

D'autres sources d'outils de déchiffrement incluent les sites officiels d'éditeurs comme Kaspersky (kaspersky.fr/ransomware-decryptor), Avast, et Emsisoft. Ces outils sont toujours gratuits — méfiez-vous de tout site demandant de l'argent pour un « outil de déchiffrement ».

Stratégie de sauvegarde air-gap et versionnée pour protéger les données contre les ransomwares

Construire une sauvegarde résistante au ransomware

Une sauvegarde ordinaire ne suffit pas contre les ransomwares. Les souches modernes sont spécifiquement conçues pour cibler les sauvegardes : elles parcourent les lecteurs réseau mappés, chiffrent les disques externes connectés en permanence, et dans certains cas tentent de supprimer les copies d'ombre Windows. Une stratégie anti-ransomware efficace doit intégrer ces menaces dès sa conception.

Le principe de l'air-gap : la déconnexion physique

L'air-gap consiste à maintenir au moins une copie de sauvegarde physiquement déconnectée de tous vos systèmes. Un disque externe débranché après chaque session de sauvegarde est inaccessible au ransomware — peu importe sa sophistication. C'est la protection la plus simple et la plus efficace. Idéalement, faites tourner deux ou trois disques en rotation : pendant que l'un est connecté pour recevoir la sauvegarde, les autres sont rangés et hors de portée.

Le versionnement cloud : remonter dans le temps

Les services cloud avec versionnement permettent de restaurer des versions antérieures de vos fichiers — avant qu'ils ne soient chiffrés. Sur Google Drive, OneDrive et iCloud, le versionnement conserve généralement l'historique sur 30 jours (sur les offres payantes). Si un ransomware chiffre vos fichiers et les synchronise vers le cloud, vous pouvez parcourir l'historique des versions et restaurer les originaux non chiffrés. Activez impérativement cette option et vérifiez sa configuration.

Les sauvegardes immuables : technologie WORM

Certains services de sauvegarde cloud, comme Backblaze B2 avec les Object Lock, proposent des sauvegardes immuables — c'est-à-dire des sauvegardes que ni vous ni un attaquant ayant compromis vos accès ne pouvez supprimer ou modifier pendant une période définie. Cette technologie, issue du monde professionnel, est désormais accessible aux particuliers et représente la protection la plus robuste contre les ransomwares qui tentent de détruire les sauvegardes.

La règle 3-2-1-1-0

Dans le monde de la cybersécurité, la règle classique 3-2-1 a évolué en 3-2-1-1-0 pour répondre spécifiquement aux ransomwares : 3 copies, sur 2 supports différents, dont 1 hors site, dont 1 copie air-gap (déconnectée physiquement), et 0 erreur vérifiée lors des tests de restauration. Appliquer cette règle étendue vous donne une protection quasi-totale contre les ransomwares, les pannes matérielles, les incendies et les erreurs humaines simultanément. Notre guide de la stratégie de sauvegarde 3-2-1 vous explique comment mettre en place cette architecture, et notre comparatif des outils de sauvegarde automatique vous aide à choisir les logiciels adaptés à votre configuration.