Les conséquences du paiement d'une rançon lors d'une attaque par ransomware
La plupart des entreprises françaises touchées par un ransomware ont payé la rançon, signe que la récupération des systèmes a échoué. Le recours au paiement s'est donc imposé comme la norme en france.
Lorsque le paiement est la seule option pour éviter la faillite de l'entreprise ou la chute massive du cours des actions, un problème pratique se pose : qui dans l’entreprise dispose d'un compte Bitcoin capable de transférer le million de dollars demandé dans le délai imparti par les pirates ?
Quiconque n'est pas préparé à cette éventualité est confronté à un problème de taille. Selon la juridiction, la création d'un compte en crypto-monnaies peut prendre des semaines en raison des réglementations anti-blanchiment d'argent qui exigent que les bourses remplissent les obligations de connaissance du client (KYC, Know Your Customer).
En outre, les régulateurs et les gouvernements augmentent les niveaux de transparence qu’ils exigent des organisations, tant en ce qui concerne leur préparation aux attaques de ransomware que la divulgation publique des paiements. La Security and Exchange Commission exige désormais des organisations cotées sur les marchés boursiers américains qu’elles divulguent non seulement les détails de l’incident, mais aussi le degré d’information et d’engagement du conseil d’administration en matière de cyber résilience. En France, la loi Lopmi (Loi du 24 janvier 2023 d'orientation et de programmation du ministère de l'intérieur) encadre également le remboursement des cyber rançons par les assurances : ce dernier est conditionné au dépôt d’une plainte dans les 72 h suivant une cyberattaque. Au-delà de légiférer sur l’encadrement assurantiel des cyberattaques, la loi entend renforcer la connaissance de la menace et in fine la capacité des services judiciaires à traiter ces attaques. En conditionnant la couverture des dommages au dépôt d’une plainte, la Lopmi rend la notification des autorités automatique puisque les entreprises ne peuvent plus dissimuler les atteintes à leurs systèmes. L’approche française s’apparente avant tout à une démarche qui va à l’encontre de la culture du secret en matière de cybersécurité.
Pour autant, la vice-procureure en charge de la lutte contre la cybersécurité au Tribunal de Paris, déplorait en 2021 les paiements trop nombreux des entreprises françaises. Une étude récente dévoile ainsi qu’un peu plus de 9 entreprises françaises sur 10 (92%) admettent avoir payé une rançon au cours de l’année écoulée, contre plus des 2/3 (69%) en moyenne dans le monde.
Pourtant, la possibilité de demander une couverture du dommage par les assurances va de facto à l’encontre de la doctrine de l’État qui consiste à ne pas payer pour éviter de nourrir l’appétit d’attaquants toujours plus voraces et organisés. Dans son état actuel, et malgré des ambitions louables, la loi fait ainsi de la France une cible de choix pour les cybercriminels.
Le déchiffrement d’un ransomware : pas juste une mise à jour de Windows
Les groupes de pirates informatiques aiment se parer de listes de références afin de vanter la qualité de leurs services et de susciter la confiance. Celui qui paie récupère ses données. En pratique, l’entreprise reçoit ensuite une série de kits de déchiffrement. Certaines familles de ransomwares utilisent même une clé différente pour chaque machine chiffrée, en la liant à un identifiant comme l’adresse MAC d’un port Ethernet.
Les équipes informatiques doivent trouver les systèmes manuellement, distribuer les clés alors que les capacités de communication peuvent encore être entravées par l’incident, puis lancer le processus de déchiffrement. La base de données de gestion de la configuration, qui contient des informations détaillées sur les actifs informatiques, est souvent touchée, ce qui empêche de faire correspondre les clés aux machines et retarde d’autant le temps de récupération.
Les algorithmes de chiffrement utilisés par les attaquants sont souvent conçus pour la vitesse et non pour l’intégrité, car ils doivent encoder autant de données que possible le plus rapidement possible pour s’assurer que le plus grand nombre de machines soient touchées. Les conséquences sont dramatiques. Seulement 4% des entreprises qui ont payé des rançons ont réussi à récupérer toutes leurs données.
Pour toutes les autres entreprises, il s’agit d’espérer que les données récupérées sont les bonnes… Une véritable loterie, en définitive. Dans le pire des cas, toutes les données de recherche de l’entreprise peuvent être corrompues, alors que les vidéos de chats et les menus de Noël des employés sont parfaitement restaurés.
Une fois les systèmes récupérés, peut-on leur faire confiance ? Les vulnérabilités qui ont permis à l’attaquant d’entrer existent toujours. Les contrôles qui n’ont pas permis de protéger ou de détecter l’acteur de la menace présentent encore des lacunes qui pourraient permettre à un autre groupe de ransomware d’attaquer l’organisation. En fait, il y aura probablement des artefacts de l’attaque éparpillés non seulement dans les systèmes chiffrés, mais aussi dans toute l’entreprise. Le déchiffrement d’un ransomware à l’échelle de l’entreprise est une tâche monumentale qui ne se résume pas à effectuer une mise à jour de Windows.
Être prêt pour gérer la situation de crise
L’équipe dirigeante de l’entreprise doit se préoccuper personnellement d’éviter cette situation désespérée. L’essentiel est de planifier la crise et d’élaborer à l’avance des plans et des environnements d’urgence afin d’instaurer une culture et une capacité de cyber résilience. En collaboration avec leurs équipes informatiques, les dirigeants doivent mettre en place un ensemble d’outils dédiés aux situations d’urgence, établir un cahier des charges pour le fonctionnement de crise de l’ensemble de leur système informatique. Ils doivent aussi mettre en œuvre les outils et les procédures d’intervention et de récupération pour être en mesure de récupérer les données sans avoir à payer.