L’équivalent de l’ANSSI au Royaume-Unis donne son avis sur le paiement d’une rançon 2.0

Payer le silence de pirates, qu’ils soient adeptes de ransomware ou non, est une hérésie. La France s’apprête à donner son feu vert à une idée simple : permettre aux assurances de rembourser les entreprises piratées et payeuses de rançon. Au Royaume-Unis, l’équivalent de l’ANSSI donne son avis sur ce type de paiement. God save the NCSC !

Depuis des années, j’explique que payer des pirates pour espérer leur silence est un peu comme espérer réaliser un bonhomme de neige dans le désert (hors Qatar !). Des voleurs, restent des voleurs. Les fichiers qu’ils ont exfiltrés, ont été stockés, triés. Dans de nombreux cas vécus par ZATAZ, les fichiers volés ont été vendus et/ou diffusés comme échantillons d’un savoir-faire malveillant.

Ne nous voilons pas la face, beaucoup d’entreprises paient. Je n’ai pas une semaine ou une entreprise (peu importe le pays francophone) ne me demande pas de l’aide pour payer une rançon. J’ai toujours la même réponse : NON ! En 2020, une étude affichait 3 paiements sur 10 rançonnages.

Les entreprises, souvent de petite et moyenne taille le font car, dans la majorité des cas, elles n’ont pas d’autres solutions pour continuer leurs activités. Pas de continuité de service. Pas de sauvegarde. Bref, je le vois avec le Service Veille ZATAZ et les commentaires entendus : pourquoi moi ? Je ne risque rien ! Il existe des services gratuits ! Je suis intouchable ? Mes données n’intéressent pas les pirates ! Je n’ai pas de données bancaires/santé.

Mais une fois que le diable est passé par là, la seule solution : payer.

Payer ne vous sauvera pas !

Je ne suis pas le seul à trouver cette solution inimaginable. Le grand patron de l’ANSSI française est le premier à le dire ; les autorités, comme la Gendarmerie Nationale, à l’écrire. Aux USA, le Département du Trésor menace d’amende ceux qui aident les sociétés à payer des preneurs d’otages (numériques ou non).

Au Royaume-Unis, le pendant de l’ANSSI, le NCSC (National Cyber Security Centre) n’y est pas allé par quatre chemins. Sa directrice générale, Lindy Cameron, vient de rappeler que « Les rançongiciels restent la plus grande menace en ligne pour le Royaume-Uni et nous n’encourageons ni ne tolérons le paiement des demandes de rançon aux organisations criminelles. » Une alerte et un message fort. En cause, une constatation dramatique : l’augmentation des paiements aux criminels.

Le patron de la CNIL locale (Information Commissioner’s Office), John Edwards, en a rajouté une couche « S’engager avec les cybercriminels et payer des rançons ne fait qu’encourager d’autres criminels et ne garantira pas que les dossiers compromis seront publiés. » Il rappelle que le fait de payer les pirates ne sauvera pas les entreprises des foudres de la Information Commissioner’s Office.

Double effet RGPD

Bref, rappelez-vous de ce que j’écrivais en 2015 et 2016, quand des pirates s’amusaient à me dire qu’ils attendaient le pied ferme le Règlement Général de la Protection des Données Personnelles. Les hackers malveillants avaient déjà en tête le double effet RGPD : vous payez les pirates ou vous payer la CNIL et les amendes ! Sans compter des exemples de paiements provenant de source aussi étonnante qu’improbable, comme ce policier, en 2016 ou cette mairie, en 2019. Sans parler du silence demandait aux entreprises, comme ce fût le cas révélé par une société hexagonale piratée. C’est en 2015 que j’ai inventé le terme « Marketing de la Malveillance ». Je le savais existant, c’est la première fois que des pirates l’affichaient aussi ouvertement avec une perspective à 3 ans !

Aux USA, le département du Trésor, via son service de contrôle des actifs étrangers (OFAC) s’attaque aux sociétés qui aident dans les transactions entre entreprises piratées et pirates : banques, sociétés de cryptomonnaie, assurances. « Une personne soumise à la juridiction américaine peut être tenue civilement responsable même si elle ne savait pas ou n’avait pas des raisons de savoir qu’elle s’engageait dans une transaction avec une personne qui est interdite par les lois et règlements de sanctions administrés par l’OFAC […] Elle considérera également que le rapport complet d’une entreprise sur une attaque de ransomware aux forces de l’ordre est également considéré comme un facteur atténuant significatif en cas de sanction ultérieure » (PDF).

Bref, à force de faire les trois petits singes (je ne vois rien, je ne dis rien, je n’entends rien), les pirates dansent sur nos têtes !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.