Eddy Willems

Quand faut-il payer en cas d’attaque au ransomware?

Eddy Willems Eddy Willems est security evangelist chez G Data Cyberdefense

Le ransomware est un fléau, mais ce n’est pas non plus une sinécure que de payer une rançon pour récupérer ses données. Il y a en fait des risques liés tant au paiement qu’au non-paiement, selon l’expert en sécurité Eddy Willems.

Dans des articles précédents, Data News et d’autres magazines ont déjà attiré à plusieurs reprises l’attention sur la façon de se protéger et de réagir aux attaques au rançongiciel. Nombre d’entreprises et de particuliers continuent toutefois de se poser la question de savoir si elles feraient bien de payer en cas d’éventuelle attaque de ce genre et surtout… quel genre de paiement envisager.

Est-ce une option valable? Quels en sont les risques? Doit-on en informer les contrôleurs, actionnaires, voire le public? Comment se préparer à une telle décision? Même si je ne suggère absolument pas que les organisations quelles qu’elles soient doivent payer, je reconnais cependant que cette option existe bel et bien. Mais est-ce une bonne idée que de payer?

Ransomware?

Je pense qu’entre-temps, nous savons tous ce qu’est le ransomware (rançongiciel) à cause des nombreuses attaques du genre perpétrées au cours des quelques dernières années. Le ransomware est une forme de malware que les cybercriminels utilisent pour priver l’accès à des ordinateurs ou à des données ou en empêcher la disponibilité. Les criminels prennent ces ordinateurs ou données en otage jusqu’au paiement de la rançon demandée.

Après avoir réussi à accéder à un réseau, ils implémentent le ransomware sur des disques de stockage partagés et d’autres systèmes accessibles. Si leurs exigences ne sont pas acceptées, l’ordinateur ou les données cryptées restent indisponibles ou les données sont supprimées. Une tactique fréquente utilisée par ces cybercriminels consiste à dérober des informations sensibles et à menacer de les rendre publiques si la rançon n’est pas versée, ce qui ferait en sorte que les entreprises touchées seraient encore davantage rackettées. Ce problème de ransomware qui remonte à plus de 31 ans continue de nous pourrir la vie.

Les risques

Même s’il apparaît que la plupart des gens ou des entreprises qui versent une rançon, reçoivent ensuite une clé de décryptage, le paiement ne garantit pour autant pas qu’ils aient de nouveau accès à leurs données. La décision d’accepter ce que réclame l’auteur du rançongiciel, doit être prise avec toutes les précautions d’usage, en identifiant et en acceptant les risques et en concertation avec plusieurs acteurs spécialisés, dont par exemple un conseiller juridique, les forces de l’ordre, le cyber-assureur et des experts en sécurité. Il y a aussi des gens qui affirment que le versement d’une rançon doit être évalué comme toute autre décision professionnelle.

Les services publics sont tout à fait opposés au paiement d’une rançon, en partie parce que cela ne garantit pas qu’une organisation aura de nouveau accès à ses données. Dans certains cas, des victimes ayant versé une rançon n’ont jamais reçu en retour une clé de décryptage. En outre, il est possible que suite à des carences dans les algorithmes de cryptage de certaines variantes de malware, des victimes ne parviennent pas, même avec une clé de décryptage valable, à restaurer certaines, voire l’ensemble de leurs données.

Autre problème: le paiement d’une rançon par une entreprise ou son assureur fait qu’on se pose la question de savoir si ladite rançon ne va pas servir à financer des groupes criminels, le terrorisme, des états voyous et/ou la violation de la loi anti-blanchiment. Un problème qui a récemment été mis en évidence aux Etats-Unis.

Il convient d’y ajouter le fait que le paiement d’une rançon incite les criminels à s’attaquer à d’autres organisations ou entreprises. Il est évidemment compréhensible que quand des entreprises ne peuvent plus fonctionner, leurs dirigeants envisagent toutes les options possibles pour protéger leurs actionnaires, employés et clients.

L’attaque classique au rançongiciel peut aussi durer des semaines. Il va alors de soi que des coûts réels vont de pair avec le fait qu’une entreprise soit obligée de rester hors ligne pendant quelque temps. Il convient évidemment de tenter de prendre en compte tous ces coûts: de la restauration du réseau jusqu’aux frais des consultants et à la question de savoir s’ils vont couvrir la rançon. D’autres facteurs à prendre en considération sont entre autres la perte de réputation de la marque, la satisfaction de la clientèle et l’éventuelle responsabilité juridique.

Il apparaît parfois que le paiement d’une rançon s’avère l’option la moins coûteuse et que c’est surtout cette possible évidence qui incite la plupart des entreprises à choisir le moindre mal.

Payer

Il est toujours malaisé de répondre à la question de savoir quel est le pourcentage des entreprises qui acceptent de payer une rançon, d’autant plus que pas mal de victimes ne déclarent pas publiquement avoir été aux prises avec une attaque au ransomware, malgré le GDPR et d’autres règles d’obligation de le révéler en vigueur dans divers pays. Différents sondages réalisés par des entreprises dans le secteur de la sécurité révèlent que ce pourcentage oscille entre 30 et 55 pour cent. Mon sentiment personnel et ma connaissance du secteur mondial des entreprises m’amènent à penser qu’on est plus proche des 55 pour cent, voire plus.

Et c’est bien là le problème. Vous en tant qu’entreprise n’investiriez-vous pas dans une ‘idée’ qui vous rapporterait à coup sûr dans plus de 50 pour cent des cas. En fin de compte, l’investissement des cybercriminels est réduit. Il y a certes des coûts: créer le malware, l’algorithme de cryptage, l’élaboration d’un éventuel botnet pour répandre le mail d’hameçonnage (phishing) permettant d’installer le maliciel, ou rechercher des serveurs non patchés présents sur internet. Et puis, il y a le temps nécessaire pour explorer le réseau et puiser les données de celui-ci. De surcroît, les criminels vont jusqu’à partager des fragments de code, afin de faire face à leurs coûts. Pas mal le business plan!

Le catalyseur

Arrive alors le catalyseur de toute cette industrie du ransomware, à savoir le… bitcoin ou toute autre crypto-monnaie. Le cash du 21ème siècle en quelque sorte. Or ne souhaite-t-on pas en finir avec le cash aujourd’hui? La crypto-monnaie numérique, c’est tout simplement du cash dans un joli emballage appelé chaîne de blocs. Mais les crypto-espèces assurent malheureusement – tout comme le cash – l’élément intraçable, l’aspect anonyme du bénéficiaire, à moins évidemment de pouvoir tenir à l’oeil ‘qui’ se trouve à l’initiative de certains portefeuilles (‘wallets’).

Si les crypto-monnaies (et la facilité de paiement qu’elles offrent) n’existaient pas, je pense qu’on ne verrait plus de ransomware. Transférer de l’argent vers d’autres comptes est en effet si facile à suivre en recourant à l’ancienne procédure. On en serait débarrassé, mais je crains qu’on ne puisse faire machine arrière.

Faut-il dès lors payer? Personnellement, je dirais JAMAIS! Tout simplement parce qu’an agissant ainsi, on continue de soutenir l’économie criminelle. Si vous payez des millions d’euros à vos agresseurs, vous recevrez peut-être en retour la clé de décryptage pour vous aider à restaurer vos systèmes, mais cela va les encourager à poursuivre leur oeuvre destructrice dans le futur et ce, non seulement contre votre propre entreprise, mais aussi contre d’autres organisations ou entreprises dans le monde entier.

Vous pouvez évidemment toujours négocier avec les criminels, afin qu’ils réduisent leurs exigences. Y croyez-vous vraiment? Il existe aussi des entreprises de sécurité (belges) qui peuvent vous venir en aide. Elles vous aideront lors du paiement et des négociations avec les cybercriminels, car ce n’est pas toujours évident pour certaines entreprises. C’est certes utile en soi, mais il est possible que l’on vous propose ensuite une mise à niveau pour une meilleure protection. N’auriez-vous pas pu éviter tout cela, vous demandez-vous alors? Finalement oui en versant ‘plus’ d’argent à votre fournisseur (comprenez ‘assistant légal’). Que voilà un bien beau business model, mais (plus que) limite du point de vue déontologique, selon moi.

Eviter? Et résoudre?

La plupart des attaques au rançongiciel peuvent être vraiment être contrées et évitées. Grâce à une combinaison d’une bonne politique de sécurité, de sauvegardes, de correctifs (‘patching’), de diverses solutions de sécurité en couches, sans oublier l’aspect humain (le maillon faible typique) via des ‘security awareness trainings’ (formations en prise de conscience sécuritaire).

Mais comment résoudre finalement la problématique du ransomware?

  1. Renoncez aux crypto-espèces ou muselez-les. Je crains cependant que cela soit une utopie.
  2. Interdisez le paiement de rançons au niveau mondial.
  3. Ne considérez pas une attaque au rançongiciel comme une cyber-attaque ou un malware ordinaire, mais comme une agression, voire dans certains cas comme un acte de terrorisme (dans le cas par exemple où c’est une infrastructure cruciale ou un hôpital qui est concerné). Veillez donc à ce que les cybercriminels déplacent partiellement leur champ d’action, voire s’arrêtent.

C’est ce à quoi on pense aux Etats-Unis, après que l’entreprise Colonial Pipeline, qui exploite le principale pipeline américain, ait dû cesser toute activité une semaine durant en mai 2021 suite à une attaque au ransomware.

Tout ces éléments représentent pour les autorités des problèmes pas vraiment faciles à aborder, et encore moins au niveau mondial. Peut-être est-ce là du grain à moudre pour l’UE? Irréaliste, selon vous? Reprenons ce débat dans 7 ans voulez-vous. La technologie finira bien par solutionner tout cela, pensez-vous. Dans ce cas, vous avez nettement sous-estimé le facteur humain!

Ne payez ‘JAMAIS’ une rançon, sauf peut-être s’il y a des vies humaines en jeu. Ou doit-on se contenter de regarder des séries Netflix où cela est déconseillé?

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire