25 avril 2017

Ransomware-as-a-Service (RaaS)

Nous allons rappeler rapidement ce qu’est un ransomware en abordant le principe du chiffrement et des rançons pour ensuite parler des Ransomware-as-a-Service : ce nouveau business permettant à un criminel technique de fournir un ransomware à plusieurs criminels non-techniques afin de diffuser massivement le malware.

CyberattaquescybercriminalitéCybersécuritéPhishingRansomware
Logo

Qu’est-ce qu’un ransomware ?

Il peut être bon de rappeler ce qu’est un ransomware, alias rançongiciel dans la langue de Molière. Il existe deux types de ransomware : ceux dits classiques, entravant votre machine et ne rétablissant son état que lors du paiement d’une rançon et les crypto-ransomwares, chiffrant les données et réclamant une rançon pour vous permettre d’y accéder à nouveau.

Un ransomware, dans sa généralité, profite d’une faille de sécurité (ou de vulnérabilité) comme la récente baptisée Log4Shell et a pour objectif de récupérer un certain montant d’argent pouvant être une monnaie type $ (US dollar) ou (euros).

Les crypto-ransomwares auront tendance à réclamer une somme en Ƀ (bitcoin), bien que les paiements via des services externes restent possibles. Les crypto-ransomwares vont infecter une machine la plupart du temps par le biais d’emails malicieux contenant un lien vers une adresse web vérolée qui téléchargera sur votre machine le malware, ou bien contenant une pièce-jointe vérolée qui agira comme un Trojan contenant le malware.

Lorsqu’un crypto-ransomware chiffre vos données, il est pratiquement impossible de les récupérer sans avoir la clé de déchiffrement. Le chiffrement est dit asymétrique ; une clé est utilisée pour chiffrer les données, et son unique clé associée est utilisée pour déchiffrer.

Les crypto-ransomwares ont des priorités de chiffrement différentes en fonction de son origine, de l’attaquant, etc. Certains chiffreront uniquement les données présentes dans le dossier « C:\USERS » de Windows, d’autres s’attaqueront à toutes les données présentes sur la machine, aux sauvegardes, aux partages réseaux, etc.

Il est bon de conclure ce rappel sur les ransomwares qu’il n’existe pas de solution miracle contre les ransomwares ou pour récupérer les données. Une entreprise ayant perdu ses données et qui est menacée de cessation de toute activité devra, sans aucun doute, payer la rançon afin d’espérer la récupération de ses données. Les entreprises ayant de nombreuses sauvegardes de leurs différents systèmes n’auront pas à s’inquiéter de la rançon, mais devront faire en sorte que ce genre d’attaque ne se reproduise plus.

Quant aux particuliers, il est fortement conseillé de ne pas payer la demande de rançon, car cela ne ferait qu’encourager les hackers à reproduire ce genre d’attaque. Ne faîtes pas confiance à ce que vous trouvez sur le Web, ne téléchargez jamais les pièces-jointes d’un email soupçonneux, ne cliquez jamais sur un lien envoyé par quelqu’un, et ayez un antivirus mis à jour régulièrement.

RaaS ? Quèsaco ?

RaaS est l’acronyme signifiant Ransomware-as-a-Service. Nous avons brièvement vu dans la partie précédente qu’une attaque par ransomware se caractérise par le schéma suivant :

Illustration : Fonctionnement d'un ransomware classique

Ce schéma résume assez simplement le principe de diffusion classique d’un crypto-ransomware. Voyons maintenant le schéma associé à la diffusion d’un crypto-ransomware, mais par le biais d’un RaaS :

Illustration : Fonctionnement d'un Ransomware-as-a-Service

Le schéma précédent illustre très bien l’intérêt du Ransomware-as-a-Service. L’attaquant principal va mettre au point une plate-forme et des outils permettant à des attaquants secondaires, peu importe leur niveau technique, de personnaliser un crypto-ransomware donné. La personnalisation est limitée mais suffisante, proposant de modifier le montant de la rançon (en bitcoin), les fichiers à chiffrer, etc. L’attaquant principal prend une caution sur la rançon récupérée par chaque utilisateur de son service.

Mais là où le vice va loin, c’est sur les fonctionnalités de certaines plates-formes. Certaines d’entre-elles mettent à disposition des outils pour suivre en direct la propagation du crypto-ransomware, avec les pays visés, les sommes demandées pour chaque malware envoyé, etc.

Au final, le principe du Ransomware-as-a-Service (RaaS) permet de mettre à disposition de n’importe qui une attaque pouvant rapporter rapidement de l’argent, peu importe le niveau de compétences, et le tout pour un prix dérisoire, si ce n’est gratuit. Ce type de service risque de créer de plus en plus de cyber-attaquants, attirés par l’appât du gain et la simplicité d’exécution. Là où un attaquant pouvait toucher un nombre X de cibles, le RaaS permet à un attaquant de fournir à Y hackers les outils pour que chacun touche un nombre X de cibles. Les schémas montraient dans le premier cas :

1 attaquant = 6 cibles

Grâce au RaaS, l’équation devient :

1 attaquant = 3 hackers
1 hacker = 6 cibles
1 attaquant = 3 * 6 = 18 cibles

Par chance, les ransomwares proposés dans la majorité des cas sont détectés par la plupart des antivirus, mais il n’est pas à exclure l’évolution de ces RaaS qui pourraient, à l’avenir, proposer des crypto-ransomwares plus destructeurs, comme Locky Ransomware, Cerber, etc.

Pour aller plus loin (webographie) :

Nous vous invitons à vous informer par vous-même des dangers liés aux RaaS, aux ransomwares en général mais aussi à un maximum d’attaques afin de pouvoir mieux s’en protéger. Les sources d’informations suivantes ont inspiré la rédaction de cet article et sont de bons compléments concernant les RaaS si vous n’êtes pas fâchés avec la langue de Shakespeare :

Glossaire

Bitcoin : est une crypto-monnaie, la plus populaire de nos jours.
Chiffrer : rendre une information incompréhensible pour toute personne ne possédant pas la clé nécessaire à son déchiffrement.
Chiffrement asymétrique : chiffrement utilisant un couple de clé (l’une est publique, la seconde est privée). Généralement, on se sert de la clé publique pour chiffrer un message et de la clé privée pour le déchiffrer. À une clé publique est associée une unique clé privée, et inversement.
Clé privée : lors d’un chiffrement asymétrique, est la clé utilisée pour déchiffrer un message chiffré avec la clé publique associée.
Clé publique : lors d’un chiffrement asymétrique, est généralement la clé utilisée pour chiffrer un message.
Crypter : abus de langage d’origine anglaise, signifiant que l’on rend une information incompréhensible par chiffrement sans clé. Impossible en pratique.
Cryptolocker/Crypto-ransomware : appelé aussi cryptovirus, est un genre de ransomware. La rançon demandée ici l’est en échange de la restitution des données de la victime, données qui ont été préalablement chiffrées par le crypto-ransomware.
Crypto-monnaie : monnaie électronique sur un réseau informatique.
Déchiffrer : rendre une information compréhensible grâce à la clé associée.
Décrypter : rendre une information compréhensible sans la clé associée (technique de hack).
Locky : est un crypto-ransomware sévissant grandement grâce à son efficacité. Il s’introduit dans un système suite au téléchargement, par un utilisateur, d’un Trojan camouflé en pièce jointe dans un email.
Malware : logiciel malveillant dont le but est de nuire à un système en l’infectant. Il existe de nombreux malwares avec différentes fonctionnalités.
Ransomware : appelé aussi rançongiciel, est un type de malware. Il en existe de différentes sortes, dont le but est de nuire en quémandant une rançon à la victime.
Trojan : dit cheval de Troie, est un type de malware. Il semble légitime mais contient un programme malveillant. Le but ici est de faire passer un programme dangereux (ex. : Locky) dans un système à travers un logiciel inoffensif (le Trojan) aux yeux de ce même système.

Blog

Nos actualités cybersécurité

Cybersécurité

Panorama de la cybermenace 2025 : ce que révèle le rapport de l’ANSSI sur l’état de la menace en France

L’ANSSI a publié le 11 mars 2026 son Panorama de la cybermenace 2025. Comme chaque année, ce rapport constitue la référence pour comprendre l’évolution des menaces qui pèsent sur les organisations françaises. Et cette édition ne rassure pas.

23 mars 2026

Cybersécurité

Cybersécurité du mainframe : pourquoi et comment sécuriser le cœur de vos systèmes d’information

Souvent perçu comme une relique technologique, le mainframe reste pourtant l’épine dorsale des organisations les plus critiques au monde. Banques, assurances, industries, administrations : ces systèmes traitent chaque jour des milliards de transactions et concentrent les données les plus sensibles. Pourtant, leur sécurité est rarement auditée avec la rigueur qu’ils méritent. Décryptage d’un angle mort majeur de la cybersécurité.

20 mars 2026

Cybersécurité

Cybersécurité des ETI : comment passer du réflexe défensif à une stratégie structurée

En 2025, 34 % des ETI ont subi au moins une cyberattaque significative. Le chiffre peut sembler modéré en comparaison des grandes entreprises (50 %), mais il masque une réalité plus brutale : parmi les organisations touchées, 81 % ont constaté un impact direct sur leur activité – perturbation de la production, perte d’image, compromission de données stratégiques ou perte de chiffre d’affaires (sondage OpinionWay pour CESIN, janvier 2026).

10 mars 2026
Découvrez tous les articles

informations

Contactez-nous

Une question ou un projet en tête ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

    *Informations obligatoires

    Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.

    Ce site est protégé par reCAPTCHA. La politique de confidentialité et les conditions d'utilisation de Google s'appliquent.

    Index