Lors d'une cyberattaque par rançongiciel, payer la rançon exigée par les criminels est déconseillé par les experts. Mais de nombreuses victimes continuent de le faire. Aux Etats-Unis, le montant cumulé des paiements détectés par les banques a presque triplé en 2021 par rapport à 2020. Résultat, 1,2 milliard de dollars sont allés dans la poche des cybercriminels, qui réinvestissent pour développer des méthodes et outils d'attaque toujours plus efficaces.1,2 milliard de dollars payés en 2021. Chaque année, l'agence américaine spécialisée dans le suivi de la criminalité financière, la FinCEN, rend un compte-rendu des sommes extorquées par les gangs spécialisés dans le rançongiciel. Et chaque année, ce montant explose par rapport à l'année précédente : 1,2 milliard de dollars l'an dernier, 416 millions en 2020, 256 millions en 2019, 56 millions en 2018...
Ce bilan expose l'évolution impressionnante des attaques par rançongiciel, même s'il ne reflète pas toute l'ampleur du phénomène, puisqu'il ne compte que les sommes identifiées par les banques des victimes. Le problème, c'est que les 1,2 milliard de dollars de rançon vont alimenter un cercle vicieux : en payant, les victimes financent les cybercriminels, qui vont développer des méthodes d'attaques plus efficaces, et ainsi faire plus de victimes, et donc potentiellement récupérer encore plus d'argent, et ainsi de suite... Les autorités n'ont pas encore trouvé de solution drastique pour enliser cet effet boule de neige.
Augmentation du nombre d'incidents
Les établissements financiers américains ont relevé 1.489 incidents liés à des rançongiciels sur l'année, soit trois fois plus qu'en 2020. L'augmentation du montant des rançons payées correspond donc à une hausse du nombre de paiements et non à une hausse significative du paiement moyen. Pour comprendre ce phénomène, il faut savoir que les banques américaines ont l'obligation de remonter aux autorités gouvernementales les activités suspectes. La FinCEN attribue donc une partie de l'augmentation des rançons à une meilleure identification et remontée des incidents de la part des établissements bancaires.
Mais elle rappelle que le volume d'attaque et l'intensité des rançongiciels continuent de croître, notamment contre les secteurs critiques, comme la santé.
Pour accélérer dans la lutte contre les cyberattaques, Joe Biden a signé en mars une loi qui force les entreprises de secteurs sensibles à signaler les incidents cyber au Department of Homeland Security (le ministère de l'Intérieur américain) dans les 72 heures après la découverte, ainsi qu'à notifier le paiement des rançons sous 24 heures.