De l’importance de conserver des données chiffrées non récupérées après une attaque rançongiciel
février 19, 2024
2 minutes de lecture
Différents cas permettent de récupérer des données chiffrées sans payer la rançon à la suite d’une attaque rançongiciel. Outre la récupération de données que nous avons traité dans un précédent article, il existe également d’autres cas que cet article passe en revue. Cela illustre l’importance pour une victime de rançongiciel de conserver une copie des données chiffrées qui n’auraient pas pu être récupérées durant le traitement de l’incident. En effet, il est toujours permis d’espérer une récupération des données a posteriori !
Le 12 février 2024, des chercheurs en cybersécurité de l’Université Kookmin et de l’Agence coréenne de sécurité de l’Internet (KISA) ont publié leurs travaux sur l’identification d’une faille dans le code source du rançongiciel Rhysida. En exploitant cette vulnérabilité, les chercheurs ont réussi à reconstruire les clés de chiffrement dans son programme. Cette découverte a permis le développement d’un outil de décryptage qui offre aux victimes de ce groupe criminel une solution gratuite pour récupérer leurs données chiffrées.
Cette opération n’est pas une première dans le monde de la cybersécurité.
Dans les cas d’opérations de démantèlement de groupes criminels dans le cadre d’opérations judiciaires, les forces de police peuvent parfois récupérer les clés-maîtres de déchiffrement des logiciels malveillants utilisés par ces criminels. Les forces de police diffusent alors à la suite ces clés aux victimes qui peuvent ainsi récupérer leurs données parfois plusieurs mois après l’attaque qu’ils ont subi.
Par ailleurs, les programmes malveillants sont des programmes comme les autres susceptibles de contenir des failles. Le plus souvent les développeurs de ces programmes commettent des erreurs dans l’implémentation de la cryptographie – ce qui permet à des chercheurs en sécurité de fournir des outils de décryptage comme dans le cas de ce groupe Rhysida qui est un groupe criminel toujours actif (à la date de rédaction de cet article) dont la dernière victime est en date du 15 février 2024.
Il existe un projet The No More Ransom Project qui recense tous ces outils. Il s’agit d’une initiative européenne et d’entreprises de la cybersécurité dont le but est d’aider les victimes des rançongiciels à retrouver leurs données chiffrées sans avoir à payer les criminels.
Pour aller plus loin, vous pouvez également consulter notre article sur la récupération de données.
Partager :