Aller au contenu principal
ransomware-securityINFO

De faux e-mails Interpol diffusent un ransomware, mais la clé de déchiffrement est à l'intérieur

Une campagne de ransomware usurpe Interpol pour piéger les petites entreprises via une archive Proton Drive. La faille : la fonction de déchiffrement et la clé sont embarquées dans le malware, donc récupérer sans payer est possible.

Par Eric Gerard · Éditeur · Save My Disk8 min de lecturePhoto via Unsplash

Une nouvelle campagne de ransomware usurpe l'identité d'Interpol pour pousser les petites entreprises à s'infecter elles-mêmes. Selon les chercheurs de Bitdefender, relayés par des médias comme SC Media, Infosecurity et Hackread, les e-mails se font passer pour une "Interpol Cybercrime Investigation Unit" officielle et prétendent qu'une réponse d'urgence est nécessaire pour aider une enquête sur des problèmes de conformité ou de sécurité. L'appât, c'est l'autorité et la peur. La réalité, c'est une tentative maladroite de faire exécuter un malware au destinataire.

Un détail inhabituel change toute la réponse à apporter. Les personnes derrière cette campagne ont si mal conçu leur ransomware que l'outil nécessaire pour inverser le chiffrement, et la clé qu'il utilise, sont transportés à l'intérieur même du malware. Cette seule erreur remet la récupération sans paiement sur la table.

À quoi ressemble la campagne de faux Interpol

Le message arrive sous la forme d'un e-mail maquillé en avis officiel. Il utilise le nom d'Interpol et le libellé inventé d'une "Cybercrime Investigation Unit", et il insiste sur l'urgence : la coopération du destinataire serait requise pour une enquête en cours sur une question de conformité ou de sécurité. Cette mise en scène vise à court-circuiter le discernement. Un salarié effrayé qui croit qu'un organisme de police international le surveille est plus enclin à cliquer d'abord et à réfléchir ensuite.

L'e-mail ne transporte pas directement la charge. Il renvoie vers un lien Proton Drive où est hébergée une archive protégée par mot de passe, et il fournit obligeamment le mot de passe dans le corps du message. Les archives protégées par mot de passe sont une astuce d'évasion classique : beaucoup de scanners d'e-mails et d'endpoints ne peuvent pas inspecter le contenu d'une archive chiffrée, si bien que le fichier malveillant passe à travers les filtres qui l'auraient sinon signalé.

Comment fonctionne la chaîne d'infection

Une fois que la victime télécharge l'archive et saisit le mot de passe fourni, elle ne trouve pas un document. Elle trouve d'autres archives imbriquées à l'intérieur. Couche après couche, l'emballage maintient la vraie charge enfouie, ce qui gêne encore l'analyse automatisée et fait passer l'objet pour un lot de fichiers inoffensif.

Au fond de cette imbrication se trouve le ransomware, déguisé en fichier vidéo. L'ingénierie sociale reste cohérente jusqu'au bout : un destinataire à qui l'on a dit qu'il s'agit d'une enquête s'attend à examiner des preuves, donc une "vidéo" paraît plausible. Quand la victime tente de lire cette vidéo, l'exécutable se lance. Au lieu d'images, il commence à chiffrer les fichiers sur les disques disponibles et dépose une note de rançon exigeant un paiement.

Des flux de code vert défilent sur un écran d'ordinateur sombre
Des flux de code vert défilent sur un écran d'ordinateur sombre

La chaîne est volontairement stratifiée mais pas sophistiquée. Chaque étape, la fausse autorité, l'hébergeur de fichiers hors plateforme, le mot de passe fourni, les archives imbriquées, le déguisement en vidéo, est une astuce déjà connue. Ce qui rend la campagne notable n'est pas son ingéniosité mais le choix des cibles et une erreur d'implémentation qui se retourne contre les attaquants.

La faille clé : la clé de déchiffrement est embarquée dans le malware

Voici le détail le plus important pour toute victime. D'après les chercheurs qui ont analysé les échantillons, ce ransomware transporte à la fois sa fonction de déchiffrement et la clé requise à l'intérieur même du malware. Dans une souche correctement conçue, la clé qui déverrouillerait vos fichiers est générée sur l'infrastructure de l'attaquant et ne touche jamais votre machine, ce qui explique justement pourquoi payer peut sembler la seule issue. Cette campagne fait l'inverse.

Comme la logique de déchiffrement et la clé sont présentes localement, il est techniquement possible de récupérer les fichiers chiffrés sans négocier avec les attaquants ni les payer. C'est un défaut majeur dans la conception des attaquants. Cela signifie aussi que des éditeurs comme Bitdefender sont bien placés pour publier un déchiffreur gratuit bâti à partir de ce matériel embarqué, et que des partenaires antivirus et policiers peuvent l'ajouter au catalogue public d'outils gratuits.

Soyons clairs sur les limites : extraire une clé embarquée en toute sécurité relève du travail d'analystes de malwares, ce n'est pas à improviser à partir d'un article de blog. N'essayez pas de disséquer l'échantillon vous-même. L'enseignement pratique est plus simple et tout aussi important : ne payez pas, car le chiffrement utilisé ici n'est pas du type incassable sur lequel repose un ransomware correctement implémenté.

Qui est visé

La campagne vise les petites et moyennes entreprises plutôt que les particuliers, et elle touche plusieurs régions. Selon Bitdefender, les chercheurs ont observé des cibles aux États-Unis, en Europe, en Asie et au Moyen-Orient, couvrant un large éventail de secteurs : technologie, finance, services juridiques, agroalimentaire, pharmacie et médias. Cette dispersion suggère une distribution opportuniste plutôt qu'une liste de victimes triée sur le volet.

Les petites entreprises sont une proie attrayante pour une raison. Elles manquent souvent d'une équipe de sécurité dédiée, le personnel est parfois moins entraîné face à l'usurpation, et le choc d'un apparent avis d'Interpol peut faire tomber la prudence habituelle. Les attaquants parient sur cette faille. Une équipe bien informée, à l'inverse, repère l'escroquerie dès la première ligne : une vraie police n'envoie pas des "preuves" d'enquête sous forme d'archive protégée par mot de passe depuis un cloud grand public.

Que faire si vous recevez l'un de ces e-mails

Si un message de ce type atterrit dans votre boîte, traitez-le comme hostile et n'interagissez pas avec la charge :

  1. Ne téléchargez pas l'archive et n'ouvrez aucun fichier qu'elle contient. Le ransomware se déclenche à l'ouverture de la fausse vidéo, donc le plus sûr est de ne jamais atteindre cette étape.
  2. Ne répondez pas et n'utilisez aucune coordonnée figurant dans l'e-mail. La marque Interpol est fausse, et toute "unit" nommée dans le message est une invention.
  3. Isolez toute machine qui aurait déjà téléchargé ou ouvert le fichier : débranchez le câble réseau, désactivez le Wi-Fi et déconnectez les disques externes pour limiter la propagation.
  4. Signalez-le à votre équipe informatique ou sécurité et à votre autorité nationale de lutte contre la cybercriminalité. Si vous devez vérifier une vraie demande policière, contactez l'agence par ses canaux publics officiels, jamais via l'e-mail.

Que faire si vos fichiers sont déjà chiffrés

Si la charge s'est déjà exécutée et que vos fichiers sont verrouillés, la réponse reprend le protocole ransomware standard, avec un facteur encourageant : la conception défaillante de cette souche rend une récupération gratuite réaliste. Avancez calmement, étape par étape.

Commencez par isoler la machine et photographier la note de rançon et l'extension des fichiers chiffrés. Identifiez ensuite la souche avec précision : notre guide d'identification ID Ransomware explique comment uploader un échantillon et la note pour déterminer exactement ce qui vous a frappé. Une identification correcte est ce qui permet de trouver ou de construire un déchiffreur adapté.

Vérifiez ensuite les outils gratuits officiels. Comme la clé est embarquée, un déchiffreur pour cette famille est envisageable, alors consultez le portail No More Ransom et la page des outils gratuits de Bitdefender. Notre guide pillar sur la façon de déchiffrer un ransomware sans payer explique comment trouver, vérifier et tester en toute sécurité un déchiffreur officiel sur une copie avant de le lancer en masse. Si aucun outil n'existe encore pour votre échantillon exact, conservez les fichiers chiffrés sur un disque externe propre et revenez plus tard, car les outils pour les souches défaillantes finissent souvent par sortir.

Si vous disposez d'une sauvegarde propre et déconnectée antérieure à l'attaque, la restaurer est la voie fiable la plus rapide. Quelle que soit l'option retenue, ne payez pas la rançon : le paiement finance l'opération, vous désigne comme cible facile et devient inutile quand le chiffrement lui-même est réversible. Pour la réponse complète pas à pas et les options de récupération, consultez nos guides sur ce qu'il faut faire quand vos fichiers sont chiffrés par un ransomware et comment récupérer des fichiers après un ransomware.

Comment une petite entreprise peut se durcir contre cette menace

Cette campagne réussit par les personnes, pas par une prouesse technique : les meilleures défenses sont donc organisationnelles. Formez le personnel à se méfier de tout message non sollicité qui se réclame de la police et demande de télécharger un fichier protégé par mot de passe, et rendez normal le fait de faire une pause pour vérifier plutôt que de réagir à l'urgence. Bloquez si possible les types de pièces jointes à risque et les archives protégées par mot de passe au niveau de la passerelle e-mail, car c'est exactement l'évasion sur laquelle mise cette campagne.

Conservez des sauvegardes hors ligne ou immuables pour qu'un chiffrement réussi reste un désagrément et non une crise, et testez que vous pouvez réellement les restaurer. Enfin, posez une règle simple : tout contact réel d'une agence de police se vérifie via les canaux nationaux officiels, jamais via un lien, une pièce jointe ou un numéro de téléphone fourni dans un e-mail inattendu. Ces réflexes neutralisent la peur que cette fausse campagne Interpol est conçue pour exploiter.

Guides liés

Choix éditorial
4.5 / 5

Sauvegarde maintenant pour neutraliser les rançongiciels → EaseUS Todo Backup

Sauvegardes automatiques · clone de disque · copie hors-ligne

Fondé en 2004Garantie 30 joursVersion gratuite 2 Go
Voir l'offre

Questions fréquentes

Ce faux e-mail Interpol vient-il vraiment d'Interpol ?

Non. Interpol n'ouvre pas d'enquête en envoyant aux entreprises une archive protégée par mot de passe hébergée sur Proton Drive. L'organisation coordonne les polices nationales via des Bureaux centraux nationaux officiels, jamais en demandant à une société de télécharger et de décompresser un fichier pour 'participer à une réponse d'urgence'. Tout e-mail se réclamant d'une 'Interpol Cybercrime Investigation Unit' avec une pièce jointe et un mot de passe est une escroquerie.

Pourquoi le fait que ce ransomware soit mal conçu change-t-il la donne ?

Parce que, selon Bitdefender, les chercheurs ont constaté que la fonction de déchiffrement et la clé dont elle a besoin sont embarquées directement dans le malware. En principe, cela signifie que le chiffrement peut être inversé sans jamais contacter ni payer les attaquants, et qu'un éditeur comme Bitdefender peut construire un déchiffreur gratuit à partir de cette faille. C'est l'inverse d'une souche correctement implémentée, où la clé privée reste sur le serveur de l'attaquant et où la récupération est mathématiquement impossible.

Dois-je ouvrir la pièce jointe pour voir de quoi il s'agit ?

Non. N'ouvrez jamais l'archive ni le fichier déguisé en vidéo qu'elle contient. Le ransomware se déclenche quand la victime tente de lire la fausse vidéo. Si vous avez déjà reçu l'e-mail, ne téléchargez rien, isolez toute machine qui l'aurait touché et signalez le message à votre équipe informatique ou à l'autorité nationale de lutte contre la cybercriminalité.

Mes fichiers sont déjà chiffrés. Que faire maintenant ?

Isolez la machine touchée du réseau, photographiez la note de rançon, identifiez la souche avec ID Ransomware et vérifiez le portail No More Ransom pour un déchiffreur gratuit avant toute autre chose. Comme la clé est embarquée dans ce malware, un déchiffreur public est techniquement envisageable. Restaurez depuis une sauvegarde propre si vous en avez une, et ne payez pas.

Est-ce l'œuvre d'un grand gang de ransomware ?

Les chercheurs estiment que cette campagne est plus probablement le fait d'un individu ou d'un petit groupe peu sophistiqué que d'un groupe de ransomware établi. La livraison réutilisant Proton Drive, les archives imbriquées, l'enveloppe en fausse vidéo et surtout la clé de déchiffrement embarquée trahissent un savoir-faire limité. L'arme principale est la peur, l'intimidation d'un faux avis policier, plus que la force technique.

Comment une petite entreprise peut-elle éviter cette attaque ?

Considérez comme hostile tout e-mail non sollicité se réclamant de la police, avec une pièce jointe et un mot de passe fourni. Bloquez au niveau de la passerelle les pièces jointes à risque, archives et exécutables, conservez des sauvegardes hors ligne ou immuables, et vérifiez tout contact policier réel via les canaux nationaux officiels, jamais via un lien dans l'e-mail. La sensibilisation du personnel est ici la mesure la plus efficace.