Faut-il rembourser les rançons des cryptolockers ?

Sommaire

En septembre 2022, le ministère de l’intérieur a présenté au Parlement français un projet de loi dit « d’orientation et de programmation du ministère de l’intérieur » (OPMI).

Ce texte est intéressant notamment pour son article 4 qui conditionnerait la couverture par des assurances d’une rançon payée par un assuré dans le cadre d’une attaque par cryptolocker, à un dépôt de plainte sous 48 heures.

Alors, rembourser les rançons, bonne idée ou fausse route ?

L’article 4, tel qu’enregistré par le Sénat¹ est ainsi rédigé :

Titre II Dispositions relatives à la révolution numérique du ministère

Chapitre I^er Lutte contre la cybercriminalité

Article 4

Au titre II du livre I^er du code des assurances, il est rajouté un chapitre X ainsi rédigé :

« Chapitre X

« L’assurance des risques de cyberattaques

« Art. L. 12-10-1. – Le versement d’une somme en application d’une clause assurantielle visant à couvrir le paiement d’une rançon par l’assuré dans le cadre d’une extorsion prévue à l’article 312-1 du code pénal, lorsqu’elle est commise au moyen d’une atteinte à un système de traitement automatisé de données prévue aux articles 323-1 à 323-3-1 du même code, est subordonné à la justification du dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard 48 heures après le paiement de cette rançon. »

L’ article 312-1 du code pénal prévoit et réprime le délit d’extorsion. Les articles 323-1 à 323-3-1 du code pénal prévoient et répriment les attaques contre des STAD (des applications).

De quoi parle-t-on ?

Si le concept de ransomware ou de cryptolocker ne vous évoque rien, alors je vous invite à consulter un de mes articles sur le sujet. Il aborde d’ailleurs en conclusion la question de payer ou non la rançon.

Pour le lecteur pressé mais néanmoins curieux, un cryptolocker est un virus qui chiffre les fichiers d’un ordinateur et réclame une rançon en échange de la clé de déchiffrement. En théorie, sans la clé, les fichiers sont définitivement perdus.

Le projet de loi du ministère vise à faciliter le paiement de la rançon pour récupérer la clé et favoriser « l’information des forces de sécurité et de l’autorité judiciaire ». En effet, le remboursement sera conditionné au dépôt d’une plainte.

Concrètement, une entreprise victime d’une telle attaque pourrait ainsi payer la rançon à son attaquant et (espérer) récupérer la clé de déchiffrement pour ses fichiers et reprendre une activité normale. Elle aurait ensuite 48 heures pour porter plainte. Le justificatif sera transmis avec le dossier de sinistre à sa cyber-assurance, qui pourra alors rembourser rubis sur l’ongle la rançon.

Les analyses d’impacts divergent

L’avis du ministère de l’Intérieur

Le ministère explique dans son analyse d’impact² que cette disposition n’aura que des effets positifs :

4.2 IMPACTS ÉCONOMIQUES ET FINANCIERS

4.2.1 Impacts macroéconomiques

La présente disposition vise à renforcer l’efficacité de l’action des services opérationnels de lutte cyber de l’Etat, des services d’investigations et de l’autorité judiciaire face à un phénomène qui gagne en importance et qui génèrent des frais très importants.

Une réponse plus rapide et plus efficace des services de l’Etat, informés plus tôt et plus systématiquement, permettra au global d’atténuer les coûts liés à cette criminalité, explicité au point 1.1 supra.

4.2.2 Impacts sur les entreprises

Les entreprises devront déposer plainte sous quarante-huit heures, ce qui peut les obliger à révéler qu’elles ont été victimes d’une cyber attaque, nuisant ainsi à leur réputation.

Les sociétés d’assurance concernées devront veiller à respecter cette obligation nouvelle, au risque sinon de se voir sanctionner par l’Autorité de contrôle prudentiel et de résolution, en application de l’article L. 612-1 du code monétaire et financier.

4.3 IMPACTS SUR LES SERVICES ADMINISTRATIFS

Les services de police et de gendarmerie, spécialisés en cyber menace, seront informés plus rapidement des attaques, ce qui facilitera leurs investigations.

4.4 IMPACTS SOCIAUX

Néant.

4.5 IMPACTS SUR LES PARTICULIERS

La présente disposition introduira une obligation de dépôt de plainte sous quarante-huit heures en cas de cyber attaque avec demande de rançon, pour pouvoir être couvert par son assurance.

Analyse d’impact du ministère de l’Intérieur

La Justice, saisie plus fréquemment et plus vite, pourra ainsi traiter plus efficacement ces dossiers et rattraper les attaquants.

C’est également un moyen de forcer la transparence des victimes, qui devront dévoiler l’attaque et l’impact sur les données. Cela intéressera particulièrement le grand public et la CNIL, lorsque (souvent) des données à caractère personnelles sont touchées. N’oublions pas en effet que le chiffrement des fichiers est souvent précédé d’une copie vers les serveurs de l’attaquant. L’objectif est de pouvoir toucher le gros lot dans tous les cas : soit la victime paye, soit l’attaquant vend les données volées.

Notons que le ministère de l’Intérieur considère qu’il est préférable de payer la rançon plutôt que de tenter de passer outre. C’est étonnant, car l’Agence Nationale de la Sécurité des Systèmes d’Information, l’ANSSI, préconise en revanche de ne jamais payer. Le ministère le rappelle d’ailleurs dans son analyse d’impact :

Si la posture des services compétents a toujours été de recommander le non-paiement des rançons, la dégradation rapide de la situation appelle à une action publique plus déterminée afin de s’assurer, que dans les cas où une rançon a été payée, les autorités compétentes disposent des informations nécessaires pour poursuivre les auteurs de l’infraction.

Analyse d’impact du ministère de l’Intérieur

La position historique de l’ANSSI

Et en effet, si l’ANSSI conseille de déposer plainte, elle conseille juste avant de ne pas payer la rançon³.

Son raisonnement est simple : payer la rançon n’est pas la garantie d’obtenir la clé, et surtout cela finance le groupe criminel. En établissant comme politique de payer la rançon, la France s’attacherait une cible dans le dos.

On peut imaginer que les attaquants expliquent à leurs victimes la démarche à suivre (payer, déposer plainte puis déclarer un sinistre) pour obtenir le dédommagement. Elles ne seraient ainsi plus que des passe-plats. Étonnant ? Peut-être, mais il ne faut pas oublier l’objectif final des attaquants : récupérer la rançon. Ils ont donc tout intérêt à simplifier autant que possible le processus de paiement. C’est ce que l’on constate : les principaux groupes ont des tutoriels, des SAV… à disposition de leurs victimes.

On pourrait apporter une toute petite objection ici : les attaquants se comportent de plus en plus comme des commerçants (le côté criminel en plus bien entendu) et soignent leur service à leurs clients d’infortune. Il n’est absolument pas dans l’intérêt d’un groupe criminel d’empocher la rançon mais ne pas libérer les fichiers ensuite. Leur réputation en pâtirait et les prochaines victimes ne payeraient tout simplement plus.

L’avis de la cyber-procureure

En avril 2021, le Sénat avait sollicité la vice-procureure Johanna Brousse en charge de la lutte contre la cybercriminalité⁴ lors d’une table ronde dédiée à la cybersécurité des acteurs économiques français.

Elle expliquait à ce moment-là plusieurs points qui me semblent importants :

[La France est devenue l’un des pays les plus attaqué] parce que nous payons trop facilement.

Johanna Brousse

Payer la rançon pénalise tous les autres, car les hackers s’en prendront plus facilement à notre tissu économique

Johanna Brousse

Elle souhaitait, déjà, « durcir le ton face au paiement des rançons » et déplorait que « les assureurs garantissaient le paiement des rançons ».

Présent à cette table ronde, le directeur général de l’ANSSI Guillaume Poupard enfonçait le clou :

Aujourd’hui on voit un jeu trouble de certains assureurs [qui choisissent de payer quelques millions en rançon plutôt que beaucoup plus en dommages].

Guillaume Poupard

Il rajoute que c’est néanmoins un comportement logique d’un point de vue économique, à titre individuel. Il précise, rappelant le dilemme du prisonnier, qu’individuellement il est toujours préférable de trahir mais que pour l’intérêt de la collectivité il faut faire face.

Une capacité à faire face souvent limitée

Et c’est bien là que réside probablement le cœur du problème. Ne pas payer la rançon, à titre individuel toujours, c’est faire une croix sur les fichiers verrouillés⁵ et devoir repartir de zéro.

Ce n’est pas toujours envisageable : il n’existe pas toujours de sauvegarde saine pas trop ancienne, lorsqu’elles existent elles ne sont pas toujours utilisables, lorsqu’elles le sont elles ne sont pas forcément mobilisables dans un délai compatible avec l’activité.

Une petite société qui perd définitivement sa comptabilité, ses propriétés intellectuelles, peut n’avoir d’autre choix que déposer le bilan. Dans ce cas, payer la rançon est perçu comme la seule bouée de sauvetage.

Un hôpital qui perd tous ses dossiers médicaux n’a pas forcément ni le temps ni les moyens de restaurer une sauvegarde. La perte de ses systèmes informatiques le conduit nécessairement à refuser beaucoup de patients, avec des conséquences parfois tragiques comme ce décès en Allemagne à cause d’une cyberattaque relaté dans un autre article.

La préparation prime l’action

Finalement, le meilleur moyen de ne pas hésiter à payer ou non une rançon est de ne pas se trouver dans cette situation d’une part et de se préparer à y faire face d’autre part.

Ainsi, la protection du système d’information et des données qu’il contient, à hauteur des enjeux, doit être une priorité. Cela passe par des mesures techniques et technologiques certes, mais aussi par la formation sans cesse renouvelée des personnels.

D’ailleurs, quand avez-vous testé de restaurer vos sauvegardes pour la dernière fois ?

Darmanin, Gérald, « projet de loi d’orientation et de programmation du ministère de l’intérieur », Sénat, 7 septembre 2022. http://www.senat.fr/leg/pjl21-876.html (consulté le 15 septembre 2022). ↩︎
Ministère de l’intérieur (France), « projet de loi d’orientation et de programmation du ministère de l’intérieur (étude d’impact) », Sénat, 7 septembre 2022. http://www.senat.fr/leg/etudes-impact/pjl21-876-ei/pjl21-876-ei.html (consulté le 15 septembre 2022). ↩︎
Agence Nationale de la Sécurité des Systèmes d’Information, « Rançongiciels : face à l’ampleur de la menace, l’ANSSI et le ministère de la Justice publient un guide pour sensibiliser les entreprises et les collectivités », ANSSI, 5 janvier 2022. https://www.ssi.gouv.fr/actualite/rancongiciels-face-a-lampleur-de-la-menace-lanssi-et-le-ministere-de-la-justice-publient-un-guide-pour-sensibiliser-les-entreprises-et-les-collectivites/" (consulté le 15 septembre 2022). ↩︎
Sénat. Table ronde sur « La cybersécurité des ETI-PME-TPE : la réponse des pouvoirs publics », (15 avril 2021). Consulté le: 16 septembre 2022. [En ligne Vidéo]. Disponible sur : https://videos.senat.fr/video.2251670_60761aa01efc4.table-ronde-sur--la-cybersecurite-des-eti-pme-tpe--la-reponse-des-pouvoirs-publics- ↩︎
Il faut toutefois apporter une précision importante : des décrypteurs sont disponibles gratuitement pour certaines souches de cryptolockers. ↩︎

Articles connexes

Cryptolockers: Too Big to Fail?

23 juin 2019·1166 mots·6 mins

Sécurité IT Baltimore Cryptolocker Ransomware Riviera Beach Sécurité IT

L’outil informatique est aujourd’hui devenu indispensable, et il est facile de l’imaginer comme définitivement acquis. Deux villes américaines ont tenté malgré elles l’expérience tout récemment. Riviera Beach, Floride et Baltimore, Maryland font chacune face à un cryptolocker, et ont décidé d’y faire face différemment.

Notifier ou ne pas notifier ?

20 novembre 2023·1219 mots·6 mins

Sécurité IT AlphV ANSSI Malware Notification SEC Sécurité IT

Où l’on reparle de la notification des incidents de sécurité, grâce à AlphV et la SEC.

Journée mondiale du chiffrement

23 octobre 2021·893 mots·5 mins

Sécurité IT Encryption End to End Global Encryption Day Sécurité IT Chiffrement

Make the switch! C’est avec ce slogan que la Global Encryption Coalition a organisé le 21 octobre 2021 la journée mondiale du chiffrement. Pourquoi est-ce important ?