Attaques par rançongiciels : faut-il payer ou non ?
Cette année a été marquée par une recrudescence des attaques par rançongiciels comme Ryuk ou Robinhood frappant des entreprises privées et publiques. Bien souvent en sous-effectif et en manque de ressources, elles sont confrontées à un dilemme cornélien : faut-il payer ou non ? Un choix impliquant des enjeux techniques, éthiques, juridiques, sécuritaires et, bien évidemment, financiers.
Est-il illégal de payer une demande de rançon pour faire cesser une attaque informatique de type ransomware ?
Aussi étrange que cela puisse paraître, il n’y a rien d’illégal à verser la
rançon demandée par un ransomware,
même si le chiffrement des données d’un tiers sans son consentement et la
demande de rançon constituent des infractions pénales. On pourrait soutenir que
le meilleur moyen de mettre un frein à cette épidémie d’attaques par
rançongiciels serait d’interdire aux entreprises de payer les rançons exigées.
Il va sans dire que si cette technique de rémunération était tout simplement
encadrée au plan législatif, les cybercriminels, qui s’intéressent uniquement
aux profits, se tourneraient sans doute vers d’autres activités plus lucratives.
Interdire le paiement des rançons exigées dans le cadre d’attaques de type ransomware
est un principe qui peut paraître intéressant à première vue, mais le problème,
c’est sa mise en pratique. Les sociétés cotées en Bourse ont des obligations
juridiques vis-à-vis de leurs actionnaires, tout comme les entreprises du
service public. Une loi qui condamnerait des entreprises à des amendes, voire à
des peines d’emprisonnement du personnel, serait extrêmement contestable et sans
doute difficile à mettre en application.
Est-il prudent de payer une demande de rançon ?
Même si nous maîtrisons un tant soit peu les tenants et aboutissants
juridiques, cette question « Faut-il payer ou non ?» soulève d’autres
problématiques. Car une pression réelle et tangible est exercée, poussant l’entreprise
ou le service public à effectuer un choix qui pourrait lui faire économiser plusieurs
millions d’euros, ou lui épargner l’indisponibilité d’un service essentiel pendant
plusieurs semaines.
Pour autant, rien ne dit que les cybercriminels respecteront leur part du
marché, et ce facteur est à prendre en compte dans toute décision. Dans
certains cas, il n’existe même pas de clés de déchiffrement, ou les auteurs de
rançongiciels ne donnent plus signe de vie une fois la rançon versée. C’est d’ailleurs
ce qui s’est plus ou moins produit avec WannaCry. Dans la panique
provoquée par la propagation de ce virus, si certaines victimes ont effectivement
reçu des clés de déchiffrement en échange des fonds versés, pour un grand
nombre d’entre elles, soit elles n’ont plus jamais entendu parler de leurs
preneurs d’otages, soit les paires de clés entre la victime et le serveur
étaient incompatibles, rendant impossible le décryptage par l'utilisateur.
Autre élément de réflexion : il s’agit de déterminer dans quelle
mesure le fait de se plier aux exigences des cybercriminels pénalisera ou non
une entreprise, au-delà de l’attaque en question. Le versement de la rançon
demandée nuira-t-il à sa réputation ? D’autres hackers – voire les mêmes – la
considéreront-ils désormais comme une cible facile et chercheront-ils à
réitérer leurs attaques ? De nouvelles attaques seront-elles dirigées
contre des entreprises ou services publics ayant un lien professionnel avec la
victime ? En d’autres termes, céder au chantage génèrera-t-il à long terme
des effets encore plus préjudiciables que les conséquences immédiates auxquelles
cette action est censée remédier ?
Pas de paiement et alors ?
Si une entreprise décide de ne pas payer la rançon, elle se retrouve alors avec
la totalité de ses fichiers cryptés. En fonction du type d’infection par ransomware,
il est possible qu’un décrypteur existe déjà pour la souche en question ; il
est beaucoup moins probable, mais pas impossible, qu’une équipe d’experts en
analyse trouve le moyen de décrypter les fichiers. Quantité de rançongiciels sont
mal programmés et mal mis en œuvre, et parfois les données ne sont pas
entièrement perdues comme cela peut en donner l’impression au premier abord. Ce
sont les points à prendre en compte pour évaluer la ligne de conduite à tenir
face à une attaque par rançongiciel.
Il faut également se demander si toutes les formules de sauvegarde et de restauration possibles ont été passées en revue. L’exemple du géant danois du transport maritime et de la logistique Maersk, ciblé par l’attaque NotPetya, souligne à quel point il est important d’être capable de restaurer rapidement l’ensemble de son infrastructure à partir d’une sauvegarde. Le plus édifiant pour Maersk (et pour l’ensemble de l’industrie), c’est qu’il doit sa reprise d’activité à un heureux hasard : le seul contrôleur de domaine épargné par l’attaque, avait été touché par une panne de courant sur le réseau local où il était installé. Sans cette coïncidence fortuite, il lui aurait fallu bien plus longtemps pour rebâtir intégralement son infrastructure après la destruction simultanée de 50 000 équipements et de plusieurs milliers d’applications.
Si certains soulignent la prouesse réalisée en termes de sauvegarde, d’autres rappellent que cet incident coûtait encore plus d’un demi-milliard de dollars à Maersk six mois après les faits. Si les outils de sauvegarde et de restauration sont essentiels, ils ne peuvent en aucun cas, servir de fondement à une stratégie visant à éradiquer des attaques par rançongiciels.
En revanche, si une entreprise n’a pas de sauvegardes, ni de logiciels de
reprise d’activité, elle devra se débrouiller seule et reconstruire ses données,
ses services et peut-être même sa réputation, en partant de rien. Dans ce genre
de scénario, il est conseillé de jouer la carte de la transparence, d’admettre ses
négligences, d’en tirer les bonnes leçons, et de garder la tête haute en refusant
de rémunérer des actes délictueux.
Que se passera-t’il en cas de paiement?
Il y a peut-être plus d’incertitude à payer que le contraire. En effet, lorsqu’une entreprise choisit de ne pas répondre à une demande de rançon, elle garde la mainmise sur la suite des événements. Alors qu’en remettant au cybercriminel la somme exigée, quel que soit son montant, l’entreprise dépend de son bon vouloir jusqu’à ce qu’il lui fournisse une clé de déchiffrement exploitable.
Certaines tactiques — comme demander une « preuve de vie » pour
décrypter une partie de l’environnement avant le paiement, ou négocier les conditions
de paiement (50 % immédiatement et 50 % une fois l’environnement
décrypté, par exemple) — peuvent parfois fonctionner.
Les rançons, dans leur grande majorité, sont versées en bitcoins, autrement
dit dans une crypto-monnaie loin d’être anonyme ou intraçable. Il est judicieux
de porter plainte auprès des forces de l’ordre et de leur communiquer les
références du portefeuille et tous les détails du paiement. Les autorités
répressives à l’échelon international se chargeront de tracer les transferts de
fonds pour remonter jusqu’à leurs bénéficiaires.
Mais quelle est la marche à suivre alors ?
Une entreprise sensée comprendra qu’il est urgent d’investir afin
d’identifier non seulement le vecteur de cette attaque, mais aussi toutes les
autres vulnérabilités, et de déployer une solution de cybersécurité très
complète capable de bloquer les futures attaques par rançongiciels. Compte tenu
de l’ensemble des coûts à supporter, que la rançon soit acquittée ou non, il
est certes tentant de préférer la solution de facilité à une gestion rigoureuse
du problème, au risque de laisser des failles qui pourraient être exploitées
par d’autres hackers à l’avenir. Il s’agit de trouver un juste équilibre entre
une nécessaire reprise rapide de l’activité et les multiples risques
encourus :
1. Les portes dérobées laissées sur les systèmes par les assaillants à l’insu des utilisateurs
2. La récupération partielle des données (sachant que sur certains systèmes, aucune restauration ne sera possible)
3.
La non-récupération
des données après le paiement (dans certains cas, rares il est vrai, la clé de
décryptage fournie ne sert absolument à rien ; pire, il arrive qu’elle ne
soit même jamais envoyée)
Enfin, il convient de noter que certaines entreprises, qui ont été victimes
plusieurs fois de suite des mêmes acteurs, n’ont probablement été ciblées
qu’une seule fois en réalité, mais des charges utiles de déchiffrement ont sans
doute été déclenchées par vagues. L’expérience est un remarquable atout dans ce
genre de scénarios, et le fait de « connaître l’ennemi » peut faire
toute la différence.
En conclusion, quelle que soit l’option retenue — payer ou non —, il est incontournable de prévenir les autorités répressives compétentes.