Vous voulez être victime de ransomwares ? Payez les rançons !

C’est une question qui taraude les victimes des cyberattaques de demande de rançon, qui se demandent si elles doivent ou non verser l’argent pour retrouver l’usage de leur informatique ou de leurs données.

D’un côté, les cybercriminels ont intérêt à entretenir l’impression que le paiement d’une rançon clôturera l’attaque. Sinon, rares seraient les victimes qui paieraient. D’un autre côté, il est tentant pour les cybercriminels de vouloir faire plus d’argent en visant à nouveau les victimes prêtes à payer. En effet, si les victimes avaient pu annuler le blocage de leurs systèmes, elles n’auraient pas payé.

L’expérience des nombreuses entreprises victimes d’extorsion numérique ces dernières années nous apprend que tous les cyber escrocs ne répondent pas à un code d’honneur et les récits que nous avons récolté dissuadent souvent de payer une rançon.

Payé mais attaqué de nouveau

En 2015, ProtonMail, un spécialiste suisse du chiffrement des e-mails, a subi une panne de plusieurs jours en raison d’une attaque DDoS volumétrique. La société, dont le produit est plébiscité par les lanceurs d’alerte, les journalistes et autres groupes ayant des activités à haut risque, refusait de payer la rançon. Quand une attaque de l’ordre de 100 Gbit/s a mis à mal le datacenter de ProtonMail et son service d’hébergement, la société a subi les pressions de ses clients, notamment sur les réseaux sociaux, qui se voyaient perdre de grosses sommes d’argent.

ProtonMail a fini par payer mais les attaques n’ont pas cessé. Trois jours après le versement de la rançon, les attaques DDoS ont repris, cette fois de la part d’un nouvel agresseur inconnu.

Que cette seconde attaque ait été perpétrée par un nouveau groupe de hackers ayant identifié une cible facile ou par les premiers devenus insatiables, ce n’est pas clair. Mais la société a immédiatement publié une déclaration sur son blog disant combien elle était désolée.

« Même si nous étions en désaccord avec cette décision collective des sociétés impactées, nous l’avons respectée au vu des centaines de milliers de Francs suisses perdus par les victimes de cette attaque. Nous espérions qu’en payant, nous pourrions protéger les autres sociétés concernées par l’attaque qui nous visait, mais les attaques se sont poursuivies. C’était une mauvaise décision, donc que tous les agresseurs futurs le sachent : ProtonMail ne versera plus jamais de rançon. »

Des données qui fuitent malgré le paiement

Un même scénario s’est joué récemment quand le groupe de pirates, Dark Overlord, s’est introduit dans la base de données d’un studio de post-production pour voler des épisodes inédits de la série de Netflix Orange is the New Black, menaçant de les rendre disponibles en ligne. Les pirates ont demandé une rançon et comme la société craignait de voir son activité ruinée par cette attaque, elle s’est exécutée. Ils ont versé 50 000 dollars. Mais même après qu’elle eut suivi les instructions et qu’elle eut payé la rançon, les épisodes ont quand même fuité en ligne.

Les dirigeants de la société ont eu peu ou prou la même réaction que Proton Mail. Dans une interview pour Variety, ils ont déclaré : « Ne faites pas confiance aux pirates », précisant « nous avons pris les meilleures décisions possible compte tenu des informations alors en notre possession. Nous ne prendrions pas les mêmes décisions aujourd’hui. » Qu’ont’ils voulu dire ?

Des exemples évocateurs à plus d’un titre

Tout d’abord, ils prouvent que payer une rançon est sans garantie. Dans le cas de ProtonMail, le pirate qui a lancé la première attaque a pu se dire qu’il restait de l’argent à se faire, ou bien c’est un second pirate qui s’est dit que celui qui avait payé une fois paierait probablement à nouveau. Quant au studio qui a payé la rançon, cela ne lui a pas garanti que ses données sensibles seraient protégées bien au contraire.

Deuxièmement, au moment de décider de payer ou non la rançon, il apparaît que le caractère d’urgence soit déterminant. Quand l’attaque DDoS a fait planter l’hébergeur ProtonMail, le fournisseur a subi d’immenses pressions et quand le studio risquait une fuite de données stratégiques, il devait prendre une décision rapidement ou subir des conséquences immédiates.

Face à une demande de rançon, il convient de comparer la perte financière sèche à ce que coûterait au final la panne ou la fuite. La décision n’est pas simple car, comme le montre cet exemple, le simple fait de payer une rançon démontre juste que l’on est prêt à payer.

Et les rançons versées viennent alimenter les circuits criminels. Cet argent finance la recherche et le développement d’attaques plus sophistiquées par les groupes de pirates. Cela maintient aussi la poursuite de l’activité des pirates : ils n’attaqueraient pas s’il n’y avait pas d’argent à la clé.

On peut voir ça de plus haut encore. Mi-juin en Corée du Sud, l'hébergeur web Nayana a subi une compromission ayant touché 150 serveurs. Pour récupérer l’accès à ses données volées, la société a payé près de 1 million de dollars. Après que l’attaque a été rendue publique, sept grandes banques de Corée du Sud ont reçu des menaces d’une attaque de ransomware. Les acteurs demeurent inconnus mais la proximité de ces attaques laisse penser que le premier paiement de rançon par une société coréenne aura déclenché le signal selon lequel les entreprises sud-coréennes seraient vulnérables et prêtes à payer.

Ce qui signifie qu’en matière de rançon, ceux qui payent continuent de payer. Et concernant le sens de l’honneur des pirates et la possibilité ou non de croire en leurs promesses ? Rien n’est certain.