Les ransomwares s’attaquent désormais aux sauvegardes personnelles

Lorsqu’il s’agit de sauvegardes, la plupart des gens se disent : « Je m’en occuperai demain ». Mais même si vous faites partie de ceux qui, par mesure de prudence, sauvegardent régulièrement leurs documents, leurs archives de photos et l’ensemble de leur système d’exploitation, vous n’êtes pas à l’abri. Pourquoi ? Parce que les ransomwares ont appris à cibler spécifiquement les sauvegardes des utilisateurs ordinaires.

Pourquoi les particuliers sont-ils visés ?

Il n’y a pas si longtemps, les ransomwares constituaient surtout un problème pour les grandes entreprises. Les pirates ciblaient les serveurs et les sauvegardes des entreprises, car paralyser les processus de production d’une grande entreprise ou dérober l’ensemble de ses informations et de ses bases de données clients leur rapportait généralement beaucoup d’argent. Nous avons connu de nombreux cas de ce type au cours des dernières années. Cependant, le marché des « petits poissons » est devenu tout aussi attrayant pour les cybercriminels, et voici pourquoi.

Pour commencer, les attaques sont automatisées. Les ransomwares modernes ne nécessitent pas d’intervention humaine manuelle. Ces programmes parcourent Internet à la recherche d’appareils vulnérables et, lorsqu’ils en trouvent un, ils chiffrent tout sans distinction, sans que le pirate informatique n’ait à agir. Cela signifie qu’un seul pirate peut facilement attaquer des milliers d’appareils domestiques.

D’autre part, en raison de cette large portée, les demandes de rançon sont devenues plus « abordables ». On ne demande pas des millions aux utilisateurs ordinaires, mais « seulement » quelques centaines ou quelques milliers de dollars. Beaucoup de gens sont prêts à payer cette somme sans faire appel à la police, surtout lorsque des archives familiales, des photos, des dossiers médicaux, des documents bancaires et d’autres dossiers personnels sont en jeu, et qu’il n’existe aucune autre copie. Et quand on multiplie ces petits montants par des milliers de victimes, les pirates informatiques repartent avec de jolies petites sommes.

De plus, les appareils domestiques sont généralement des cibles faciles. Alors que les réseaux d’entreprise sont très bien protégés, le routeur domestique moyen utilise généralement les paramètres d’usine, avec « admin » comme mot de passe. Bon nombre d’utilisateurs laissent leur stockage en réseau NAS accessible à tous sur Internet, sans aucune protection. C’est une proie facile.

Comment les sauvegardes personnelles sont-elles piratées ?

Un disque NAS domestique, souvent appelé  » cloud personnel « , est en fait un mini-ordinateur équipé d’un système d’exploitation spécialisé basé sur Linux ou FreeBSD. Il contient un ou plusieurs disques durs de grande capacité, souvent regroupés en une baie de disques. Ce périphérique de stockage se connecte au routeur domestique, rendant les fichiers accessibles depuis n’importe quel appareil du réseau domestique, voire à distance sur Internet si vous l’avez configuré en ce sens. De nombreuses personnes achètent un NAS spécialement pour centraliser les sauvegardes familiales et simplifier l’accès pour leurs proches, pensant qu’il s’agit du refuge idéal pour leurs archives numériques.

Le comble, c’est que ces mêmes centres de stockage sont devenus la cible principale des groupes spécialisés dans les ransomwares. Les cybercriminels peuvent s’y introduire assez facilement, soit en exploitant des vulnérabilités connues, soit en piratant simplement un mot de passe faible. Au cours des cinq dernières années, plusieurs attaques majeures par ransomware ont spécifiquement visé les serveurs NAS domestiques fabriqués par les marques QNAP, Synology et ASUSTOR.

Les pirates informatiques ne se contentent pas de cibler les NAS pour accéder à vos fichiers. La deuxième méthode repose sur l’ingénierie sociale : il s’agit essentiellement d’amener les victimes à lancer elles-mêmes des programmes malveillants. Prenons par exemple l’énorme engouement pour l’IA en 2025. Les escrocs mettaient en place des sites malveillants proposant de faux programmes d’installation pour ChatGPT, Invideo AI et d’autres outils en vogue. Ils attiraient les gens en leur promettant des abonnements premium gratuits, mais en réalité, les utilisateurs finissaient par télécharger et exécuter un ransomware.

Que recherche un ransomware une fois infiltré ?

Une fois que le programme malveillant s’est infiltré dans votre système, il procède à une analyse de l’environnement et neutralise tout ce qui pourrait vous aider à récupérer vos données sans avoir à payer.

• Il efface les clichés instantanés de Windows. Le service Volume Shadow Copy Service est une fonctionnalité intégrée à Windows permettant de restaurer rapidement des fichiers. La suppression de ces données empêche de restaurer simplement une version antérieure d’un fichier.
• Il analyse les disques connectés. Si vous laissez un disque dur externe branché en permanence sur votre ordinateur, le ransomware le détectera et le chiffrera comme n’importe quel autre fichier.
• Il recherche les dossiers réseau. Si votre cloud domestique est mappé en tant que disque réseau, le programme malveillant suivra ce chemin pour l’attaquer également.
• Il vérifie les clients de synchronisation cloud. Des services tels que Dropbox, Google Drive ou iCloud pour Windows conservent tous des dossiers de synchronisation locaux sur votre ordinateur. Le ransomware chiffre les fichiers contenus dans ces dossiers, puis le service cloud se charge « gentiment » de charger les versions chiffrées sur le cloud.

La règle d’or des sauvegardes

La règle classique du « 3-2-1 » pour les sauvegardes peut être résumée ainsi :

• Trois copies de vos données : l’original et deux sauvegardes
• Deux types de supports différents : par exemple, votre ordinateur et un disque dur externe
• Une copie hors site : dans le cloud ou ailleurs, par exemple chez un proche

Cette règle est toutefois antérieure à l’ère des ransomwares. Aujourd’hui, il faut y ajouter une condition essentielle : au moment de l’attaque, cette autre copie doit être totalement isolée à la fois d’Internet et de votre ordinateur.

La nouvelle règle est « 3-2-1-1 » : un peu plus compliquée à retenir, mais bien plus sûre. Pour cela, rien de plus simple : procurez-vous un disque dur externe que vous branchez une fois par semaine, sauvegardez vos données, puis débranchez-le.

Ce qu’il faut réellement sauvegarder

• Photos et vidéos. Les photos de mariage, les premiers pas d’un bébé, les archives familiales… Voilà les souvenirs pour lesquels les gens sont prêts à payer afin de les récupérer.
• Des copies numériques ou des photos des documents essentiels de chaque membre de la famille : passeports, dossiers médicaux, y compris d’anciennes archives.
• Données d’authentification à deux facteurs. Si votre application d’authentification n’est installée que sur votre téléphone et que vous l’égarez, vous risquez également de perdre l’accès à tous vos comptes protégés. De nombreuses applications vous permettent de sauvegarder vos données d’authentification.
• Mots de passe. Si vous utilisez un gestionnaire de mots de passe, assurez-vous qu’il se synchronise avec un cloud sécurisé ou qu’il dispose d’une fonction d’exportation.
• Les applications de messagerie axées sur la confidentialité ne stockent pas toujours votre historique dans le cloud. La correspondance professionnelle, les contrats importants et les coordonnées de vos contacts risquent de disparaître s’ils ne sont pas sauvegardés.

Que faire si vos données sont déjà chiffrées ?

Ne paniquez pas. Consultez notre page consacrée aux outils de déchiffrement gratuits des ransomwares. Nous avons rassemblé une sélection d’outils de déchiffrement qui pourraient vous aider à récupérer vos données sans avoir à payer de rançon.

Comment sécuriser vos sauvegardes ?

• Ne laissez pas votre disque dur externe de sauvegarde branché en permanence. Branchez-le, copiez vos fichiers, puis débranchez-le immédiatement.
• Mettez en place des sauvegardes automatiques dans le cloud, mais assurez-vous que votre fournisseur de services cloud conserve l’historique des versions pendant au moins 30 jours. Si votre forfait actuel ne le permet pas, il est temps de passer à une offre supérieure ou de changer de fournisseur.
• Respectez la règle du 3-2-1-1 : conservez vos fichiers originaux sur votre ordinateur, ajoutez un disque dur externe que vous ne branchez que de temps en temps, et complétez le tout par un espace de stockage dans le cloud. Cela fait trois copies, deux types de supports, une copie hors ligne et une autre hors site.
• Coupez l’accès à Internet de votre stockage réseau. Si vous disposez d’un disque réseau domestique, assurez-vous qu’il n’est pas accessible depuis Internet sans mot de passe, et que ce mot de passe n’est pas « admin ». Désactivez toutes les fonctionnalités d’accès à distance que vous n’utilisez pas et assurez-vous que votre micrologiciel est à jour.
• En fait, veillez à ce que tout soit à jour. La plupart des attaques exploitent des vulnérabilités connues pour lesquelles des correctifs existent depuis longtemps. L’activation des mises à jour automatiques pour votre routeur, votre NAS et votre ordinateur ne prend que quelques minutes, mais permet de combler efficacement des centaines de failles de sécurité connues.
• Évitez les versions « gratuites » des logiciels payants. Les faux programmes d’installation de logiciels piratés ou de codes de triche pour jeux vidéo figurent parmi les principaux vecteurs de propagation des ransomwares. Au fait, Kaspersky Premium détecte ces menaces et les bloque avant même qu’elles ne se soient lancées.
• Assurez-vous d’activer la fonctionnalité Surveillance du système dans nos suites de sécurité Windows. Cette fonctionnalité enregistre tous les événements du système d’exploitation afin de faciliter la détection des menaces, comme les ransomwares, et de les bloquer ou de réparer les dommages qu’elles ont déjà causés.
• Sauvegardez votre application d’authentification. La solution la plus simple consiste à migrer vos jetons d’authentification vers Kaspersky Password Manager. Ils sont conservés en toute sécurité et chiffrés dans le cloud, aux côtés de vos mots de passe et de vos documents confidentiels, tout en étant synchronisés sur l’ensemble de vos appareils. Ainsi, si jamais votre téléphone est volé ou tombe en panne, vous ne perdrez pas l’accès à vos comptes ni à vos données essentielles.
• Testez vos sauvegardes. Une fois tous les quelques mois, essayez de restaurer un fichier au hasard à partir de votre archive. Vous seriez surpris de constater que les sauvegardes qui semblent avoir réussi s’avèrent parfois corrompues ou défectueuses. Mieux vaut repérer ces anomalies tant que vous disposez encore des fichiers originaux pour résoudre le problème.