Ransomware : les réflexes qui sauvent vos données en 2026

Votre PC est bloqué, vos fichiers cryptés : c’est un ransomware

Hier encore, tout fonctionnait. Ce matin, votre écran affiche un message en rouge : « Vos fichiers sont chiffrés. Payez 500 dollars en Bitcoin pour les récupérer. » Pas de doute, c’est un ransomware. Et oui, ça arrive plus souvent qu’on ne le pense, même à Tarbes. La semaine dernière, un client a ramené son MacBook Pro M3 avec une demande de rançon en anglais… sur fond noir. Il avait cliqué sur un faux PDF de facture EDF.

La première chose à savoir : ne paniquez pas. Mais surtout, ne payez pas. Les cybercriminels ne vous rendront pas forcément vos données, et vous financerez leur prochaine attaque. Voici ce qu’il faut faire, étape par étape, pour limiter la casse.

Isoler immédiatement la machine infectée

Le ransomware se propage comme un virus : par le réseau, les disques externes, les partages cloud. Déconnectez-le de tout. Éteignez le Wi-Fi, débranchez le câble Ethernet, retirez les clés USB, les disques durs externes et même l’imprimante en réseau. Si vous êtes en entreprise, débranchez aussi le switch ou le routeur pour éviter la contamination des autres postes.

À l’atelier, on a vu un cas où un ransomware a crypté les fichiers d’un PC Windows 11, puis ceux du NAS Synology connecté en réseau. Résultat : 3 To de photos de famille et de factures perdues. Le client avait tout sur le même réseau, sans sauvegarde hors ligne. Ne faites pas la même erreur.

Si vous utilisez un ordinateur portable, éteignez-le (bouton d’alimentation maintenu enfoncé si nécessaire). Ne redémarrez pas, ne tentez pas de restaurer le système : certains ransomwares attendent juste ça pour finir leur travail.

Ne pas payer, sous aucun prétexte

Les messages de rançon sont conçus pour vous faire agir vite. Ils menacent de supprimer vos fichiers sous 24h, 48h… C’est du bluff. Les cybercriminels n’ont aucun intérêt à effacer vos données : sans elles, pas de levier pour la prochaine victime. Mais même si vous payez, rien ne garantit qu’ils vous enverront la clé de déchiffrement.

En 2025, une étude de l’ANSSI a montré que seulement 15 % des victimes ayant payé ont récupéré leurs fichiers. Et parmi ceux-ci, certains ont reçu des clés partielles ou corrompues. La rançon, c’est comme acheter un billet de loterie : vous perdez souvent, et quand vous gagnez, c’est à moitié.

De plus, payer, c’est financer des réseaux criminels qui ciblent ensuite d’autres personnes. À l’atelier, on a eu un client qui a payé… pour se faire recontacter trois mois plus tard par le même groupe, avec une nouvelle demande. Ils savent que vous êtes une cible facile.

Identifier le type de ransomware

Tous les ransomwares ne se valent pas. Certains sont des souches connues, avec des clés de déchiffrement gratuites disponibles. D’autres sont des variantes personnalisées, presque impossibles à casser. Ne vous lancez pas dans des tentatives de déchiffrement au hasard : vous risquez d’aggraver les dégâts.

Voici comment reconnaître les signes :

Le message de rançon donne souvent le nom de la souche (LockBit, BlackCat, Play…). Notez-le. Si le message est en français, c’est peut-être une variante locale comme Cryakl ou Maze. Prenez une photo du message avec votre téléphone (pas avec l’ordinateur infecté !).

Certains ransomwares laissent aussi des fichiers texte dans chaque dossier (README.txt, DECRYPT_FILES.html…). Là encore, notez le contenu.

Une fois ces infos en main, ne tentez pas de les utiliser tout de suite. Passez à l’étape suivante : la sauvegarde.

Vérifier si une sauvegarde propre existe

C’est le moment de vérité. Si vous avez une sauvegarde hors ligne (sur un disque dur non connecté, une clé USB, un DVD…), vous êtes sauvé. Ne la branchez pas sur la machine infectée : utilisez un autre PC pour restaurer vos données.

À l’atelier, on voit trop souvent des clients qui pensent avoir une sauvegarde… mais qui l’ont laissée branchée en permanence. Résultat : le ransomware a crypté la sauvegarde aussi. Une sauvegarde non connectée, c’est la seule qui compte.

Si vous utilisez un service cloud (Google Drive, OneDrive, Dropbox…), vérifiez si le ransomware a synchronisé les fichiers cryptés. Les versions récentes de ces services proposent des historiques de fichiers : vous pouvez peut-être restaurer une version antérieure. Mais attention, certains ransomwares (comme Conti) suppriment les anciennes versions avant de crypter.

Si vous n’avez aucune sauvegarde, passez à l’étape suivante. Mais retenez la leçon : une sauvegarde, ça se fait AVANT l’attaque, pas après.

Ne pas utiliser l’ordinateur infecté pour chercher des solutions

L’instinct est de vouloir chercher des solutions en ligne. Ne le faites pas sur la machine infectée. Pourquoi ? Parce que certains ransomwares surveillent votre activité et peuvent :

– Bloquer l’accès à des sites de sécurité (comme ceux de Kaspersky ou Malwarebytes).
– Installer des keyloggers pour voler vos mots de passe.
– Chiffrer de nouveaux fichiers si vous les créez (un document Word pour prendre des notes, par exemple).

Utilisez un autre appareil (téléphone, tablette, ordinateur d’un proche) pour chercher des solutions. Et méfiez-vous : les forums regorgent de faux outils de déchiffrement, conçus pour voler vos données ou installer d’autres malwares.

Voici les seules sources fiables en 2026 :

– No More Ransom (base de données de clés de déchiffrement gratuites).
– Le site de l’ANSSI (recommandations officielles).
– Les outils de scan comme Emsisoft Decryption Tools ou Trend Micro Ransomware File Decryptor.

Nettoyer le système (ou le réinstaller)

Même si vous récupérez vos données, le ransomware peut encore être actif sur votre machine. Il peut avoir installé des backdoors, des spyware, ou attendre le bon moment pour frapper à nouveau.

La seule solution sûre : réinstaller le système d’exploitation depuis zéro. Oui, c’est radical. Mais c’est la seule façon d’être sûr de partir sur une base saine.

Pour Windows 11 : utilisez l’outil de réinitialisation intégré (Paramètres > Mise à jour et sécurité > Récupération). Choisissez « Tout supprimer » et réinstallez Windows. Attention : cela effacera tout, y compris vos fichiers personnels. D’où l’importance d’avoir une sauvegarde.

Pour macOS 26 Tahoe : redémarrez en mode récupération (Cmd + R au démarrage), puis utilisez l’option « Réinstaller macOS ». Là encore, vos données seront effacées si vous n’avez pas de sauvegarde.

Pour Linux Mint 22+ : réinstallez depuis une clé USB live. Les distributions Linux sont moins ciblées, mais pas invulnérables (surtout avec Wine ou des émulateurs Windows).

Si vous n’êtes pas à l’aise avec ces manipulations, ne tentiez pas au hasard. Une mauvaise réinstallation peut rendre la récupération des données impossible. Dans ce cas, faites appel à un professionnel.

Renforcer la sécurité pour éviter une nouvelle attaque

Une fois votre machine propre, il faut éviter que ça ne recommence. Voici les mesures indispensables en 2026 :

Les mises à jour : Windows 11, macOS 26 et les distributions Linux reçoivent régulièrement des correctifs de sécurité. Activez les mises à jour automatiques et ne les reportez pas. Un client est venu avec un PC sous Windows 10… deux mois après la fin du support en octobre 2025. Résultat : un ransomware a exploité une faille non corrigée.

Les sauvegardes : 3-2-1, c’est la règle d’or. 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud ou physique). Exemple : une sauvegarde sur un disque dur externe (non branché en permanence), une autre sur une clé USB, et une troisième sur un service cloud chiffré (comme Proton Drive).

Les mots de passe : utilisez un gestionnaire (Bitwarden, KeePassXC…) et activez la double authentification partout où c’est possible. Un ransomware peut voler vos identifiants si vous les notez dans un fichier texte.

Les pièces jointes et liens : Ne cliquez jamais sur un lien ou une pièce jointe inattendue, même si l’email semble venir d’un contact connu. Les cybercriminels usurpent les adresses (une facture « Free » qui vient de facture@free-service.com au lieu de @free.fr). En cas de doute, vérifiez l’expéditeur et contactez-le par un autre canal (téléphone, SMS…).

Les extensions de navigateur : désactivez les extensions inutiles (surtout celles que vous n’avez pas installées). Certaines peuvent être des porte-drappeaux pour des malwares.

Un antivirus : même Windows Defender (intégré à Windows 11) ou ClamAV (pour Linux) offrent une protection de base. Pour une sécurité renforcée, optez pour un outil comme Kaspersky ou ESET. Mais attention : aucun antivirus ne protège à 100 % contre les ransomwares. La meilleure protection, c’est votre vigilance.

En cas de doute, faites appel à un professionnel

Si vous n’êtes pas sûr de vous, ne prenez pas de risques. Une mauvaise manipulation peut rendre la récupération des données impossible. À l’atelier, on a vu des clients qui avaient tenté de « bidouiller » leur PC infecté… et qui ont perdu définitivement leurs photos de mariage.

Un professionnel pourra :

– Identifier la souche exacte du ransomware.
– Vérifier si une clé de déchiffrement existe.
– Nettoyer le système sans aggraver les dégâts.
– Vous aider à mettre en place une stratégie de sauvegarde et de sécurité.

Mais attention : méfiez-vous des offres trop belles. Certains « experts » proposent de récupérer vos données « à coup sûr »… pour un prix exorbitant. En réalité, ils utilisent souvent les mêmes outils gratuits que vous pourriez trouver vous-même.

En cas de problème

Ne payez pas la rançon. Contactez immédiatement un professionnel ou signalez l’attaque sur Cybermalveillance.gouv.fr.

Si vous êtes en entreprise, isolez le réseau et alertez votre service informatique ou un prestataire spécialisé.

Pour les particuliers, l’atelier de Myziggi à Tarbes peut vous accompagner dans la récupération et la sécurisation de votre matériel. Prenez rendez-vous par téléphone ou via le site.