Attaques par rançongiciels : faut-il payer ou non ?

Cette année a été marquée par une recrudescence des attaques par rançongiciels comme Ryuk ou Robinhood frappant des entreprises privées et publiques. Bien souvent en sous-effectif et en manque de ressources, elles sont confrontées à un dilemme cornélien : faut-il payer ou non ? Un choix impliquant des enjeux techniques, éthiques, juridiques, sécuritaires et, bien évidemment, financiers.

Est-il illégal de payer une demande de rançon pour faire cesser une attaque informatique de type ransomware ?  

Aussi étrange que cela puisse paraître, il n’y a rien d’illégal à verser la rançon demandée par un ransomware, même si le chiffrement des données d’un tiers sans son consentement et la demande de rançon constituent des infractions pénales. On pourrait soutenir que le meilleur moyen de mettre un frein à cette épidémie d’attaques par rançongiciels serait d’interdire aux entreprises de payer les rançons exigées. Il va sans dire que si cette technique de rémunération était tout simplement encadrée au plan législatif, les cybercriminels, qui s’intéressent uniquement aux profits, se tourneraient sans doute vers d’autres activités plus lucratives.

Interdire le paiement des rançons exigées dans le cadre d’attaques de type ransomware est un principe qui peut paraître intéressant à première vue, mais le problème, c’est sa mise en pratique. Les sociétés cotées en Bourse ont des obligations juridiques vis-à-vis de leurs actionnaires, tout comme les entreprises du service public. Une loi qui condamnerait des entreprises à des amendes, voire à des peines d’emprisonnement du personnel, serait extrêmement contestable et sans doute difficile à mettre en application.

Est-il prudent de payer une demande de rançon  ?

Même si nous maîtrisons un tant soit peu les tenants et aboutissants juridiques, cette question « Faut-il payer ou non ?» soulève d’autres problématiques. Car une pression réelle et tangible est exercée, poussant l’entreprise ou le service public à effectuer un choix qui pourrait lui faire économiser plusieurs millions d’euros, ou lui épargner l’indisponibilité d’un service essentiel pendant plusieurs semaines.

Pour autant, rien ne dit que les cybercriminels respecteront leur part du marché, et ce facteur est à prendre en compte dans toute décision. Dans certains cas, il n’existe même pas de clés de déchiffrement, ou les auteurs de rançongiciels ne donnent plus signe de vie une fois la rançon versée. C’est d’ailleurs ce qui s’est plus ou moins produit avec WannaCry. Dans la panique provoquée par la propagation de ce virus, si certaines victimes ont effectivement reçu des clés de déchiffrement en échange des fonds versés, pour un grand nombre d’entre elles, soit elles n’ont plus jamais entendu parler de leurs preneurs d’otages, soit les paires de clés entre la victime et le serveur étaient incompatibles, rendant impossible le décryptage par l'utilisateur.

Autre élément de réflexion : il s’agit de déterminer dans quelle mesure le fait de se plier aux exigences des cybercriminels pénalisera ou non une entreprise, au-delà de l’attaque en question. Le versement de la rançon demandée nuira-t-il à sa réputation ? D’autres hackers – voire les mêmes – la considéreront-ils désormais comme une cible facile et chercheront-ils à réitérer leurs attaques ? De nouvelles attaques seront-elles dirigées contre des entreprises ou services publics ayant un lien professionnel avec la victime ? En d’autres termes, céder au chantage génèrera-t-il à long terme des effets encore plus préjudiciables que les conséquences immédiates auxquelles cette action est censée remédier ? 

Pas de paiement et alors ?

Si une entreprise décide de ne pas payer la rançon, elle se retrouve alors avec la totalité de ses fichiers cryptés. En fonction du type d’infection par ransomware, il est possible qu’un décrypteur existe déjà pour la souche en question ; il est beaucoup moins probable, mais pas impossible, qu’une équipe d’experts en analyse trouve le moyen de décrypter les fichiers. Quantité de rançongiciels sont mal programmés et mal mis en œuvre, et parfois les données ne sont pas entièrement perdues comme cela peut en donner l’impression au premier abord. Ce sont les points à prendre en compte pour évaluer la ligne de conduite à tenir face à une attaque par rançongiciel.

Il faut également se demander si toutes les formules de sauvegarde et de restauration possibles ont été passées en revue. L’exemple du géant danois du transport maritime et de la logistique Maersk, ciblé par l’attaque NotPetya, souligne à quel point il est important d’être capable de restaurer rapidement l’ensemble de son infrastructure à partir d’une sauvegarde. Le plus édifiant pour Maersk (et pour l’ensemble de l’industrie), c’est qu’il doit sa reprise d’activité à un heureux hasard : le seul contrôleur de domaine épargné par l’attaque, avait été touché par une panne de courant sur le réseau local où il était installé. Sans cette coïncidence fortuite, il lui aurait fallu bien plus longtemps pour rebâtir intégralement son infrastructure après la destruction simultanée de 50 000 équipements et de plusieurs milliers d’applications. 

Si certains soulignent la prouesse réalisée en termes de sauvegarde, d’autres rappellent que cet incident coûtait encore plus d’un demi-milliard de dollars à Maersk six mois après les faits. Si les outils de sauvegarde et de restauration sont essentiels, ils ne peuvent en aucun cas, servir de fondement à une stratégie visant à éradiquer des attaques par rançongiciels.

En revanche, si une entreprise n’a pas de sauvegardes, ni de logiciels de reprise d’activité, elle devra se débrouiller seule et reconstruire ses données, ses services et peut-être même sa réputation, en partant de rien. Dans ce genre de scénario, il est conseillé de jouer la carte de la transparence, d’admettre ses négligences, d’en tirer les bonnes leçons, et de garder la tête haute en refusant de rémunérer des actes délictueux. 

Que se passera-t’il en cas de paiement?

Il y a peut-être plus d’incertitude à payer que le contraire. En effet, lorsqu’une entreprise choisit de ne pas répondre à une demande de rançon, elle garde la mainmise sur la suite des événements. Alors qu’en remettant au cybercriminel la somme exigée, quel que soit son montant, l’entreprise dépend de son bon vouloir jusqu’à ce qu’il lui fournisse une clé de déchiffrement exploitable. 

Certaines tactiques — comme demander une « preuve de vie » pour décrypter une partie de l’environnement avant le paiement, ou négocier les conditions de paiement (50 % immédiatement et 50 % une fois l’environnement décrypté, par exemple) — peuvent parfois fonctionner.

Les rançons, dans leur grande majorité, sont versées en bitcoins, autrement dit dans une crypto-monnaie loin d’être anonyme ou intraçable. Il est judicieux de porter plainte auprès des forces de l’ordre et de leur communiquer les références du portefeuille et tous les détails du paiement. Les autorités répressives à l’échelon international se chargeront de tracer les transferts de fonds pour remonter jusqu’à leurs bénéficiaires.

Mais quelle est la marche à suivre alors ?

Une entreprise sensée comprendra qu’il est urgent d’investir afin d’identifier non seulement le vecteur de cette attaque, mais aussi toutes les autres vulnérabilités, et de déployer une solution de cybersécurité très complète capable de bloquer les futures attaques par rançongiciels. Compte tenu de l’ensemble des coûts à supporter, que la rançon soit acquittée ou non, il est certes tentant de préférer la solution de facilité à une gestion rigoureuse du problème, au risque de laisser des failles qui pourraient être exploitées par d’autres hackers à l’avenir. Il s’agit de trouver un juste équilibre entre une nécessaire reprise rapide de l’activité et les multiples risques encourus :

1.      Les portes dérobées laissées sur les systèmes par les assaillants à l’insu des utilisateurs

2.      La récupération partielle des données (sachant que sur certains systèmes, aucune restauration ne sera possible)

3.      La non-récupération des données après le paiement (dans certains cas, rares il est vrai, la clé de décryptage fournie ne sert absolument à rien ; pire, il arrive qu’elle ne soit même jamais envoyée)

Enfin, il convient de noter que certaines entreprises, qui ont été victimes plusieurs fois de suite des mêmes acteurs, n’ont probablement été ciblées qu’une seule fois en réalité, mais des charges utiles de déchiffrement ont sans doute été déclenchées par vagues. L’expérience est un remarquable atout dans ce genre de scénarios, et le fait de « connaître l’ennemi » peut faire toute la différence.

En conclusion, quelle que soit l’option retenue — payer ou non —, il est incontournable de prévenir les autorités répressives compétentes.