Vos fichiers sont soudainement illisibles, renommés avec une extension inconnue, et un message exige un paiement en cryptomonnaie pour les récupérer ? Vous êtes victime d'un rançongiciel (ransomware). Voici la marche à suivre, et pourquoi payer n'est presque jamais la bonne option.
Comment reconnaître une infection par rançongiciel
- Vos fichiers personnels (photos, documents) ne s'ouvrent plus, avec une extension de fichier modifiée et inconnue
- Un fichier texte ou une fenêtre s'affiche, expliquant que vos données sont chiffrées et exigeant une rançon, généralement en cryptomonnaie
- Un compte à rebours est parfois affiché, menaçant d'augmenter le montant ou de supprimer définitivement les fichiers passé un délai
- L'ordinateur peut sembler ralenti juste avant l'apparition du message, le temps que le chiffrement des fichiers s'effectue en arrière-plan
La première action : isoler la machine
Déconnectez immédiatement l'appareil infecté d'internet et du réseau local (Wifi et câble), pour éviter que le rançongiciel ne se propage à d'autres appareils connectés au même réseau (NAS, autres ordinateurs partageant des dossiers réseau).
Ne redémarrez pas l'ordinateur dans l'immédiat sans avis technique, certaines variantes de rançongiciels poursuivent leur chiffrement au redémarrage.
Pourquoi il ne faut généralement pas payer
- Aucune garantie de récupération : de nombreuses victimes ayant payé n'ont jamais reçu la clé de déchiffrement promise
- Cela finance directement la criminalité organisée et encourage la poursuite de ces attaques
- Vous pouvez être identifié comme "payeur", ce qui expose à être reciblé ultérieurement par d'autres attaques
- Des solutions de déchiffrement gratuites existent parfois, développées par des chercheurs en sécurité pour certaines variantes connues de rançongiciels
Les étapes à suivre dans l'ordre
- Isolez l'appareil du réseau immédiatement
- Identifiez la variante du rançongiciel si possible (le nom apparaît parfois dans le message de rançon ou l'extension des fichiers), pour vérifier l'existence d'un outil de déchiffrement gratuit via des plateformes spécialisées reconnues
- Ne supprimez rien et ne reformatez pas immédiatement : conservez l'état de la machine pour une éventuelle analyse technique ou un dépôt de plainte
- Signalez l'incident via la plateforme officielle de signalement de cybermalveillance, qui peut orienter vers des prestataires de confiance pour l'analyse technique
- Déposez plainte au commissariat, en gendarmerie, ou en ligne, le rançongiciel constituant une infraction pénale
- Restaurez vos fichiers depuis une sauvegarde antérieure non connectée à l'appareil infecté au moment de l'attaque, si vous en disposez
La prévention reste la meilleure protection
- Sauvegardez régulièrement vos fichiers importants sur un support déconnecté du reste du temps (disque externe débranché, ou service cloud avec historique de versions)
- Maintenez votre système et vos logiciels à jour, de nombreuses attaques exploitant des failles déjà corrigées par les éditeurs
- Méfiez-vous des pièces jointes inattendues, même provenant apparemment de contacts connus (leur compte ayant pu être lui-même compromis)
- Utilisez un antivirus à jour intégrant une protection spécifique anti-ransomware
Le rôle clé de la sauvegarde
La règle dite "3-2-1" reste la référence : 3 copies de vos données importantes, sur 2 supports différents, dont 1 copie conservée hors ligne ou hors site. Une victime disposant d'une sauvegarde récente et saine peut simplement restaurer ses fichiers sans jamais envisager de payer la rançon.
Questions fréquentes
Mon antivirus aurait-il dû empêcher cette infection ? Pas nécessairement : certaines variantes récentes de rançongiciels exploitent des failles encore inconnues des éditeurs au moment de l'attaque, d'où l'importance cruciale de la sauvegarde en complément.
Combien de temps faut-il pour qu'un rançongiciel chiffre tous mes fichiers ? Cela varie de quelques minutes à plusieurs heures selon le volume de données et la puissance de l'appareil, d'où l'intérêt d'agir dès les premiers signes suspects.
Puis-je récupérer mes fichiers sans payer ni outil de déchiffrement spécifique ? Uniquement via une sauvegarde antérieure non affectée ; sans sauvegarde ni outil de déchiffrement disponible, la récupération reste malheureusement très incertaine.