Ransomware : les sénateurs français ont-ils voté la validation du 1er Bug Bounty malveillant !

Le Sénat vient d’adopter l’article 4 du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) : permettre aux entreprises de se faire rembourser, par leur assurance, une rançon payée à des pirates !

Ransomware, piratage du site web, attaque de type DDoS, … les actes malveillants à l’encontre des entreprises sont légion. 43% des PME avaient constaté, en 2020, un incident de cybersécurité. 16% de ces attaques ont menacé la survie de l’entreprise. En juin 2021, le Sénat, via Sébastien MEURANT et Rémi CARDON, au nom de la délégation aux entreprises, diffusaient un rapport sur « La cybersécurité des entreprises – Prévenir et guérir : quels remèdes contre les cybers virus ? » Une première pierre dans cette tentative de nouvelle muraille antipirates à la française.

Dans cet écrit, les Sénateurs reprenaient les propos de l’assureur Allianz « Ce risque [cyber] était classé au premier rang des risques d’entreprise identifié pour 2020″. Le rapport indiquait « Les chiffres de la cybersécurité sont à prendre avec précaution, toutes les entreprises ne déclarant pas aux autorités judiciaires les préjudices dont elles ont été victimes. »

Le 7 septembre 2022, la direction générale du Trésor français validait l’idée de l’assurabilité des cyber-rançons. La direction avait été aidée dans son étude par Le Haut Comité Juridique de la Place Financière de Paris.

Que dit cet article 4 ?

Une entreprise prise en otage, et qui va payer cette cyber attaque (infiltration, exfiltration, menace de diffusion, diffusion d’extraits), pourra demander à son assureur de prendre en charge la rançon. Mais attention, plusieurs critères vont être à prendre en compte : l’entreprise va souscrire une assurance cyber (ce qui devrait déjà être fait) ; mettre toutes les sécurités possibles pour éviter le rançonnage (équipes, matos, cyber veille zataz 😉 ) ; déposer plainte dans les 24 heures suivant l’attaque (plus dans les 48h comme le précisait le premier jet de l’A4). Le Ministre de l’Intérieur, Gérald Darmanin, indique : « On ne peut assurer les entreprises que si elles déposent plainte » rapporte Public Senat.

Les assurances proposent déjà, depuis des années, des produits couvrant le risque cyber. Des garanties permettent le remboursement du paiement d’une rançon (plafond et paiement d’une franchise). Les assurances préfèrent rembourser 400 000€ d’une rançon, que de payer la remise en place du système impacté (récupération des données, etc.). En France, Axa a suspendu son offre « ransomware » dans l’attente d’une réglementation claire et précise sur le sujet. Cette harmonisation sénatoriale donne un signal fort aux assureurs. Même ceux ayant refusé ce type de « produit », comme Generali.

La Fédération Française de l’Assurance (FFA) indiquait, il y a un an, que le paiement des rançons ne constituait pas une infraction. Il fallait que cette rançon ne soit pas utilisée, ensuite, dans le financement du terrorisme ou le blanchiment d’argent (Article L.324-1 et L.421-2-2 du Code Pénal). Petite question de votre serviteur : on ne cesse d’entendre dire que, par exemple, LockBit 3.0 est Russe. Donc l’argent de LockBit 3.0 peut servir à l’effort de Guerre de Poutine. Action illégale, sanctionnée par l’Europe et les Etats-Unis. Donc payer Lockbit 3.0 est illégal !

Le rapport d’information du Sénat de 2021 rappelait que l’ANSSI (l’agence nationale de la sécurité des systèmes d’information) conseillait « de ne jamais payer la rançon […] Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. » ZATAZ ne cesse de vous montrer que les données sont mis à disposition par les pirates. Dans certains cas, avant même que les entreprises soient au courant ! « Nous ne changeons pas de doctrine, indique le Ministère de l’Intérieur. Il ne faut évidemment pas payer les rançons. Mais les assurances existent pour payer une rançon. »

Bref, les sénateurs ont validé le 1er Bug Bounty malveillant officialisé par un gouvernement. Il va permettre, si les Députés le votent à leur tour, aux pirates de la planète de s’orienter vers l’Hexagone. Fait avéré, comme j’ai pu vu le démontrer, début septembre.

Cet article 4 va permettre aux entreprises de mettre sous le tapis le fait qu’elles se sont fait voler des milliers, quand ce ne sont pas des centaines de milliers, de données personnelles. Nous ne savons pas, par exemple, combien d’entreprises impactées par un ransomware, avec fuite de données d’Européens, de Français, ont alerté les CNIL des pays concernées. Prenons un exemple. Au Canada, plusieurs écoles ont été impactées. Des données d’étudiants français ont été exfiltrés, puis diffusés par les pirates ! Vous en avez entendu parlé ?

Si une demande de rançon a été faite par les pirates, c’est qu’il y a eu vol de données ! Quid des demandes de rançon pour faire stopper un DDoS à l’encontre des serveurs d’une société ? Bref, les pirates jouent sur le levier de la réputation des entreprises attaquées ! Garder le silence et tout ira bien ! Vraiment ?

Les primes d’assurances vont « exploser » ?

Les sénateurs et sénatrices français ont validé la clause contractuelle obligatoire qui impose le dépôt de plainte. Un vote qui tente de contrer le problème d’absence de normes de sécurités imposées aux entreprises, comme cela peut-être le cas pour les dégâts des eaux, le vol, l’incendie, etc.

Le point positif, nos autorités auront peut-être enfin des chiffres plus complets sur le nombre d’attaques aboutissant au paiement d’une rançon. Espérons que dans la plainte sera imposé les preuves des données exfiltrées ayant abouti au versement d’une rançon. La plainte va imposer une alerte auprès des publics concernés par la fuite : personnels, clients, usagers, patients, partenaires. Le Centre Hospitalier de Corbeil-Essonnes a alerté 700 000 personnes, ces derniers jours. Elles sont potentiellement dans les mains de pirates !

En septembre 2022, ZATAZ a repéré 255 cybers attaques de type ransomware finissant par une demande de rançon. 42 entreprises ont payé !

Le 14 octobre 2022, comme je vous le montrais sur Twitch, dans la ZATAZ émission, chaque soir à 19h, 182 cybers attaques ont été repérées par le Service Veille ZATAZ. 12 semblent avoir été payées : les menaces ont disparu des Telegram, Onion, autres lieux pirates.

Selon le FBI, le montant moyen des demandes de rançon de groupes, tel que NetWalker, était de 481 000 $ US. Le paiement moyen, après négociations, était d’environ 196 000 $ US. Certaines victimes Canadiennes ont payé jusqu’à trois millions de dollars américains. Découvrez l’audition en vidéo du pirate Québécois, membre du groupe Netwalker, Sébastien Vachon-Desjardins, arrêté en 2021 et condamné, début octobre à plus de 20 ans de prison fédérale aux USA.

Il explique comment son équipe était capable d’infiltrer un réseau en 6/8 heures ; de vider des serveurs en 2/3 heures ; de lancer la cyberattaque après des jours de veille ; des cybers attaques exécutées entre 23 heures et 6 heures du matin. Ici Radio Canada revient sur son histoire qui lui aurait rapporté des centaines de milliers de dollars.

Aux USA, l’OFAC (Office of Foreign Assets Control) a indiqué réfléchir à une possible sanction contre les entreprises participant au paiement de rançons issues d’une menace par ransomware. A l’époque, nous étions alors en octobre 2021, l’OFAC affichaient des sanctions possibles à l’encontre des entreprises publiques et privées ayant payé la rançon, ainsi que les sociétés ayant permis le paiement (cybersécurité, négociateurs, etc.), comme les assurances. Un acteur qui pourrait être tenu civilement responsable.

La proposition française risque de motiver d’autres pays, comme le Canada. Pour exemple, il n’existe aucune loi chez les cousins du Grand Nord encadrant le paiement de rançons. Depuis le 22 septembre 2022, la Commission d’accès à l’information du Québec (La CNIL locale) a mis en place la loi 25. Elle oblige les entreprises publiques et privées à déclarer toute fuite de données personnelles. Une motivation, par le remboursement, va-t-elle voir le jour ? Je parierai bien mon poids en poutine ! D’autant que cette loi va permettre d’harmoniser la question en Europe, puis ailleurs, comme aux USA. Proposée l’adoption d’un Règlement européen en la matière ou d’un amendement à la convention de Budapest de 2001 va permettre de l’appliquer, aussi, aux États-Unis. Une réponse commune à la cybercriminalité via un Bug Bounty malveillant officiel !

Des questions se posent !

Si l’idée de permettre aux autorités (Judiciaires, renseignements, CNIL, ANSSI, etc.) d’être informées semble une très bonne idée, le reste de cet article 4 fait me poser des dizaines de questions. Qui va payer ? Un intermédiaire ? L’entreprise ? Jusqu’à quel montant ? L’entreprise pourra faire appel à des négociateurs qui vont pouvoir être payés pour agir auprès des pirates ? Qui va contrôler ses négociateurs ? En expliquant aux pirates que maintenant, les entreprises vont pouvoir se faire rembourser, pensez-vous vraiment qu’ils ne vont pas augmenter les « tarifs » de prise d’otage ? Vous pensez vraiment que les pirates vont effacer les fichiers ? Vous oublier ? Ne pas revenir ? Une plainte dans les 24 heures, quid des cybers attaque lancées le samedi ?

Bref, nous verrons dans un futur proche si cet article 4 sera bénéfique pour les citoyens et les entreprises !