Vers une interdiction du paiement des rançongiciels ?

État de la menace

Le ransomware, ou rançongiciel, est un logiciel malveillant prenant en otage les données d’un système d’information en échange du paiement d’une rançon. Le montant de la rançon demandée prend généralement en considération le type de ransomware ainsi que l’identité de la victime.    

Pour ne citer que quelques exemples, Colonial Pipeline, société exploitant des oléoducs aux Etats-Unis, aurait payé une rançon d’un montant de plus de 4 millions de dollars au groupe Darkside du fait d’une interruption d’activité entraînant une mise à l’arrêt de l’approvisionnement de plusieurs états américains. En France, en janvier 2021, la Clinique de l’Anjou ainsi que la Ville d’Angers ont fait l’objet d’une attaque par ransomware.   

Le rapport de la cyber assurance Hiscox sur la gestion des risques cyber nous donne quelques chiffres. En France, 16% des entreprises ont déjà eu à faire à ce type d’attaque et 58% de ces entreprises ont déjà payé la rançon demandée. Une hausse de 6% des paiements de rançons a été constatée entre 2019 et 2020. Après les Etats-Unis et l’Allemagne, la France est l’un des pays qui paient le plus de rançons. 

Source : Rapport Hiscox sur la gestion des cyber-risques

Les attaques par ransomwares peuvent trouver leur origine dans différentes sources et généralement leurs auteurs mettent en œuvre plusieurs techniques avant de parvenir à leurs fins. Parmi les moyens les plus utilisés, on retrouve les emails de phishing, ou hameçonnage, (65%), mais également de vols d’identifiants (39%) ou encore l’action de tiers (34%). Slide 9 – 10  

Les PME/ETI et les grands groupes ne disposent non seulement pas de moyens identiques afin de sécuriser leur système d’information, mais ils ne sont pas non plus égalitaires sur le plan de l’assurance du risque cyber encouru. En effet, 87% des grandes entreprises déclarent bénéficier d’une assurance cyber pour une couverture moyenne de 38 millions alors que seules 8% des ETI ont souscrit à ce type d’assurance couvrant en moyenne 8 millions d’euros de risques. Sur 140 000 PME, seules 362 sont assurées contre ce type de risque.  

Source : « Lumière sur la cyberassurance », AMRAE, mai 2021

Source : Rapport Hiscox sur la gestion des cyber-risques

Les raisons pour lesquelles il n’est pas conseillé de payer la rançon

Le paiement d’une rançon à ces acteurs encourage la multiplication des attaques en raison des profits récoltés. La somme versée peut servir, directement ou indirectement, au financement du terrorisme ainsi qu’au blanchiment d’argent. À la suite du paiement, le risque est d’être perçue comme une entreprise qui paye et d’être donc de nouveau attaquée dans les mois qui suivent le premier rançongiciel. Une étude réalisée en avril 2021 par Cybereason auprès de 1263 professionnels de la sécurité dans plusieurs pays et notamment en France révèle que 60% des organisations françaises ayant choisi de payer la rançon demandée à la suite d’une attaque ont été ciblés dans les semaines suivantes.  

Le paiement de la rançon ne constitue pas une garantie de récupérer les données volées, les pirates n’étant pas tenus à un quelconque engagement. La récupération de l’ensemble des données est même très peu probable. L’étude précise en effet que 3% des personnes interrogées ayant payé la rançon ont indiqué n’avoir récupéré accès à aucune donnée, 46% ont eu accès à certaines données et 51% à l’ensemble.  

Enfin, le risque de la double extorsion est à prendre en compte c’est-à-dire qu’en parallèle du chiffrement des données, une extraction de ces données est réalisée. L’intrusion initiale dans le système d’information donne lieu à une prise de contrôle des infrastructures de management du SI et à une exfiltration de données sensibles (données issues des ressources humaines, finances de la société et données stratégiques). Le pirate tente d’obtenir une version numérique du contrat de cyber-assurance afin d’optimiser le montant de la rançon demandée. Le ransomware est déployé sur le parc informatique et chiffre les données puis intervient la demande de rançon en échange de la fourniture d’une clé de déchiffrement. Une nouvelle demande de rançon contre menace de divulgation des données intervient plusieurs semaines après la première.  

Quid du paiement de la rançon ?

Le paiement de la rançon n’est pas souhaitable pour l’ensemble des raisons décrites ci-dessus. La récupération de la clé de déchiffrement suite au paiement de la rançon ne constitue pas une véritable solution, même dans les cas où elle permet de restituer les données chiffrées. La remise en état du SI sera complexe, longue et impactante pour l’entreprise qui sera tout de même soumise à des conséquences indéniables : interruption d’activité, perte de production, perte de confiance des clients et partenaires, dégradation de l’image.  

Le paiement de la rançon ne constitue un ultime recours que dans les cas où il s’avère impossible de récupérer ou reconstruire des données vitales à la survie de l’entreprise et lorsque des premiers travaux de tentative de récupération des données ont été opérés par une entreprise spécialisée qui n’y est pas parvenue. 

L’interdiction américaine de paiement d’une rançon à un acteur cyber malveillant

Le 1er octobre 2021, l’OFAC (Office of Foreign Assets Control) a émis un avis impliquant une possible adoption de sanction dans les mois à venir contre le paiement de rançons issues d’attaques par ransomware.   

Le 21 septembre, l’OFAC a rendu un nouvel avis soulignant le risque de sanction des entreprises procédant au paiement de rançons. Les sanctions envisagées ne s’appliquent néanmoins pas aux entreprises procédant au paiement à destination de tout tiers, mais uniquement aux entreprises procédant à un paiement à destination d’un acteur cyber malveillant identifié comme tel par l’OFAC. La liste de 1600 pages comprend des ressortissants spécialement désignés ainsi que des personnes bloquées. Un outil permettant de retrouver facilement si un paiement a été initié à destination de ces organismes est mis à disposition par l’OFAC.  

La liste mentionne des acteurs visés par des sanctions de l’OFAC tels que Eugene Bogachev, créateur du ransomware Cryptolocker, deux développeurs iraniens du ransomware Samsam, les groupes Lazarus, Bluenoroff et Andariel ainsi que le groupe Evil Corp.  

Ces sanctions s’appliqueront aux organisations ayant fait l’objet de l’attaque et ayant payé la rançon, mais également aux sociétés facilitant le paiement de ces rançons comme les entreprises d’assurance, institutions financières, sociétés d’expertise numérique, etc. L’ensemble de ces acteurs pourrait être tenu civilement responsable.   

L’OFAC encourage les entreprises facilitant le paiement de rançons à mettre en œuvre un programme de conformité basé sur les risques en tenant compte des sanctions qui peuvent être encourues. Ces programmes devront prendre en compte le risque d’inclure dans le paiement de la rançon un acteur listé par l’OFAC au titre des personnes cyber malveillantes. Enfin, l’organisme invite les victimes de ransomware à se rapprocher des autorités afin de déclarer les ransomwares et les éventuels paiements effectués.  

À titre d’exemple, la plateforme de cryptomonnaies SUEX a ainsi été épinglée par l’OFAC puisqu’au moins 40% des transactions transitant via cette plateforme étaient attribuées à des cybercriminels. Elle a été sanctionnée pour avoir fourni le matériel nécessaire à ces cyberattaquants afin de commettre des attaques de type rançongiciel. Le site a été bloqué, tout comme l’ensemble des propriétés et des fonds de la plateforme et les citoyens et entreprises sont invités à ne plus réaliser de transaction avec cet acteur.   

La position des assureurs sur le sujet

Les assureurs proposent désormais depuis plusieurs années des assurances couvrant le risque cyber. De nouvelles garanties permettent ainsi le remboursement du paiement d’une rançon dans la limite d’un certain plafond moyennant le paiement d’une franchise.   

Les assureurs préfèrent en effet rembourser la rançon aux entreprises assurées que de supporter le coût de récupération des données perdues nettement plus élevé. Le coût de sinistralité est en effet largement supérieur à celui du paiement de la rançon dans le cadre des opérations de reconstitution des données. Si l’assureur assurait les opérations de récupération des données, il devrait reporter ce coût sur les montants des primes d’assurances qui seraient alors multipliés par dix.   

Certains assureurs acceptent de payer là ou d’autres refusent. Axa a suspendu son offre en la matière en indiquant rester dans l’attente d’une décision réglementaire sur le sujet. Générali a également refusé de proposer ces garanties. D’une manière générale les clauses d’accès aux assurances cyber ont été renforcées. Les acteurs sont dans l’attente d’une harmonisation afin de déterminer s’ils sont autorisés, ou non, à se livrer à de telles pratiques.  

La Fédération Française de l’Assurance (FFA) souligne que le paiement des rançons ne constitue pas, pour l’heure, une infraction, en dehors des cas ou l’argent transmis servirait au financement du terrorisme ou le blanchiment d’argent proscrit par les articles L.324-1 et L.421-2-2 du Code Pénal. Néanmoins, la FFA, reconnaît que si le paiement de rançons venait à être interdit, les assureurs s’y conformeraient.  

La question de la cybersécurité soulevée au Sénat

Le 14 avril 2021 s’est tenue une audition au Sénat sur le sujet de la cybersécurité des ETI et PME. L’occasion pour la vice-procureure chargée de la cybercriminalité du parquet de Paris et de Guillaume Poupard directeur général de l’ANSSI de rappeler le rôle des assureurs dans le paiement de ces rançons.   

L’interdiction de paiement pourrait permettre de dissuader les attaquants de cibler des entreprises françaises en les privant de recettes. Les investissements des entreprises jusqu’alors concentrés sur la souscription de cyber assurances pourraient se reporter sur la sécurisation du système informatique, qu’il s’agisse de grands groupes, d’ETI ou de PME.  

Un rapport concernant la cybersécurité des entreprises réalisé par les Sénateurs Sébastien Meurant et Rémy Cardon met en lumière les conséquences de cette interdiction et notamment la création d’une distorsion de concurrence avec les entreprises d’assurance européennes autorisées à commercialiser ce type d’assurance. Est donc proposée l’adoption d’un Règlement européen en la matière ou d’un amendement à la convention de Budapest de 2001. Cette convention, en cours d’actualisation, s’applique également aux États-Unis ce qui permettrait d’apporter une réponse commune à la cybercriminalité.   

Il est évident que pour envisager cette interdiction du paiement des rançons il faudra prévoir dans l’intervalle une politique de soutien aux victimes de ces cyberattaques déterminant un ensemble de mécanismes ainsi qu’une mise à disposition des ressources nécessaires afin d’accompagner les entreprises.   

Le Haut Comité Juridique de la Place Financière de Paris a été missionné par la Direction Générale du Trésor afin de produire des recommandations sur le sujet lesquelles devraient intervenir le 29 septembre prochain. Dans l’attente d’une décision en la matière les cybercriminels maintiennent leurs attaques en investissant les gains des rançons versées dans le but de diversifier les attaques et de les complexifier d’un point de vue technique.  

Je partage

Derniers articles

Digitemis

Rakound, notre outil pentest pour tirer le meilleur de BloodHound.

Qu’est-ce que Bloodhound ? BloodHound est un outil développé par Andrew Robbins , Rohan Vazarkar et Will Schroeder, permettant de cartographier les relations présentes dans un environnement Active Directory. 🔗➡ https://bloodhound.readthedocs.io/en/latest/index.html Présentation de notre outil Rakound L’outil BloodHound est un allié efficace pour la réalisation de tests d’intrusion ou d’audit de conformité. Erwan Robin, notre consultant en sécurité des […]

Lire l'article

Privacy

Vers une interdiction du paiement des rançongiciels ?

État de la menace Le ransomware, ou rançongiciel, est un logiciel malveillant prenant en otage les données d’un système d’information en échange du paiement d’une rançon. Le montant de la rançon demandée prend généralement en considération le type de ransomware ainsi que l’identité de la victime.     Pour ne citer que quelques exemples, Colonial Pipeline, société exploitant des oléoducs aux Etats-Unis, aurait payé […]

Lire l'article