Should I pay the ransomware ransom?

Law enforcement agencies universally advise against paying. Only 65% of victims who pay actually get their data back, and paying encourages more attacks. Focus on prevention and backups instead.

Can ransomware spread through email?

Yes, email is the most common delivery method. Ransomware is typically hidden in attachments (Word docs with macros, PDFs, ZIP files) or delivered via links to malicious websites.

Can antivirus software stop ransomware?

Modern antivirus can detect known ransomware variants, but new strains are created daily. Anti-ransomware features that detect suspicious file encryption behavior provide better protection than signature-based detection alone.

← Retour au blog

Qu'est-ce qu'un ransomware et comment ça marche ?

Cybersécurité17 mars 2026·8 min de lecture

Imaginez allumer votre ordinateur et voir un message : "Tous vos fichiers ont été cryptés. Payez 5 000 $ en Bitcoin dans les 72 heures ou vos données seront définitivement supprimées." Il s'agit d'un ransomware – et c'est l'une des cybermenaces les plus dévastatrices de notre époque.

En 2025, les attaques de ransomwares ont causé plus de 30 milliards de dollars de dommages dans le monde. Les hôpitaux ont été contraints de refuser des patients. Les écoles ont perdu des années de records. Les petits commerces ont fermé définitivement. Personne n'est à l'abri.

Comment fonctionne le ransomware : étape par étape

Étape 1 : Infection

Ransomware pénètre dans votre système via l'un de ces vecteurs :

E-mails de phishing — un e-mail convaincant contenant une pièce jointe ou un lien malveillant (le plus courant, ~ 70 % des cas)
Vulnérabilités exploitées — logiciel non corrigé avec des failles de sécurité connues
Remote Desktop Protocol (RDP) — forcer brutalement les mots de passe faibles sur les serveurs RDP exposés
Sites Web compromis — téléchargements drive-by à partir de sites légitimes infectés
Clés USB – périphériques USB infectés laissés dans des lieux publics

Étape 2 : Exécution et persistance

Une fois à l'intérieur, le ransomware :

Désactive les outils antivirus et de sécurité
Établit la persistance (survit aux redémarrages)
Se propage à d'autres appareils du réseau
Identifie et supprime les copies de sauvegarde (Shadow Copies sous Windows)
Communique avec le serveur de commandes de l'attaquant pour recevoir les clés de chiffrement

Étape 3 : cryptage

Le ransomware crypte vos fichiers à l'aide d'un cryptage de niveau militaire (généralement AES-256). Il cible les documents, les photos, les bases de données et les sauvegardes. La clé de chiffrement est stockée uniquement sur le serveur de l'attaquant.

Le ransomware moderne crypte les fichiers de manière sélective — il ignore les fichiers système afin que votre ordinateur démarre toujours et que vous puissiez voir la demande de rançon.

Étape 4 : demande de rançon

Une note apparaît exigeant un paiement en cryptomonnaie (généralement Bitcoin ou Monero). Les demandes vont de 500 $ pour les particuliers à des millions pour les organisations. Un compte à rebours crée une urgence.

Extorsion double et triple

Les gangs de ransomwares modernes ne se contentent pas de chiffrer, ils volent également vos données en premier. Si vous refusez de payer pour le décryptage, ils menacent de publier vos fichiers sensibles en ligne. Il s'agit d'une "double extorsion".

« Triple extorsion » ajoute une attaque DDoS contre votre organisation pendant que vous essayez de récupérer et que vous contactez vos clients ou partenaires pour vous forcer à payer.

5 Les plus grandes attaques de ransomware de l'histoire

__JETON_8__

WannaCry (2017) — a infecté plus de 200 000 ordinateurs dans 150 pays en quelques heures, paralysant le système de santé du NHS du Royaume-Uni

NotPetya (2017) — a causé 10 milliards de dollars de dégâts, ciblant principalement l'Ukraine mais se propageant à l'échelle mondiale

Colonial Pipeline (2021) — a fermé le plus grand pipeline de carburant des États-Unis, provoquant des pénuries de gaz sur la côte Est

Kaseya (2021) — attaque de la chaîne d'approvisionnement affectant plus de 1 500 entreprises via un seul fournisseur de logiciels

MOVEit (2023) — a exploité un outil de transfert de fichiers utilisé par les gouvernements et les entreprises, affectant plus de 60 millions de personnes

__JETON_29__

Comment vous protéger

Pour les particuliers

Sauvegardez régulièrement : Suivez la règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site. Gardez au moins une sauvegarde déconnectée.
Tout mettre à jour : Activer les mises à jour automatiques pour votre système d'exploitation, votre navigateur et toutes les applications.
Utilisez des mots de passe forts : Générez des mots de passe uniques avec un générateur de mots de passe pour chaque compte.
Activer 2FA : Même si votre mot de passe est compromis, l'authentification à deux facteurs empêche tout accès non autorisé.
Soyez prudent avec les e-mails : N'ouvrez jamais de pièces jointes inattendues. Vérifiez les expéditeurs via un autre canal.

Pour les organisations

Segment your network: Limit lateral movement so ransomware can't spread to all systems.
Désactiver RDP : Si un accès à distance est nécessaire, utilisez un VPN avec MFA.
Former les employés : Simulations de phishing régulières et formations de sensibilisation à la sécurité.
Mettre en œuvre EDR : Les outils de détection et de réponse des points de terminaison peuvent détecter le comportement des ransomwares avant la fin du chiffrement.
Testez vos sauvegardes : Vérifiez régulièrement que les sauvegardes peuvent réellement être restaurées.

Que faire si vous êtes infecté

Déconnectez-vous immédiatement — débranchez l'appareil infecté du réseau pour empêcher la propagation
Ne payez pas — seules 65 % des victimes qui paient récupèrent leurs données
Signalez-le — contactez les forces de l'ordre (FBI IC3 aux États-Unis, Action Fraud au Royaume-Uni)
Check No More Ransom — le projet sur nomoreransom.org propose des outils de décryptage gratuits pour de nombreuses variantes de ransomware
Restauration à partir de sauvegardes — effacez le système infecté et restaurez des sauvegardes propres

FAQ

Dois-je payer la rançon du ransomware ?

Les forces de l'ordre déconseillent universellement de payer. Seules 65 % des victimes qui paient récupèrent réellement leurs données, et payer encourage davantage d’attaques. Concentrez-vous plutôt sur la prévention et les sauvegardes.

Les ransomwares peuvent-ils se propager par courrier électronique ?

Oui, le courrier électronique est le mode de livraison le plus courant. Les ransomwares sont généralement cachés dans des pièces jointes (documents Word avec macros, PDF, fichiers ZIP) ou diffusés via des liens vers des sites Web malveillants.

Un logiciel antivirus peut-il arrêter les ransomwares ?

Les antivirus modernes peuvent détecter les variantes connues des ransomwares, mais de nouvelles souches sont créées quotidiennement. Les fonctionnalités anti-ransomware qui détectent les comportements suspects de chiffrement de fichiers offrent une meilleure protection que la détection basée uniquement sur les signatures.

Un ransomware peut-il infecter mon téléphone ?

Oui, les ransomwares mobiles existent, même s'ils sont moins courants. Il verrouille généralement votre écran plutôt que de chiffrer les fichiers. Restez fidèle aux magasins d'applications officiels et gardez votre téléphone à jour.

Outils associés

Password Generator — empêche les points d'entrée par force brute
Anatomie d'une attaque de phishing — reconnaissez la méthode de diffusion de ransomware n°1