Est-ce vous, le client, qui payez la rançon exigée?

Le paiement de rançons peut avoir des implications plus importantes qu’on ne le pense – et pas seulement pour les entreprises qui ont payé …

Un entretien avec Tony Anscombe

La réponse à la question est susceptible d’être ” oui “. Le débat sur les paiements de rançons (ransomware payments) continue, ce qui, bien sûr, est positif ; la discussion et les différents points de vue mis en avant devraient résulter en une conclusion éclairée.

Maintenant, voyons qui paie réellement la rançon. Imaginez que vous vous achetiez quelque chose pour 100 $. Selon l’endroit où vous vous trouvez dans le monde, la taxe de vente peut s’ajouter à ce montant et votre ticket d’achat indiquera 100 $ pour la marchandise et, disons, 10 $ pour la taxe de vente, soit un total de 110 $. L’entreprise qui vend le produit doit faire un bénéfice et couvrir ses frais, incluant le personnel, les locaux, les assurances, le transport et de nombreux autres postes liés à la gestion d’une entreprise.

Si l’entreprise a été victime d’une attaque de ransomware et a décidé de payer les cybercriminels pour récupérer l’accès à ses systèmes ou éviter que ses données ne soient publiées ou vendues sur le dark web, il y a des frais supplémentaires qui doivent être récupérés lors de la vente des produits ou des services. Que diriez-vous si le reçu mentionnait le financement de la cybercriminalité : produit 100$, taxe de vente 10$, don aux cybercriminels 2,50$ ? Je pense et espère, que vous remettriez ce montant en question. Moi, je le ferais. L’entreprise répondrait probablement par “D’accord, notre assurance contre les cyber-risques a payé la majorité de la rançon “.

Cela pourrait être le cas, mais l’entreprise a dû payer l’assureur qui travaille selon une probabilité de risque lors du calcul de la prime. S’il assure dix entreprises et qu’une sur dix est victime d’une attaque de ransomware, alors le reçu des 10 entreprises devrait peut-être indiquer la transaction de 100 $, les 10 $ de taxe de vente ainsi qu’un don de 0,25 $ aux cybercriminels, payé par les assureurs de l’entreprise.

Dans un article paru dans The Hill (article in The Hill), Bryan Vorndran, directeur adjoint de la division cybernétique du FBI, a répondu à une question posée par la sénatrice Mazie Hirono que ” nous sommes d’avis qu’interdire le paiement de rançons n’est pas la voie à suivre “. Cette réponse repose sur le fait que ne pas interdire le paiement peut conduire à une extorsion supplémentaire car certaines sociétés ne divulguent pas ces incidents aux autorités.

La conclusion de cette discussion au Comité judiciaire du Sénat semble suggérer l’exigence de déclarations plus strictes des entreprises, par opposition à l’interdiction de paiement. Cela pourrait être considéré en contradiction avec les exigences actuelles interdisant le versement de fonds aux cybercriminels figurant sur la liste de sanctions de l’OFAC. Comme certains groupes de rançongiciels ou d’individus derrière ceux-ci figurent sur la liste, cela suggère-t-il que les entreprises payant la rançon à ces groupes ou individus seraient exposées à une double extorsion ou tenteraient ensuite de dissimuler le paiement ?

Les questions sont nombreuses, mais une est certaine : le débat sur le payement ou non des demandes de rançons est loin d’être clos. Et nous, les consommateurs, verrons probablement une augmentation du coût des produits et services afin que les entreprises continuent de payer les extorqueurs derrière le ransomware, soit directement soit par le biais d’une assurance.

Je termine avec les mots prononcés par Margaret Thatcher (words of Margaret Thatcher) le 14 octobre 1988 : ” Cédez au terroriste et vous engendrez plus de terrorisme “.