Payer les cybercriminels : l’éthique face à l’économie

Les attaques par rançongiciel placent les entreprises devant un dilemme : verser la rançon pour pouvoir accéder à nouveau à leurs données ou renoncer à leurs données.

Durant la nuit du 13 décembre, des pirates ont mis la main sur 383.000 fichiers de données personnelles chez Limburg.net. L’intercommunale de gestion des déchets avait reçu deux jours et demi pour payer la rançon de 100.000 € si elle voulait éviter que le collectif de pirates Medusa ne publie les numéros de registre national et les adresses piratées. Limburg.net n’a pas accédé à la demande.

Certains experts estiment que l’intercommunale a fait un mauvais choix, avec pour conséquence la diffusion de données personnelles. Ce qui a incité le pirate éthique Inti De Ceukelaire à publier le tweet suivant : « Je suis en désaccord avec les experts qui prétendent que Limburg.net aurait dû payer car les organisations criminelles sont ainsi précisément plus puissantes et dangereuses, qu’aucune garantie n’est fournie et que le risque d’extorsion future est plus grand encore. »

Comment cette prise de position doit-elle se traduire dans la pratique ? En tant que CEO et fondateur de Secutec, spécialisée en cybersécurité, Geert Baudewijns a déjà assisté plus de 400 négociations en matière de rançongiciel. « En pratique, ce type de raisonnement tient la route, estime-t-il. Le moindre euro renforce le modèle commercial des cybercriminels. En même temps, ce raisonnement est un peu simpliste. Dans les dossiers que nous avons accompagnés, les cybercriminels ont toujours respecté leur parole. »

Promesses et garanties

Pourtant, on retrouve en ligne des avis moins positifs. Baudewijns : « Au sein de collectifs de pirates, il est souvent de coutume de publier le nom des entreprises sur un ‘wall of fame’ deux à trois jours après l’attaque. C’est un signal pour les hameçonneurs de se lancer à l’assaut de cette proie et d’envoyer des courriels de demande de rançon. »
Il arrive que des entreprises se laissent prendre au piège et payent donc la rançon à un mauvais destinataire ou via un mauvais canal.

Que les cybercriminels tiennent parole est une chose, mais qu’en est-il des risques futurs ? Il est de notoriété publique que des données personnelles qui ont fuité continuent à circuler sur le dark web. En théorie, celui-ci n’est pas très accessible, mais de telles données migrent parfois vers le service de messagerie Telegram qui est lui facilement accessible. À ce niveau également, Baudewijns insiste sur une différence entre théorie et pratique. « Personnellement, je n’ai pas connaissance de cas où des entreprises auraient à nouveau été rançonnées un an après une attaque. » Ce qui n’exclut évidemment pas tout danger.

« Dans certains cas, payer la rançon constitue le seul bon choix économique. »

Geert Baude-
wijns, PDG de Secutec

Reste qu’il ne faudrait en principe pas faire confiance à des cybercriminels. Même si d’aucuns prétendent qu’en ne tenant pas leurs promesses, ces criminels se tirent une balle dans le pied. « Au sein de collectifs, des dissidences peuvent voir le jour et inciter un groupe à exploiter des données dérobées par opportunisme. Même si l’entreprise décide de ne pas payer, les cybercriminels savent très bien quels collaborateurs ils doivent viser et de quelle manière. Il s’agit là d’informations de valeur, certainement si ces personnes changent d’employeur. Dès lors, un rançongiciel gardera toujours sa pertinence », estime pour sa part De Ceukelaire.

La réalité économique prime

Théorie et pratique divergent donc, tout comme les avis des experts. Reste évidemment à savoir ce que doivent faire les entreprises lorsqu’elles ont été victimes d’une attaque par rançongiciel. Pour De Ceukelaire, il existe une différence majeure entre éviter de payer une rançon et que des données fuitent, et payer pour récupérer des fichiers cryptés. « Ce n’est que dans ce deuxième cas que le choix des entreprises est compréhensible, dans la mesure où l’on n’a jamais l’assurance que les cybercriminels ne crypteront pas à nouveau les données pour les revendre ailleurs. Il s’agit là d’une erreur de raisonnement que beaucoup commettent.

« Cela ne vaut la peine de payer les preneurs d’otages que lorsque le décryptage des données peut sauver des vies ou est vital pour notre société, notre économie ou notre sécurité nationale. »

Inti De Ceukelaire, hacker éthique

Quoi qu’il en soit, Baudewijns conseille parfois aux entreprises de verser la rançon exigée pour éviter que des données personnelles ne se retrouvent sur la rue. « Dans certains cas, il s’agit du seul choix économique valable. » Tel n’a pourtant pas toujours été le cas. « Autrefois, nous recommandions de négocier uniquement pour obtenir les clés de décryptage et non pas pour éviter que les pirates ne publient des données dérobées. Aujourd’hui, nous le faisons parfois dans la mesure où les données d’entreprise et les données personnelles ont plus de valeur que jamais. » Dans le cas de Limburg.net, Baudewijns aurait pris la même décision. « Ne pas payer aurait induit un dommage économique plus important encore. » A cet égard, il souligne encore que les assureurs n’auraient pas posé de problème.

Pour De Ceukelaire, une telle vision est difficilement conciliable avec la position d’un pirate éthique. « Ma règle d’or est qu’il n’est intéressant de payer que si le décryptage de données peut sauver des vies ou est d’une importance vitale pour la communauté, l’économie ou la sécurité nationale. »
Dans le cas de Limburg.net, il conseille dès lors de faire l’inverse de ce que prône Baudewijns. « Il est beaucoup plus judicieux d’investir l’argent dans l’indemnisation des victimes ou de leur proposer une assurance cyber qui les proté gera contre de futures fraudes à l’identité sur leurs données. »

Les sauvegardes comme déterminant majeur

Quoi qu’il en soit, la décision de payer ou non la rançon reste un exercice pratique. « Le facteur déterminant dans cette décision est la certitude dont disposent les entreprises sur leurs sauvegardes, confirme Baudewijns. Si celles-ci sont disponibles, nous décidons de ne pas négocier ou de payer. Mais dans 70% des cas, cette certitude n’existe pas. » Quand bien même cette certitude existe, de grandes organisations décident néanmoins de payer. « Reconfigurer 2.000 serveurs au départ de sauvegardes est un travail de plusieurs mois. Les entreprises pèsent dès lors le pour et le contre. »

De Ceukelaire a personnellement vu la liste des fichiers piratés chez Limburg.net, mais sans analyser les fichiers. « Cela n’aurait pas été éthique. Il s’agissait de données très anciennes et je me suis demandé quel intérêt il pouvait y avoir d’actualiser de telles données plus longtemps que nécessaire. Cela ne fait que renforcer la vulnérabilité. En outre, les cybercriminels calculent le montant de la rançon en fonction de la taille des fichiers. » A ce niveau, Baudewijns rejoint De Ceukelaire dans son raisonnement. « Limburg.net est un cas d’école du manque de ségrégation des données. Actualiser indéfiniment des données n’est pas problématique en soi, mais en l’absence de toute ségrégation, les pirates ont eu accès à l’ensemble des données. »