1,2 milliard de dollars payés en 2021. Chaque année, l'agence américaine spécialisée dans le suivi de la criminalité financière, la FinCEN, rend un compte-rendu des sommes extorquées par les gangs spécialisés dans le rançongiciel. Et chaque année, ce montant explose par rapport à l'année précédente : 1,2 milliard de dollars l'an dernier, 416 millions en 2020, 256 millions en 2019, 56 millions en 2018...
Ce bilan expose l'évolution impressionnante des attaques par rançongiciel, même s'il ne reflète pas toute l'ampleur du phénomène, puisqu'il ne compte que les sommes identifiées par les banques des victimes. Le problème, c'est que les 1,2 milliard de dollars de rançon vont alimenter un cercle vicieux : en payant, les victimes financent les cybercriminels, qui vont développer des méthodes d'attaques plus efficaces, et ainsi faire plus de victimes, et donc potentiellement récupérer encore plus d'argent, et ainsi de suite... Les autorités n'ont pas encore trouvé de solution drastique pour enliser cet effet boule de neige.
Augmentation du nombre d'incidents
Les établissements financiers américains ont relevé 1.489 incidents liés à des rançongiciels sur l'année, soit trois fois plus qu'en 2020. L'augmentation du montant des rançons payées correspond donc à une hausse du nombre de paiements et non à une hausse significative du paiement moyen. Pour comprendre ce phénomène, il faut savoir que les banques américaines ont l'obligation de remonter aux autorités gouvernementales les activités suspectes. La FinCEN attribue donc une partie de l'augmentation des rançons à une meilleure identification et remontée des incidents de la part des établissements bancaires.
Mais elle rappelle que le volume d'attaque et l'intensité des rançongiciels continuent de croître, notamment contre les secteurs critiques, comme la santé.
Pour accélérer dans la lutte contre les cyberattaques, Joe Biden a signé en mars une loi qui force les entreprises de secteurs sensibles à signaler les incidents cyber au Department of Homeland Security (le ministère de l'Intérieur américain) dans les 72 heures après la découverte, ainsi qu'à notifier le paiement des rançons sous 24 heures.
En France, le règlement général sur la protection des données (RGPD) oblige les organisations victimes à remonter les incidents à la Cnil (le gendarme des données) sous 72 heures, mais il n'y a pas d'obligation de signaler le paiement. En revanche, un projet de loi prochainement discuté à l'Assemblée propose de conditionner le remboursement des rançons par les assureurs à la déclaration aux autorités sous 48 heures. Si les experts s'accordent sur l'intérêt de signaler les attaques par rançongiciel aux autorités pour qu'elles puissent remonter aux cybercriminels, la couverture du paiement des rançons par les assureurs divise énormément.
Dilemme sous haute tension
Devenus la cybermenace numéro un pour les entreprises et les administrations publiques, les rançongiciels se hissent désormais parmi les sujets d'intérêt public. En France, leurs attaques retentissantes, contre les hôpitaux notamment, ont accéléré les investissements en cybersécurité, tandis qu'aux Etats-Unis, le président Biden est allé jusqu'à créer une force spécialisée sur le sujet. D'ailleurs une réunion sur la lutte contre les rançongiciels se tient actuellement à Washington avec les responsables de 12 pays, comme le relève Bloomberg.
Concrètement, les rançongiciels chiffrent les données des victimes -c'est-à-dire les rendent illisibles-, ce qui a pour effet de paralyser le système informatique et tous les services et machines qui en dépendent. Les attaquants exigent ensuite une rançon en échange de quoi ils promettent de fournir un outil -une clé de déchiffrement- pour réparer les dégâts qu'ils viennent de causer. Mais en pratique, cet outil ne remplit pas toujours ses promesses, et quoiqu'il en soit, céder aux demandes des cybercriminels revient à financer leurs futurs attaques. Le consensus des experts du secteur incite donc les victimes à ne jamais payer, sauf dans des cas exceptionnels, où la survie de l'entreprise est en jeu.
Les victimes peuvent le plus souvent reconstruire tout ou une partie de leur système informatique à partir de leurs sauvegardes, ce qui offre plus de garanties que l'outil des malfaiteurs. Mais ces dernières années, un second enjeu affecte leur décision de payer ou non la rançon. En 2018, un gang du nom de Maze a popularisé la double extorsion, une technique qui consiste à menacer la victime de diffuser publiquement ses données si elle ne paie pas. Résultat, non seulement la victime doit gérer les problèmes opérationnels liés aux dégâts du rançongiciel, mais elle doit aussi considérer les effets réputationnels et légaux d'une éventuelle fuite publique, notamment vis-à-vis de ses clients dont les données peuvent être touchées. Aucune victime ne dit qu'elle paie, mais elles sont nombreuses à le faire...
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !