Restaurer ses fichiers cloud après une attaque : la procédure pas à pas
La prévention a échoué. Le ransomware a chiffré vos fichiers locaux, la synchronisation les a poussés dans le cloud, et vous êtes assis devant un écran rempli de fichiers .locked en vous demandant si vous allez devoir payer la rançon (spoiler : non). Avant de paniquer, sachez que la restauration est possible dans la grande majorité des cas – à condition de faire les bonnes choses dans le bon ordre et surtout de ne pas aggraver la situation. La section sécurité et chiffrement cloud couvre le cadre complet de protection ; cet article est le plan d’urgence. Traitez-le comme un plan de réponse aux incidents : lisez-le avant d’en avoir besoin.
La réponse immédiate en trois mots : déconnectez la synchronisation. Tout de suite. Avant de lire la suite de cet article. Si un client de sync (kDrive, Google Drive, Dropbox, OneDrive) tourne encore sur la machine infectée, il continue de pousser des fichiers chiffrés vers le cloud. Chaque seconde qui passe est un fichier sain de plus écrasé par sa version chiffrée.
Étape 1 : couper la propagation
Déconnectez le client de synchronisation. Sur kDrive : clic droit sur l’icône dans la barre des tâches, « Mettre en pause la synchronisation ». Sur Google Drive : idem. Sur Dropbox : idem. Mieux encore : déconnectez physiquement la machine du réseau (débranchez le câble Ethernet, coupez le Wi-Fi). Un ransomware peut aussi tenter de se propager latéralement vers d’autres machines du réseau qui, elles, ont aussi des clients de sync actifs.
Ne tentez pas de « nettoyer » la machine infectée en premier. Le nettoyage prend du temps, et pendant ce temps la sync peut continuer en arrière-plan. Priorité absolue : stopper la propagation vers le cloud.
Si plusieurs collaborateurs partagent le même espace cloud, prévenez-les immédiatement de suspendre leur propre synchronisation. Un fichier chiffré poussé par votre machine sera synchronisé sur la leur, et leur client de sync pourrait interpréter ça comme une modification légitime.
Étape 2 : identifier l’étendue des dégâts
Connectez-vous à l’interface web de votre cloud (pas via le client de sync, via le navigateur) depuis une machine saine. Examinez les fichiers récemment modifiés. Les fichiers touchés par le ransomware sont reconnaissables : extension changée (.encrypted, .locked, .cryptolocker, ou une extension aléatoire), taille de fichier modifiée, date de modification concentrée sur une fenêtre de temps très courte.
Identifiez le « point d’infection » : le moment exact à partir duquel les fichiers ont commencé à être chiffrés. C’est crucial pour l’étape suivante – la restauration devra remonter à un point juste avant cette date.
Comment la protection ransomware du cloud entre en jeu
C’est ici que le versioning et les mécanismes anti-ransomware font la différence. Chaque fichier chiffré par le ransomware a une version antérieure (la version saine) conservée par le système de versioning. La restauration consiste à revenir à cette version pour chaque fichier touché.
Sur kDrive : naviguez dans l’interface web, sélectionnez un fichier touché, cliquez sur « Historique des versions », et restaurez la version antérieure à l’attaque. Pour une restauration en masse, kDrive permet de restaurer la corbeille et les versions précédentes par lot – contactez le support Infomaniak si le volume de fichiers dépasse ce que l’interface permet de gérer manuellement.
Sur OneDrive : Microsoft propose une fonctionnalité spécifique « Restaurer votre OneDrive » qui permet de remonter l’intégralité du cloud à un point dans le temps (time-based restore). C’est la méthode la plus rapide pour une restauration post-ransomware. Allez dans Paramètres > Restaurer votre OneDrive > choisissez la date avant l’attaque.
Sur Google Drive : pas de restauration à un point dans le temps en masse. Il faut restaurer fichier par fichier via l’historique des versions, ou utiliser Google Vault (add-on payant pour Workspace) pour des restaurations plus larges. C’est laborieux pour des milliers de fichiers.
Sur Dropbox : Dropbox Rewind (disponible sur les plans Plus et supérieurs) permet de remonter un dossier entier ou le compte entier à un point dans le temps. C’est équivalent à la fonctionnalité OneDrive et très efficace pour les incidents ransomware.
Étape 3 : nettoyer la machine infectée. Utilisez un outil de suppression de malware à jour (Malwarebytes, Windows Defender en mode hors ligne, ou un live USB d’un antivirus). Ne réactivez la synchronisation qu’une fois certain que le ransomware a été éliminé. Un nettoyage incomplet qui laisse le ransomware actif relancera le cycle de chiffrement dès que la sync reprendra.
Étape 4 : réactiver la synchronisation progressivement. Reconnectez le client de sync sur la machine nettoyée. Surveillez l’activité pendant les premières heures. Si des fichiers commencent à nouveau à être modifiés de manière suspecte, redéconnectez immédiatement et investiguez.
Le zero-knowledge complique la restauration
Avec un cloud zero-knowledge, la restauration suit le même principe (revenir à une version antérieure) mais avec une subtilité : le fournisseur ne peut pas vérifier l’intégrité du contenu des fichiers restaurés puisqu’il ne peut pas les lire. Vous devrez vérifier vous-même que les fichiers restaurés sont effectivement sains en les ouvrant sur une machine propre. Avec un cloud standard, le support technique peut parfois vous aider à identifier les fichiers corrompus côté serveur.
Ce qu’il faut préparer maintenant, avant l’attaque : testez la restauration. Supprimez un fichier test, restaurez-le depuis le versioning, vérifiez que le processus fonctionne. Documentez la procédure. Savez-vous comment accéder à l’interface web de votre cloud sans le client de sync ? Savez-vous où trouver l’historique des versions ? Savez-vous comment contacter le support en urgence un dimanche matin ? Maintenez une sauvegarde externe immuable. Le cloud avec versioning est votre première ligne de restauration, mais une sauvegarde sur un service distinct (Backblaze B2, un NAS local avec snapshots) est votre filet de sécurité ultime. Gardez la procédure hors du cloud. Si votre procédure de restauration est stockée uniquement dans le cloud qui vient d’être chiffré, vous avez un problème ironique mais réel. Imprimez-la, ou stockez-la sur un support physique séparé.
Le ransomware est stressant, mais la restauration est mécanique. Déconnecter, identifier, restaurer, nettoyer, reconnecter. Quatre étapes, dans cet ordre, sans précipitation. Le pire ennemi dans ce scénario n’est pas le ransomware – c’est la panique qui pousse à réinstaller Windows avant d’avoir sauvé les données, ou à réactiver la sync avant d’avoir nettoyé la machine.