Des entreprises, organisations ou pouvoirs publics touchés par du ransomware ont le choix: soit verser dans un délai de quelques jours une rançon en bitcoins, soit voir leurs fichiers perdus pour de bon. C'est donc la panique qui règne dans nombre d'organisations: elles veulent récupérer leurs fichiers, mais parfois sans vouloir verser quoi que ce soit aux kackers.

ProPublica a mené l'enquête sur deux entreprises qui promettent avec leur propre technologie de libérer des fichiers pris en otage et ce, contre paiement. Il est spécifiquement question ici de SamSam, un rançongiciel qui a sévi en Amérique du Nord et en Grande-Bretagne et qui toucha notamment le port de San Diego et les administrations des villes d'Atlanta et de Newark.

ProPublica cite Proven Data Recovery de l'état américain de New York comme étant une entreprise qui a pendant des années régulièrement effectué des versements à des pirates, afin de libérer ses clients d'une infection au rançongiciel. Le site a rencontré à ce propos un ex-collaborateur de l'entreprise, Jonathan Storfer, qui confirme la pratique, mais ProPublica a pu aussi retracer quatre paiements effectués en 2017 et en 2018 à l'adresse bitcoin des diffuseurs de ransomware. ProPublica a également eu accès à un témoignage du FBI confirmant cette approche.

Selon eux, MonsterCloud applique elle aussi une approche similaire, par laquelle le ransomware n'est pas supprimé avec des outils spéciaux, mais qui voit l'entreprise payer simplement la rançon demandée pour libérer les fichiers bloqués.

Pas unique, mais en catimini

En soi, ces deux entreprises ne sont pas les seules à agir de la sorte, nuance ProPublica. D'autres firmes de sécurité paient elles aussi les hackers pour remédier rapidement à une infection au rançongiciel. Elles procèdent souvent ainsi, parce que leurs clients ne sont pas suffisamment doués sur le plan technique pour effectuer un versement en bitcoins ou craignent un contact direct avec le hacker.

La grande différence, c'est qu'elles le font ouvertement, alors que MonsterCloud et Proven Data Recovery faisaient comme si elles avaient trouvé une solution au problème, sans devoir payer les hackers. L'affaire devient d'autant plus pénible, lorsqu'il apparaît que non seulement le montant de la rançon était facturé aux victimes (ou à leur cyber-assureur), mais que des frais supplémentaires étaient prévus pour le... service presté.

Dans une réaction à Propublica, MonsterCloud déclare que son approche en la matière diffère d'un cas à l'autre, sans vouloir entrer dans les détails. De son côté, Proven Data Recovery admet avoir payé régulièrement des rançons, mais apporte la nuance, selon laquelle c'était parfois nécessaire. Par exemple lorsqu'un hôpital était infecté et que des vies humaines étaient alors en jeu.

Iran

Aujourd'hui, les firmes américaines ne peuvent plus rien verser aux hackers à l'initiative de SamSam et ce, pour une toute autre raison: l'adresse bitcoin qui recevait les paiements, est gérée en Iran, et entre-temps, les transferts s'effectuent via d'autres adresses. Suite à l'embargo américain sur l'Iran, qui est appliqué depuis fin de l'année dernière, les entreprises américaines ne peuvent plus effectuer de versements à l'adresse gérée dans ce pays. On ne sait du reste pas jusqu'à aujourd'hui avec certitude où allait précisément cet argent.

Update 27/5/19

MonsterCloud informe Data News n'avoir jamais prétendu décrypter des données. Elle affirme que les circonstances dans lesquelles elle a versé une rançon au nom d'un client, sont décrites sur son site web.