Imaginez arriver au bureau un lundi matin. Les écrans affichent tous le même message : vos fichiers ont été chiffrés, versez 500 000 euros en Bitcoin sous 72 heures ou perdez tout. Le standard téléphonique est muet, la comptabilité paralysée, les commandes clients inaccessibles. Bienvenue dans le quotidien d’une victime de ransomware.

Le ransomware — rançongiciel en français — incarne une forme d’agression numérique particulièrement vicieuse. Son principe tient en trois temps : infiltrer un système, verrouiller les données par chiffrement, puis monnayer leur libération. Une logique de kidnapping appliquée aux fichiers informatiques, où la pression psychologique compte autant que la prouesse technique.

Ce qui distingue le ransomware des autres cybermenaces ? Sa brutalité assumée. Là où le vol de données opère dans l’ombre, le ransomware s’affiche. Il veut être vu, compris, craint. Car c’est cette peur — celle de tout perdre, de ne pas pouvoir payer les salaires, de fermer boutique — qui pousse les victimes à sortir leur portefeuille.

Aux origines des ransomwares

Avant Internet, avant les hackers en sweat à capuche, un biologiste de Harvard nommé Joseph Popp a posé les bases de ce qui allait devenir une industrie criminelle pesant des milliards.

Décembre 1989. Popp expédie 20 000 disquettes à travers le monde, ciblant les chercheurs participant à une conférence de l’OMS sur le SIDA. L’étiquette promet un questionnaire médical. La réalité est tout autre : après 90 redémarrages, le programme verrouille l’ordinateur et réclame 189 dollars, à envoyer par courrier à une boîte postale panaméenne.

L’arnaque ne fait pas long feu. Le chiffrement utilisé, trop rudimentaire, est rapidement cassé par des experts. Popp finit arrêté à l’aéroport d’Amsterdam après avoir griffonné « Dr Popp a été empoisonné » sur la valise d’un passager — comportement qui lui vaudra d’être déclaré inapte à comparaître.

Mais le germe est planté. Popp a démontré qu’un logiciel pouvait servir d’instrument de chantage à distance.

Quinze ans de sommeil, puis l’explosion

Le ransomware hiberne pendant les années 1990 et le début des années 2000. Pourquoi ? Deux obstacles majeurs : pas de réseau pour propager massivement le malware, pas de moyen de paiement suffisamment anonyme pour encaisser les rançons sans se faire pincer.

Tout bascule au milieu des années 2000. Le haut débit se généralise. Les cryptomonnaies émergent. Et surtout, les cybercriminels découvrent le chiffrement asymétrique RSA — impossible à casser sans la clé privée détenue par l’attaquant.

CryptoLocker débarque en 2013 et change la donne. Distribution par botnet, chiffrement RSA-2048, paiement en Bitcoin : le trio gagnant. En quelques mois, le malware génère des millions de dollars. Le ransomware n’est plus une curiosité technique. C’est un business model validé.

Comment fonctionne un ransomware

Derrière l’écran de rançon se cache une mécanique rodée, fruit de semaines voire de mois de préparation. Décortiquons les rouages.

Trouver la porte d’entrée

Tout commence par une brèche. Les attaquants disposent d’un arsenal varié pour s’infiltrer.

Le mail piégé reste le grand classique. Un message crédible — facture, relance, candidature spontanée — contient une pièce jointe vérolée ou un lien malveillant. Un clic distrait, et le malware s’installe. Simple, efficace, terriblement banal.

Les failles logicielles offrent une autre voie royale. Serveurs VPN non patchés, pare-feux obsolètes, applications web vulnérables : les attaquants scrutent en permanence les systèmes exposés sur Internet. Une vulnérabilité publiée peut être exploitée dans les heures qui suivent. L’ANSSI note que plus de la moitié de ses interventions en 2024 concernaient ce type de brèche.

L’accès à distance mal protégé fait aussi des ravages. Un serveur RDP (bureau à distance) accessible avec un mot de passe faible ? C’est une invitation en lettres d’or pour les attaquants, qui automatisent les tentatives de connexion par milliers.

Dernière option, plus sophistiquée : remonter la chaîne d’approvisionnement. Plutôt que d’attaquer frontalement une cible bien défendue, compromettre un de ses fournisseurs de logiciels. L’attaque NotPetya en 2017 a utilisé exactement cette méthode, infectant des milliers d’entreprises via la mise à jour d’un logiciel comptable ukrainien.

S’installer et préparer le terrain

Une fois dedans, les attaquants ne se précipitent pas. Ils explorent, cartographient, élèvent leurs privilèges. Cette phase de reconnaissance peut durer des jours, parfois des semaines.

Objectif numéro un : identifier les données critiques. Serveurs de fichiers, bases de données, applications métier — tout ce qui fait tourner l’entreprise au quotidien.

Objectif numéro deux : neutraliser les garde-fous. Les sauvegardes sont repérées et supprimées, ou chiffrées elles aussi. Les antivirus sont désactivés. Les comptes administrateurs sont compromis pour garantir un accès total.

Quand le terrain est prêt, le piège peut se refermer.

Le coup de grâce

Le chiffrement se déclenche généralement la nuit ou le week-end, quand personne ne surveille. En quelques heures, des téraoctets de données deviennent illisibles. Les fichiers prennent des extensions étranges — .locked, .encrypted, .darkside — et une note de rançon s’affiche sur chaque poste.

Le message est calibré pour maximiser la pression : compte à rebours avant doublement du montant, menace de publication des données volées, instructions détaillées pour acheter des Bitcoin. Certains groupes proposent même un « service client » par chat pour guider les victimes dans le processus de paiement.

Et après le paiement ?

Payer ne garantit rien. L’outil de déchiffrement fourni — quand il arrive — est souvent lent, bugué, incomplet. Des fichiers restent corrompus. Des bases de données refusent de redémarrer.

Colonial Pipeline, après avoir lâché 4,4 millions de dollars en 2021, a découvert que le décrypteur était si poussif que ses équipes ont finalement préféré restaurer depuis les sauvegardes. L’argent versé n’a servi à rien, sinon à financer les prochaines attaques du groupe DarkSide.

Les grandes familles de ransomwares

Le ransomware a muté. Ce qui était une menace monolithique s’est diversifié en plusieurs variantes, chacune avec sa logique propre.

Version originale : le chiffrement pur

Le modèle de base ne fait que verrouiller les fichiers. Payez, récupérez la clé. Ne payez pas, perdez vos données. Cette approche frontale fonctionnait bien tant que les victimes n’avaient pas de sauvegardes fiables. Aujourd’hui, elle ne suffit plus.

Double extorsion : la menace de publication

Vers 2019, le groupe Maze introduit une innovation redoutable. Avant de chiffrer, les attaquants copient les données sensibles sur leurs propres serveurs. Si la victime refuse de payer ? Tout sera publié en ligne.

Cette évolution change radicalement l’équation. Une entreprise peut restaurer ses fichiers depuis une sauvegarde, mais elle ne peut pas « dé-publier » des contrats confidentiels, des données clients, des secrets industriels. Le levier de pression devient permanent.

Triple extorsion : harcèlement tous azimuts

Certains groupes poussent le vice plus loin. En plus du chiffrement et de la menace de publication, ils contactent directement les clients ou partenaires dont les données ont été volées. « Votre banque vient de se faire pirater. Vos informations sont entre nos mains. Faites pression pour qu’ils paient. »

Des attaques DDoS peuvent aussi être lancées en parallèle pour saturer les serveurs de la victime et amplifier le chaos.

Ransomware-as-a-Service : la franchise criminelle

Le modèle RaaS a industrialisé le secteur. Des développeurs créent et maintiennent la plateforme technique — malware, infrastructure, outils de négociation — puis la louent à des « affiliés » qui mènent les attaques sur le terrain.

Le partage des gains suit généralement un ratio 80/20 : l’affilié empoche 80 % de la rançon, les opérateurs gardent 20 %. LockBit, BlackBasta, ALPHV/BlackCat fonctionnent sur ce modèle.

Résultat : n’importe quel escroc sans compétence technique peut louer un kit clé en main et se lancer dans le business. La barrière à l’entrée s’effondre, le nombre d’attaques explose.

L’industrialisation du ransomware

Oubliez l’image du hacker solitaire dans sa cave. Les groupes de ransomware contemporains ressemblent davantage à des PME qu’à des bandes de pirates.

Des organigrammes dignes d’une startup

Les fuites internes de Conti (2022) puis de LockBit (2025) ont levé le voile sur des organisations structurées. On y trouve des développeurs chargés d’améliorer le malware, des opérateurs qui gèrent l’infrastructure technique, des affiliés qui mènent les intrusions, des négociateurs qui discutent avec les victimes, des spécialistes du blanchiment qui convertissent les cryptos en espèces.

Conti disposait même d’un processus de recrutement formalisé, avec entretiens et périodes d’essai. Certains employés touchaient des salaires fixes, d’autres des commissions sur les rançons collectées.

Le chantage comme métier

Les échanges avec les victimes suivent des scripts rodés. Ton ferme mais « professionnel », réponses rapides, preuves de bonne foi (déchiffrement gratuit de quelques fichiers test), possibilité de négocier le montant.

Cette approche quasi-commerciale vise un objectif précis : construire une « réputation ». Un groupe perçu comme fiable — qui livre vraiment les clés après paiement — obtient davantage de rançons qu’un groupe aux pratiques erratiques. Le crime organisé a ses propres logiques de marque.

Pourquoi les ransomwares prospèrent

L’explosion des attaques depuis dix ans n’a rien de mystérieux. Plusieurs facteurs convergent pour créer un environnement idéal pour les extorqueurs numériques.

Un jackpot à portée de clavier

Colonial Pipeline : 4,4 millions de dollars. JBS Foods : 11 millions. CNA Financial : 40 millions selon certaines sources. Pour un investissement initial de quelques milliers de dollars (achat d’accès RaaS, location d’infrastructure), le retour peut atteindre plusieurs centaines de fois la mise.

Quel business légal offre de tels ratios ? La rentabilité astronomique attire mécaniquement de nouveaux acteurs, alimentant une spirale infernale.

L’impunité géographique

La plupart des groupes opèrent depuis la Russie ou des pays satellites. Les extraditions sont inexistantes, les poursuites locales exceptionnelles. Tant que les attaquants évitent les cibles russes — une règle tacite scrupuleusement respectée — ils jouissent d’une tranquillité quasi totale.

Les opérations internationales type Cronos (contre LockBit, février 2024) font du bruit médiatique mais ne changent pas fondamentalement la donne. Les groupes se reforment, changent de nom, repartent.

Bitcoin, nerf de la guerre

Comment encaisser des millions sans laisser de trace bancaire ? Les cryptomonnaies ont résolu ce casse-tête. Paiement pseudonyme, transferts internationaux instantanés, conversion en cash via des échanges complaisants ou des mixeurs — le circuit du blanchiment est bien huilé.

La dépendance numérique comme levier

Plus une organisation dépend de ses systèmes informatiques, plus elle est vulnérable au chantage. Un hôpital sans dossiers patients ne peut plus soigner. Une usine sans automates ne produit plus. Une mairie sans logiciels ne délivre plus de documents.

Cette dépendance, construite sur deux décennies de numérisation accélérée, offre aux attaquants un levier de pression considérable. Ils ne volent pas : ils paralysent. Et la paralysie coûte cher, très cher.

Grandes attaques et dates clés

Certaines attaques ont marqué des ruptures, révélant à chaque fois une nouvelle dimension de la menace.

WannaCry — Mai 2017 : le réveil brutal

Vendredi 12 mai 2017. Un ransomware inconnu se propage à une vitesse jamais vue : 200 000 machines infectées dans 150 pays en quelques heures. Le NHS britannique est touché de plein fouet. Des hôpitaux renvoient des patients, des ambulances sont déroutées, 19 000 rendez-vous sont annulés.

WannaCry exploite EternalBlue, une faille Windows développée par la NSA et fuité un mois plus tôt. Microsoft avait publié un correctif en mars. Mais combien d’organisations l’avaient appliqué ? Trop peu.

Un chercheur britannique, Marcus Hutchins, stoppe accidentellement la propagation en enregistrant un nom de domaine caché dans le code — un « kill switch » oublié par les développeurs. Sans cette découverte fortuite, les dégâts auraient été bien pires.

Coût estimé : 4 à 8 milliards de dollars. Attribution officielle : Corée du Nord.

NotPetya — Juin 2017 : la cyberguerre masquée

Un mois plus tard, nouveau séisme. NotPetya frappe l’Ukraine via la mise à jour compromise d’un logiciel comptable local, puis se répand mondialement.

Le twist ? NotPetya n’est pas vraiment un ransomware. C’est un wiper déguisé — les données sont détruites, pas chiffrées. Aucune clé n’existe. Le message de rançon est un leurre.

Maersk, géant du transport maritime, voit son infrastructure informatique mondiale anéantie en heures. 4 000 serveurs, 45 000 PC, dix jours de reconstruction. Merck perd 870 millions de dollars. FedEx, 400 millions via sa filiale TNT.

Bilan global selon la Maison-Blanche : plus de 10 milliards de dollars. Attribution : Sandworm, unité du renseignement militaire russe.

Colonial Pipeline — Mai 2021 : l’essence en otage

Le groupe DarkSide s’attaque à l’oléoduc qui transporte 45 % du carburant de la côte Est américaine. Colonial Pipeline ferme préventivement ses systèmes. Résultat : files d’attente aux stations-service, flambée des prix, déclaration d’urgence présidentielle.

L’intrusion initiale ? Un mot de passe VPN compromis, récupéré dans une fuite de données antérieure. Pas d’authentification multifacteur.

Colonial paie 4,4 millions en Bitcoin. Le FBI en récupérera 2,3 millions quelques semaines plus tard. L’attaque déclenche une mobilisation politique sans précédent et de nouvelles réglementations pour les infrastructures critiques.

France 2024 : la pression constante

L’ANSSI recense 144 attaques par ransomware en 2024 — niveau stable par rapport à 2023, mais toujours élevé. Les PME concentrent 37 % des victimes, les collectivités 17 %, l’enseignement supérieur 12 %.

Le secteur de la santé reste sous tension : 30 hôpitaux touchés entre 2022 et 2023 selon l’agence. Corbeil-Essonnes, Versailles, Brest — la liste s’allonge régulièrement.

Les cibles favorites

Pourquoi certains secteurs attirent-ils davantage les attaquants ?

Hôpitaux : l’urgence comme faiblesse

Systèmes vieillissants, budgets IT serrés, impossibilité d’arrêter l’activité — les établissements de santé cumulent les handicaps. Un hôpital ne peut pas « patienter » le temps de restaurer ses serveurs. Les soins continuent, avec ou sans informatique. Cette pression temporelle pousse parfois à payer vite pour limiter les dégâts sur les patients.

Le Centre hospitalier Sud-Francilien de Corbeil-Essonnes (août 2022) a mis des semaines à se remettre d’une attaque ayant perturbé jusqu’aux services de néonatalogie.

Collectivités : des moyens limités

Mairies, départements, régions gèrent des masses de données personnelles avec des équipes IT souvent réduites. Multiplicité des systèmes, dépendance aux prestataires, manque de formation : le terrain est propice.

PME : le ventre mou

Les petites structures n’ont généralement ni RSSI dédié, ni sauvegardes testées, ni plan de reprise. Une attaque réussie peut signifier la faillite pure et simple. Les attaquants le savent et calibrent leurs demandes en conséquence — assez pour être rentables, pas assez pour décourager le paiement.

Infrastructures critiques : l’effet domino

Énergie, transports, télécoms, eau : toucher ces secteurs provoque des répercussions en cascade sur toute l’économie. L’attaque Colonial Pipeline a démontré qu’un ransomware pouvait déclencher une crise d’approvisionnement à l’échelle d’un continent.

Payer ou ne pas payer ?

La question hante chaque victime. Il n’existe pas de bonne réponse, seulement des arbitrages douloureux.

L’argument contre

Payer finance directement l’écosystème criminel. Chaque rançon versée valide le modèle, motive de nouvelles attaques, finance le recrutement et l’amélioration des outils. L’ANSSI et la plupart des autorités recommandent fermement de ne pas céder.

De plus, rien ne garantit la récupération des données. Selon diverses études, 20 à 30 % des payeurs n’obtiennent jamais de clé fonctionnelle. Et même avec la clé, des fichiers restent souvent corrompus.

L’argument pour (du point de vue de la victime)

Quand l’entreprise est paralysée, que les salaires ne peuvent plus être versés, que les clients partent, que la survie même de la structure est en jeu — le calcul devient moins moral et plus arithmétique. Quelques centaines de milliers d’euros contre des millions de pertes potentielles ?

Cette réalité explique pourquoi beaucoup paient, malgré les recommandations officielles.

Le risque juridique

Verser des fonds à des entités sous sanctions internationales peut exposer l’organisation à des poursuites. Plusieurs groupes de ransomware sont liés à des États sanctionnés. Le risque reste théorique pour l’instant, mais il existe.

Se protéger : ce qui fonctionne vraiment

Aucune solution miracle n’existe. Mais un socle de mesures réduit drastiquement le risque et surtout limite l’impact en cas d’attaque.

Des sauvegardes, vraiment isolées

La règle d’or : sauvegardes régulières, testées, et surtout déconnectées du réseau principal. Une sauvegarde accessible depuis un poste compromis sera chiffrée avec le reste. Les solutions immuables, qui empêchent toute modification pendant une durée définie, offrent une protection supplémentaire.

Cloisonner le réseau

Un réseau « plat » où tout communique avec tout permet au ransomware de se propager instantanément. Segmenter les zones, contrôler les flux, isoler les systèmes critiques limite la casse.

Authentification multifacteur partout

L’absence de MFA sur les accès distants reste l’une des failles les plus exploitées. Colonial Pipeline en est l’exemple le plus coûteux. Déployer le MFA sur tous les accès critiques devrait être un prérequis absolu, pas une option.

Former les humains

Le phishing reste le vecteur numéro un. Des collaborateurs entraînés à repérer les mails suspects, à signaler les anomalies, à ne pas cliquer n’importe où réduisent significativement la surface d’attaque.

Accepter qu’aucun outil ne suffit

Les solutions EDR détectent beaucoup de menaces, mais pas toutes. Les antivirus classiques sont souvent dépassés par les ransomwares modernes. La sécurité est un processus continu, pas un produit qu’on achète et qu’on oublie.

Ce que les ransomwares révèlent

Au-delà de la menace criminelle, les ransomwares agissent comme un révélateur de fragilités plus profondes.

Nos organisations se sont numérisées à marche forcée, souvent sans réfléchir à la résilience. Les données sont devenues le carburant de l’activité quotidienne, mais les mécanismes de protection et de récupération n’ont pas suivi. Le ransomware ne crée pas cette vulnérabilité — il l’expose brutalement.

La cybersécurité reste trop souvent perçue comme une dépense, pas comme un investissement. Budgets insuffisants, équipes sous-dimensionnées, directions peu sensibilisées : le retard culturel est massif. Les correctifs s’accumulent en attente, les accès administrateurs prolifèrent, les mots de passe se réutilisent. Chaque négligence est une porte ouverte.

Enfin, l’asymétrie entre attaquants et défenseurs joue structurellement en faveur des premiers. Ils n’ont besoin de réussir qu’une fois. Les défenseurs doivent tenir en permanence, sur tous les fronts, contre des menaces en mutation constante.

Conclusion : une menace qui s’installe dans la durée

Le ransomware n’est pas un phénomène passager. Il prospère sur des conditions structurelles — dépendance numérique, refuges géographiques, cryptomonnaies, rentabilité exceptionnelle — qui ne disparaîtront pas de sitôt.

Les groupes actuels seront démantelés, renaîtront sous d’autres noms. Les techniques évolueront. L’intelligence artificielle s’invitera des deux côtés du terrain. Mais le principe fondamental — exploiter notre dépendance aux données pour extorquer de l’argent — restera.

Face à cette réalité, les organisations n’ont pas le choix : se préparer à l’inévitable plutôt qu’espérer y échapper. Sauvegardes solides, plans de continuité testés, équipes formées, capacité à fonctionner en mode dégradé. La question n’est plus « serons-nous attaqués ? » mais « serons-nous capables de nous relever ? »