Mettez vous dans la peau d'un dirigeant ou d'une dirigeante d'une entreprise victime de rançongiciel. Le logiciel malveillant a infecté votre système informatique et chiffré toutes vos données dans la nuit. Panique : plus aucun ordinateur ne fonctionne, votre chaîne de production se retrouve paralysée. Même le système de portiques de sécurité pour accéder aux locaux est hors service. Pour ne rien arranger au chaos ambiant, impossible d'avertir vos employés par leur courriel professionnel.
Les hackers ont laissé une note virtuelle sur chaque appareil infecté par la cyberattaque. Ils proposent de réparer les dégâts qu'ils viennent de causer contre le paiement d'une rançon -de plusieurs centaines de milliers à plusieurs dizaines de millions d'euros selon la taille de l'entreprise. Il vous faut vite décider si vous voulez les contacter : au-delà d'un certains délai, les rançonneurs menacent de publier une partie de vos données, et d'augmenter le montant de la rançon.
Heureusement, une autre option que le paiement s'offre à vous pour relancer votre activité : reconstruire votre système informatique à partir de vos sauvegardes les plus récentes -en espérant que vous en ayez, et que les attaquants ne les ont pas corrompues. Problème : ce processus peut s'avérer long, voire laborieux, et son coût pourrait dépasser celui de la rançon. Qu'allez-vous faire ?
La tentation de l'interdiction : plus de paiement, plus de problème ?
A la question « faut-il payer la rançon ? », tout expert des rançongiciels vous répondra par la négative. « Notre position est de ne jamais conseiller de payer la rançon, car on ne peut pas connaître les conséquences immédiates du paiement », avance à La Tribune Michael Bittan, directeur d'Accenture Security. « En revanche, on est certains que payer va contribuer au financement des attaquants et appuyer leur progression technologique », complète-t-il.
Effectivement, la montée en puissance des organisations cybercriminelles carbure à l'argent des victimes. Les malfaiteurs lancent des attaques car ils savent qu'ils ont de grandes chances d'obtenir un retour sur investissement avec des rançons d'un montant de plusieurs centaines de milliers voire plusieurs dizaines de millions de dollars. S'ils réussissent leur extorsion, ils pourront réinvestir une partie de la somme pour lancer des attaques plus nombreuses et surtout plus complexes, et ainsi récupérer des rançons toujours plus importantes. Sur les trois dernières années, le trésor américain estime à 5,2 milliards de dollars le volume de transaction en bitcoin liées aux rançongiciels. Un véritable cercle vicieux financier s'est créé et il s'avère particulièrement difficile à enrayer.
En face, les opérations des forces de l'ordre ont beau se multiplier, elles ne suffisent pas à contenir le phénomène, car les cerveaux des gangs cybercriminels restent protégés par des pays qui refusent toute collaboration internationale. Puisque la solution ne peut venir d'en haut, elle doit venir d'en bas : pour arrêter la crise actuelle, il faut moins de victimes (et donc un meilleur niveau de sécurité globale) et surtout, qu'elles paient moins.
C'est pourquoi un rapport parlementaire présenté en octobre par la députée Valéria Faure-Muntian (LREM) préconisait « d'inscrire dans la loi l'interdiction pour les assureurs de garantir, couvrir ou d'indemniser la rançon. » En mai, avant même que la proposition soit déposée, l'assureur Axa devenait le premier à annoncer qu'il arrêtait de couvrir le paiement des rançons.
A l'international, la Ransomware Task Force -une coalition plus de 60 membres privés et publics destinée à la lutte contre les rançongiciels- va plus loin et réfléchit même à l'éventualité d'une pénalisation du paiement des rançons. Ce raisonnement fait écho à une note du trésor américain, publiée en octobre, qui prévient que les paiements de rançons seraient considérés comme illégaux s'ils sont émis envers des individus ou organisations sanctionnés par les autorités. Cette directive, difficile à appliquer, a été reçu avec une grande confusion par les spécialistes.
Malgré le consensus des experts, les entreprises paient la rançon
Ces propositions visent à répondre à un triste constat : malgré le consensus des experts qui incitent à ne jamais payer, les entreprises continuent de le faire. Par exemple, cette année, le gestionnaire de l'oléoduc Colonial Pipeline a payé plus de 4,4 millions de dollars, tandis que le fabricant d'objets connectés Garmin aurait réglé plus de 10 millions de dollars en 2020. D'après une étude récente d'Hornet Security auprès de 820 spécialistes, plus de 10% des entreprises victimes paient la rançon. Ce ratio dépasse les 50% dans des études plus anciennes.
La raison ? Ce ne sont pas les experts qui prennent la décision, mais les dirigeants des organisations victimes. « Eux se posent la question de la rançon en termes économiques : combien me coûte l'arrêt, et comment puis-je redémarrer mon activité le plus rapidement possible », raconte à La Tribune Jérôme Saiz, consultant en protection des entreprises et fondateur de OPFOR Intelligence. Dès lors, aux yeux de certains, payer la rançon apparaît comme une solution miracle pour régler le problème au plus vite. Tout l'enjeu pour les pilotes de gestion de crise est alors de leur faire comprendre pourquoi ce n'est pas le cas.
« Quand nous arrivons sur le terrain, certains Comex [comités exécutifs, ndlr] envisagent de payer rapidement car ils ont pris des garanties auprès d'assurances. Dans ce cas, nous leur détaillons différents scénarios avec l'ensemble des risques qui pourraient se concrétiser s'ils payent », poursuit Michael Bittan. « Payer la rançon est souvent vu comme un joker par les Comex, encore plus quand il y a une assurance. Mais on ne redémarre jamais plus vite en payant la rançon », abonde Jérôme Saiz.
Concrètement, une fois la rançon payée, le gang fournira un programme informatique pour déchiffrer les données. Mais ce dernier n'est pas toujours bien écrit, et pourrait encore plus corrompre les données. La victime devra donc le faire réécrire par une société spécialisée pour s'assurer qu'il fonctionne correctement et qu'il n'est pas dangereux. Une fois le produit final obtenu, le déchiffrement peut prendre de 6 à 8 heures par machine touchée. Bref : le gain de temps espéré n'y est pas. « Même une fois qu'on a récupéré toutes les données, le trou par lequel les hackers sont rentrés est toujours là et les défauts ne sont toujours pas corrigés », rappelle le consultant. Autrement dit, la victime devra quand même analyser et reconstruire une partie de son système, au risque de revivre l'exacte même attaque.
Les petites entreprises seraient pénalisées par une interdiction
Si payer la rançon apparaît dans tous les cas une mauvaise décision, pourquoi alors ne pas simplement l'interdire ? Car les petites entreprises n'ont parfois tout simplement pas le choix. « Pour des TPE ou PME qui n'ont pas de sauvegardes et qui avaient tous leurs documents sur leur système informatique, la situation n'est pas la même que pour les grands groupes. Eux n'ont pas le choix : soit ils paient, soit ils mettent la clé sous la porte », regrette Jérôme Saiz. Avant d'ajouter, « en revanche, pour les grandes entreprises, la question ne doit jamais se poser car elles ont toujours des éléments sur lesquels reconstruire. »
Le gestionnaire de crise pense qu'interdire le paiement simplifierait ses interventions, puisque les Comex seraient moins tentés de payer. « Le message aux cybercriminels serait clair : "vous faites ça pour rien" ». Cependant, attention à ne pas tomber dans un autre cercle vicieux. « Quand une loi est votée il faut voir comment elle est appliquée. Un marché des paiements à l'étranger pourrait se mettre en place pour contourner la loi », prévient-il.
Autre argument pratique contre cette interdiction de payer : la promesse du paiement, même sans réelle intention de l'effectuer, permet aux forces de l'ordre d'établir un contact avec les cybercriminels qui peut s'avérer précieux.
« Parfois, la négociation dure des jours, raconte un officier de gendarmerie spécialisé dans la cybercriminalité à La Tribune. Discuter des conditions de la rançon, même si on sait qu'on ne paiera pas, ça nous fait gagner du temps pour voir si on peut reconstruire ou colmater les systèmes informatiques, ou tout simplement pour obtenir des informations sur les cybercriminels et faire progresser les enquêtes ».
Les experts de la Ransomware Task Force s'accordent aussi pour dire qu'une mesure aussi brutale que l'interdiction devrait s'accompagner de mesures de prévention des entreprises et d'accompagnement des victimes renforcées. Ces dispositifs prennent forme, à l'image du récent partenariat entre les assureurs et la gendarmerie française. Avec un espoir sur le long terme : que les entreprises mieux informées contre la menace rançongiciel puissent s'en protéger, et surtout réagir plus efficacement le jour où elles en seront victimes.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés