Tom De Cordier

Interdire le versement de rançons n’est pas la panacée dans la lutte contre les attaques au rançongiciel

Tom De Cordier Avocat chez CMS Belgium, spécialisé en droit des technologies et des données.

Si on veut éradiquer vraiment le problème du ransomware (rançongiciel), il faudra en faire plus qu’interdire de payer les hackers et les crypto-plates-formes placés sur la liste noire, ou que réglementer les crypto-transactions. Il s’agira de convaincre la Russie d’entreprendre des actions contre les pirates et ce qui nous concerne, il conviendra surtout de miser sur la prévention.

Supposons que les serveurs de votre entreprise refusent soudainement tout service. Toutes les données sont cryptées, et personne ne peut encore y accéder. Votre entreprise se retrouve donc paralysée. Des experts IT appelés en toute hâte tentent en vain de décrypter les données. Dans un bref message que les hackers ont laissé, ils exigent le versement d’une rançon de 2,5 millions de dollars pour libérer les données. En outre, ils menacent de propager les données prises en otage, si votre entreprise ne verse pas rapidement la rançon. La police entame une enquête, mais il y a très peu de chances qu’elle puisse démasquer les auteurs et encore moins de les arrêter.

Ce scénario n’a rien d’une fiction issue d’un thriller hollywoodien. C’est en effet très régulièrement que nous prodiguons des conseils à des entreprises tant belges qu’étrangères victimes de ce genre d’attaques au rançongiciel. Ces dernières années, ces attaques se sont répandues comme un véritable fléau. Plus tôt cette année, la firme Colonial Pipeline a aux Etats-Unis versé 4,4 millions de dollars après avoir été paralysée par les hackers de Darkside. Et l’été passé, Data News a signalé que le fournisseur de services ICT belge ITXX a payé 252.000 euros suite à une agression au rançongiciel.

Interdire le versement de rançons n’est pas la panacée dans la lutte contre les attaques au rançongiciel.

Les hackers exigent quasiment toujours que la rançon soit payée en crypto-espèces, comme le bitcoin ou le monero. Ces paiements sont en effet anonymes – les agresseurs s’enrichissent donc, tout en gardant secrète leur identité. Certains experts plaident pour interdire le versement d’une rançon aux pirates (comprenez: la rendre illégale). Leur argument: toucher le cybercriminel là où cela fait mal. Si on ne peut pas payer les hackers, on leur supprime leur principale source de motivation. Mais est-ce possible dans la pratique? Et surtout: cela mènera-t-il à la fin du fléau ransomware?

Une interdiction de versement d’une rançon peut faire en sorte que les hackers se focalisent encore plus sur les victimes qui sont tellement sous pression que le paiement est leur seule échappatoire. Pensons ici à un hôpital complètement paralysé. La direction a alors deux options: soit refuser de verser la rançon demandée (ce serait en effet illégal) en courant le risque d’enregistrer des décès parmi les patients, soit payer et éviter qu’il n’y ait des victimes. Autre exemple: si le versement de la rançon est la seule option pour éviter la faillite, la tentation sera grande d’obtempérer. Une interdiction de paiement d’une rançon peut donc faire en sorte que les hackers opèrent de manière encore plus audacieuse.

Il peut en résulter aussi que les victimes paient en secret et soient moins enclines à informer la police de l’attaque qu’elles ont subie. Cela ne fait que rendre la victime plus vulnérable encore: que se passera-t-il, si les hackers menacent ensuite de rendre le paiement public, sauf si une rançon supplémentaire leur est versée.

L’introduction et l’application d’une interdiction de versement d’une rançon n’est en outre pas vraiment une sinécure. Il est possible de cibler les auteurs: les hackers de WannaCry par exemple figurent sur la liste noire américaine, ce qui fait qu’aucune rançon ne peut leur être versée. Mais le monde des pirates est en évolution constante: des groupes se scindent en groupuscules ou se détachent pour frapper ensuite de nouveau sous une autre appellation. De plus, les attaquants recourent de plus en plus à ce qu’on appelle des services RaaS (Ransomware-as-a-Service), ce qui fait qu’il devient encore plus malaisé de les retrouver. Placer les hackers sur une liste noire est donc une méthode peu efficiente dans la lutte contre le fléau ransomware.

Une autre façon de combattre les attaques au rançongiciel consiste à cibler ce qu’on appelle les exchanges. Il s’agit de crypto-plates-formes de traitement de crypto-espèces. La primeur est ici réservée aux Américains: ils ont récemment placé pour la première fois une crypto-plate-forme sur la liste noire. Il s’agit de Suex, une entreprise tchèque qui propose des transactions en bitcoin, en ethereum et dans d’autres crypto-espèces populaires. Quiconque se verra désormais invité à verser une rançon via une adresse Suex, y réfléchira par conséquent à deux fois. Mais en Europe aussi, on pense activement à réglementer les crypto-paiements. La Commission européenne a entre-temps émis des propositions de loi en vue de soumettre les transactions en crypto-espèces aux mêmes obligations de transparence que celles qui s’appliquent à présent aux transactions financières traditionnelles. Ces futures règles ne prévoient certes pas de sévères sanctions, mais complexifient le versement de rançons via les crypto-plates-formes établies en Europe.

Mais même si les intentions sont louables, on doute que ces mesures marquent la fin définitive du fléau ransomware. En effet, le législateur européen est lent – les nouvelles règles européennes n’entreront probablement en vigueur que dans deux ans. En outre, les règles pourront être contournées: les hackers opteront probablement pour des exchanges ne tombant pas sous le coup des règles européennes.

Si nous voulons vraiment éradiquer ce fléau, nous devrons en faire plus qu’interdire les versements aux hackers et crypto-plates-formes placés sur une liste noire, ou que réglementer les crypto-transactions. Il nous faudra d’abord amplifier la pression diplomatique sur les pays qui acceptent les hackers. Comme la Russie par exemple: nombre de pirates s’y cachent sans être inquiétés par les autorités russes. De plus, nos entreprises devront investir davantage dans la cyber-sécurité. Les pouvoirs publics auront également un rôle à jouer en investissant davantage dans des campagnes de conscientisation, dans le partage et la maintenance de la connaissance. Quant à l’industrie technologique, elle devra elle aussi accorder plus d’attention à la sécurité de ses solutions: les programmes d’ordinateur utilisés à grande échelle contiennent encore trop souvent des bugs.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire