Dans mes tentatives désespérées de forcer les moins au courant à se méfier de ce qui les attend sur la toile, j’ai récemment pris le temps de parler des ransomwares, Le truc tendance du moment dans le milieu fashion des méchants du numérique. Depuis, un nouveau venu se la joue « disruptif » (mot compte triple au scrabble 3.0), Spora, un malware qui n’a rien à envier à la plupart des sites d’e-commerce et qui calque son image sur celle des gentils mafieux.
Rapide rappel, un ransomware, ou rançongiciel, est un logiciel malveillant qui chiffre vos données, les rendant illisibles, ce qui ne vous laisse que les options suivantes :
- Payer la rançon pour obtenir (ou pas) la clef qui vous rendra l’accès à vos données.
- Ne pas payer et tout perdre.
- Avoir eu la présence d’esprit de conserver des sauvegardes de vos données.
- Espérer très fort qu’il existe un déchiffreur (par exemple chez Nomoreransom)
Si les ransomwares les plus actifs sont toujours Locky ou Cerber, Spora gagne du terrain à toute vitesse. Et il a de quoi faire peur… et provoquer des situations assez ubuesques. Accessoirement, si vous avez besoin d’être convaincu de vous méfier des sites qui vous demandent de télécharger un bidule quelconque, quelques recherches, notamment sur Twitter, vous serviront de leçon. Ici, deux exemples pris au pif mais si on creuse on trouve un paquet de personnes, dont des chefs d’entreprises (vous savez, des gens supposés sérieux et responsables).
Télécharger une police de caractère pour afficher un site web ? Nope. Nope nope nope nope.
On dit encore trop souvent qu’il faut être neuneu pour se faire infecter par un virus ou un malware parce qu’on a cliqué sur n’importe quoi ou ouvert une pièce jointe dans un mail douteux. Ce n’est pas faux. Plutôt que « neuneu » prôné par quelques pédants numériques, je préfère « imprudents par ignorance », enfin bref. Le fait est que les modes de diffusion ont évolués. Les parangons de la sécurité, à force de répéter – à raison – qu’il faut s’assurer que l’accès à un site est « certifié » par une connexion sécurisée ont eux-mêmes provoqué bien malgré eux un détournement de l’attention des utilisateurs qui ne se soucient plus que de vérifier la présence du petit cadenas magique, sans chercher plus loin. Malheureusement… SSL n’est pas infaillible.
Mais revenons à Spora. Ce ransomware s’est fait remarquer pour deux raisons. La première, c’est son fonctionnement qui présente un véritable défi à ceux qui cherchent un moyen de sauver une machine infectée. Contrairement aux autres rançongiciels, chaque cas est unique et le programme empile les chiffrements pour cacher la clef du « coffre » dans lequel vos données sont enfermées. Donc sachez-le, si vous avez le malheur de vous faire attraper, ne cherchez même pas à trouver une solution autre que payer ou dire adieu à vos données (ou compter sur une sauvegarde que vous n’avez certainement pas, comme tout le monde). J’hésiterais même à consulter les sites qui prétendent détenir un remède sur Google.
La seconde raison, et c’est ce qui me fascine, c’est la façon dont les créateurs de Spora sont parvenus à mettre en place un service client comprenant des offres commerciales, un support 24h/24 animé par des opérateurs disponibles serviables et des stratégies marketings hallucinantes afin de se forger une bonne image. A tel point que certaines victimes de ce qui reste une extorsion qui peut s’élever à plusieurs centaine voire un millier d’euros en viennent à féliciter leurs bourreaux pour leur diligence et leur sérieux.
Spora, c’est un peu Le Parrain version numérique, des gangsters qui trouvent le moyen de se donner des airs sympathiques parce que parfois, ils se montrent cléments.
Mais fureter dans les messages du « SAV » de Spora, c’est aussi prendre conscience de la détresse de certaines victimes, d’un stagiaire qui a compromis la machine de son patron à un enseignant qui a perdu les copies de ses étudiants en passant par un pauvre quidam qui ne gagne pas en un mois l’équivalent de la rançon exigée. Les meilleurs escrocs sont ceux qui semblent les plus sympathiques.
(vous trouverez ici de nombreuses pages d’extraits du support de Spora)
Un véritable site d’e-commerce
Dans quantité d’articles au sujet des ransomwares, y compris ma petite contribution, vous lirez que la pratique est un véritable business pouvant rapporter des sommes plus que considérables. Pourtant, la plupart des sites associés aux rançongiciels, ceux où l’on trouve les instructions et les guides pour s’acquitter du paiement et obtenir la clef, sont abominables. Spora c’est doté d’un site que ne renieraient pas certains fournisseurs de services légaux. Il est propre, clair, lors de l’infection on obtient un code afin d’accéder à son espace client depuis lequel on peut gérer ses commandes et opter pour différents forfaits. Par exemple, vous pouvez payer pour obtenir la clef qui vous redonnera accès à vos fichiers et ajouter à votre panier l’immunité contre de futures infections. Ce n’est pas totalement inédit dans le monde du ransomware, mais c’est la qualité du site qui fait toute la différence.
La stratégie publicitaire
Négocier le montant du paiement dans le cas d’une attaque par ransomware n’est pas rare. Là encore, Spora se distingue en empruntant une fois de plus au merveilleux monde des affaires, enfin des affaires pas très nettes. Postez sur un forum une critique positive de Spora (en vantant leur support, le fait qu’ils s’engagent à réellement vous assister dans la récupération de vos données et donc qu’ils sont « honnêtes ») et vous obtiendrez une remise sur la rançon. Une stupéfiante démarche publicitaire pour se donner une image respectable. Une façon comme une autre de répondre aux nombreux avertissements d’experts qui déconseillent de payer les rançons au regard des nombreux cas où les victimes n’ont jamais reçus de clefs de déchiffrement (ou des clefs ne fonctionnant pas, voire une seconde demande de paiement).
Le support H24
Et voilà sans doute le point le plus fascinant de Spora, son support via chat. On y lit toutes sortes de choses improbables. Certaines sont hilarantes, d’autres stupides, beaucoup sont attristantes. Perdre des photos souvenirs c’est triste, perdre des documents de travail, c’est potentiellement catastrophique. Quoiqu’il en soit, là encore, c’est le ton adopté par les admins de Spora qui déroute, ils sont souvent polis, courtois, disponibles, réactifs et assistent les victimes / utilisateurs de bout en bout, acceptent au cas par cas de réduire le montant de la rançon ou de prolonger le délais de paiement, ils reversent même à l’occasion le trop perçu d’un versement en bitcoins… des mecs sympas finalement.
Et c’est là que quelque chose bifurque dans un cerveau normalement constitué. Ce moment où la victime d’une bande de racketteurs en arrive elle-même à se voir comme un utilisateur d’un service de dépannage. Ce n’est pas la majorité, quelques cas illustrés par des captures d’écrans (on n’accède pas au site sans un compte) mais c’est la logique que développe Spora, celle du gentil truand, du gangster raisonnable, du mafieux local qui au lieu de palper son pourcentage chaque mois pour vous protéger de ses propres gros bras, vend une immunité logicielle à ses victimes. Quand on vous dit que le ransomware c’est le business du moment.
Update pour cause d’oubli > à ce rythme, dans 6 mois 60 Millions de Consommateurs sortira un dossier sur les meilleurs ransomwares…
dinowan.wordpress.com 
Wow. Juste Wow.
J’aimeJ’aime
Tu veux pas écrire un livre monsieur Dino? Vraiment je serais content de lire cette affaire. Aller, je suis sûr que ça t’es déjà passé par la tête.Je vais dire articles avec un « s » parce que j’en ai lu plusieurs et que je vais pas faire le même commentaire à chaque fois, très intéressants. Fais en d’autres de s’il vous plaît la jujube en quinconce!
Et merci hein!
J’aimeJ’aime