Dans une recommandation récente (https://home.treasury.gov/system/files/126/ofac_ransomware_advisory_10012020_1.pdf), le Département du Trésor Américain menace de sanctions les entreprises qui paieraient une rançon aux groupes cybercriminels après une attaque en ransomware, ces paiements pouvant être considérés comme un contournement des sanctions US à l'égard de certains groupes cybercriminels.

Cette affaire fait suite à l'attaque ayant visé Garmin, la société étant soupçonnée d'avoir payé une rançon de 10 millions de dollars à des individus supposés être proches de The EvilCorp pour récupérer ses fichiers chiffrés avec WastedLockers. Sont également visés :  Eugene Bogachev, le créateur de Cryptolocker, les deux développeurs iraniens de Samsam, les groupes nord-coréens Lazarus, Bluenoroff et Andariel.

Un nouveau risque pour les entreprises non américaines

Cette recommandation de l'OFAC (Office of Foreign Access Control), service en charge de l'application des sanctions économiques et commerciales américaines contre les pays et organisations étrangères, représente un vrai risque pour les entreprises non américaines et notamment européennes, qui pourraient se voir sanctionnées par les autorités américaines pour des paiements de rançon passés ou futurs. C'est encore une fois la politique extraterritoriale agressive des autorités américaines qui est en cause. D'autant que l'OFAC recommande en même temps aux entreprises concernées par ces cas de figure de prendre contact avec ses services pour examiner la situation avant paiement de toute rançon, ce qui reviendrait potentiellement à signaler toute négociation à l'administration américaine.

Sont d'ailleurs concernés non seulement les entreprises victimes mais également leurs partenaires "cybersécurité". Notons enfin que la limitation des sanctions à quelques groupes ne limite en rien les possibilités de l'administration américaine : les groupes cybercriminels étant des nébuleuses aux contours très flous, de simples indices pointant vers tel ou tel groupe suffiraient à engager la responsabilité des entreprises concernées.

Installer un rapport de force

Il est bien sûr tout à fait déconseillé de payer des rançons, qui financent les groupes cybercriminels et contribuent à l'accélération des attaques par rançongiciel, mais outre le fait que ce n'est pas à l'administration américaine de traiter de cas concernant des entreprises européennes, les entreprises qui subissent des attaques en rançongiciel ne doivent pas être traitées comme des complices des cybercriminels mais bien comme des victimes. Elles doivent être accompagnées comme telles, tant au plan technique que juridique. Et l'on sait bien que lorsque toutes les solutions techniques ont été épuisées sans succès, le paiement est malheureusement parfois la solution de dernier recours pour tenter de retrouver ses données et la maitrise de son système d'information.

La réponse française et européenne face à cette nouvelle menace de l'extraterritorialité américaine doit donc être double : une réponse politique et législative (cf. le rapport de M. Raphaël Gauvain, député de Saône-et-Loire, intitulé "Rétablir la souveraineté de la France et de l'Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale") pour installer un rapport de force face aux velléités de l'administration américaine ; une réponse opérationnelle, associant les professionnels de la cybersécurité et les assureurs, permettant aux entreprises concernées de bénéficier de toute l'assistance requise dans ce type de situation.