Paiement des rançongiciels : USA, un exemple ?
Payer une rançon encourage la multiplication des attaques par ransomware et soutient financièrement les cybercriminels. De fait, les autorités américaines ont décidé de sanctionner les organisations américaines qui céderaient au chantage financiers des hackers. L’OFAC (L’Office of Foreign Assets Control du département américain du Trésor) a publié plusieurs avis pour sensibiliser les particuliers et les organisations dans la lutte contre les attaques par rançongiciel. L’un de ces avis, publié le 1er octobre 2020, officialise les sanctions liées aux paiements de rançongiciels.
L’OFAC précise que cette sanction s’étend également aux organismes qui facilitent le paiement de rançons aux cybercriminels au nom des victimes.
Ainsi, l’interdiction de payer les rançons s’applique à l’organisation piratée et aux sociétés ou entreprises avec lesquelles l’organisation infectée s’est engagée : institutions financières, assurance, expertise numérique, services financiers facilitant les paiements de rançons.
Néanmoins, le paiement contre un ransomware peut être effectué mais uniquement pour les organisations qui collaborent avec le Trésor américain, le FBI et d’autres agences gouvernementales. (source : siliconangle.com).
Sans cette approbation du gouvernement, les organisations enfreignent les sanctions de l’OFAC. Les répercussions juridiques sont conséquentes, notamment des amendes allant jusqu’à 20 millions de dollars.
Rançongiciel : paiera – paiera pas ?
Selon ZDNet, une étude d’IBM indique que “près de 70% des entreprises victimes d’un ransomware acceptent de payer les cybercriminels”. La moitié de ces rançons s’élève à plus de 10.000 dollars chacune. La principale motivation de ces organisations est de récupérer leurs données. En particulier si celles-ci concernent la finance, les clients, la propriété intellectuelle et les projets business. D’ailleurs, selon ZDNet, “60% des dirigeants interrogés reconnaissent qu’ils paieraient pour récupérer les données”.
En France, il n’y a rien d’illégal à verser la rançon demandée. Le sujet soulève de nombreuses et épineuses questions : En effet, les sociétés du CAC40 ont des obligations juridiques vis-à-vis de leurs actionnaires, tout comme les organisations du service public. Si une loi les condamnait à des sanctions financières, voire à des peines d’emprisonnement, sa mise en application serait extrêmement difficile.
Guillaume Poupard, Directeur général de l’ANSSI, recommande de ne pas payer car cela soutient financièrement les extorqueurs et les incite donc à poursuivre dans cette voie. De plus, le paiement d’une rançon aux cybercriminels ne garantit aucunement que la victime retrouvera l’accès à ses données volées. Les cybercriminels peuvent, en outre, en conserver une copie pour les revendre ou les échanger sur le Dark Web par exemple.
Un choix cornélien
Se soumettre ?
- Payer tout en sachant que cet acte encourage les cybercriminels à s’engager dans de futures attaques. En payant, une organisation contribue à créer un nouveau marché pour les cybercriminels.
- Payer et prendre le risque de ne pouvoir récupérer ou déchiffrer ses données. En effet, les cybercriminels ne possèdent pas toujours la clé de déchiffrement des rançongiciels acquis sur le marché noir.
Résister ?
- Ne pas céder et évidemment renoncer à ses données et subir les conséquences d’une cyberattaque (pertes financières, arrêt ou perturbation des systèmes d’information, de la production, perte de confiance, dégradation de l’image…).
