Vous avez sans-doute reçu par email une facture en fichier ZIP. Sans trop vous méfie, vous ouvrez le document et c’est l’attaque par Locky.
Locky n’est pas votre nouvel ami, ni lui, ni aucun ransomware !
Actuellement, la campagne de phishing la plus active concerne des messages pour de fausses factures de l’opérateur Free Mobile.
Une fois l’ordinateur infecté, un écran s’affiche, informant l’utilisateur du forfait à payer et la marche à suivre pour payer sa rançon, généralement en bitcoin, et ainsi récupérer ses données.
Vous avez peut-être reçu une facture en pièce jointe, format ZIP, dans votre email. Vous cliquez dessus et voilà, Locky vous attaque.
Locky n’est pas un ami, et encore moins les ransomwares !
Actuellement, une campagne de phishing active vise les clients de Free Mobile avec de fausses factures.
Si Locky infecte votre ordinateur, il affiche une demande de rançon, souvent en bitcoin, pour libérer vos données
Attaque de votre réseau d’entreprise
Un ransomware comme Locky ne se limite pas à une seule machine. Il verrouille tous les fichiers auxquels le serveur accède, y compris sur les serveurs de fichiers, les disques amovibles et d’autres machines, qu’ils soient sous Windows, Linux ou OS X. L’attaque est plus dangereuse si le poste infecté a des droits d’administrateur. Ce virus peut venir d’une clé USB ou d’un site web non sécurisé.
Et quid du Cloud ?
Netskope, expert en sécurité Cloud, a observé que les ransomwares se propagent via les fonctions de synchronisation de fichiers Cloud. Kaspersky Lab a repéré plus de 60 variantes de Locky, ciblant particulièrement les utilisateurs en Allemagne et en France.
Précautions à prendre
Conseillez à vos collègues de ne jamais ouvrir de fichiers ZIP, même s’ils proviennent de sources fiables. Encouragez-les à utiliser des plateformes de partage sécurisées comme Pydio ou Oodrive au lieu de télécharger des fichiers ZIP par email.
Le CERT-FR conseille, en cas d’infection, de déconnecter rapidement les machines compromises et de protéger les dossiers partagés.
Comment Kabia gère-t-elle cette menace ?
Les antivirus classiques ne détectent pas ces virus, car ils sont polymorphes. Grâce à notre partenariat avec Stormshield, nous utilisons leur solution SES (Stormshield Endpoint Security) qui bloque activement ce malware. Nous recommandons aussi leurs firewalls, Stormshield Network Security, pour bloquer l’accès aux sites malintentionnés.
Attaque du réseau de votre entreprise
Un ransomware ne se contente pas d’attaquer la machine de l’utilisateur. Il bloque tous les fichiers des disques auquel le serveur a accès, disques amovibles et serveurs de fichiers du réseau ou les machines de tiers quelque soit son système d’exploitation (Windows, Linux ou OS X).
La plus grande vulnérabilité est lorsque le poste attaqué est connecté en tant qu’administrateur.
Ce type de virus peut être transmis via une clé USB ou un site web douteux.
Et le Cloud dans tout ça ?
Netskope, éditeur spécialisé dans la sécurisation des applications Cloud, a récemment expliqué avoir détecté des phénomènes de diffusion de ransomware via le Cloud, au travers de la fonction de synchronisation de fichiers que ces services offrent à leurs utilisateurs.
Kaspersky Lab a identifié plus de 60 variantes du ransomware Locky avec les utilisateurs allemands et français qui sont les plus exposés.
Quelles précautions prendre ?
- Informer vos collaborateurs de ne pas ouvrir de fichiers en .zip y compris de fournisseurs connus.
- Inciter vos collaborateurs à partager leurs dossiers sur des solutions de stockage et de partage de données uniquement accessibles par vos collaborateurs, type Pydio ou Oodrive pour éviter le téléchargement par mail de fichiers Zip.
Dans sa note, le CERT-FR recommande d’ailleurs, en cas d’infection, de « déconnecter immédiatement du réseau les machines identifiées comme compromises » et de « positionner les permissions des dossiers partagés en lecture seule afin d’empêcher la destruction des fichiers sur les partages ». Source : http://www.cert.ssi.gouv.fr/
Comment cette menace est gérée par Kabia ?
Les antivirus ne peuvent pas détecter ce type de virus car ils n’ont pas de signatures spécifiques et sont polymorphes.
En sélectionnant comme partenaire Stormshield, nous bénéficions de l’avancée des recherches réalisées par les équipes R&D qui confirment que leur solution SES (Stormshield Endpoint Security) installée sur les PC et serveurs bloque ce malware sans mise à jour ni aucune configuration spécifique.
En complément de la protection Stormshield SES nous proposons également la gamme de firewalls Stomshield Network Security qui permet notamment de filtrer les accès vers les sites malveillants.

Corinne Meynier est une personne passionnée par l’entrepreneuriat et la technologie. Elle a co-fondé Kabia en 2005, une entreprise proposant des services à haute valeur ajoutée axés sur les réseaux, la sécurité, l’hébergement internet à très haute disponibilité, le Cloud computing régional PACA et des solutions de mise en réseau et sécurité pour systèmes d’informations.
Elle prête sa voix au podcast Sweet-Cloud
https://podcasters.spotify.com/pod/show/sweet-cloud
En plus de son rôle de co-fondatrice chez Kabia, Corinne Meynier est également engagée dans différentes organisations. Elle est membre du conseil d’administration d’EuroCloud depuis novembre 2022, une organisation qui promeut l’adoption du Cloud computing en Europe et elle est également présidente de Cloud-PACA, une association qui a pour objectif de faire connaître tous les talents de l’IT sur la région sud de la France.
Corinne Meynier partage ses connaissances et son expérience à travers son podcast, Sweet-cloud, qui a pour but de donner des clés simples pour comprendre le monde numérique que nous utilisons chaque jour. Elle est une entrepreneuse passionnée qui croit en l’importance de l’humain au centre de la technologie.