Les attaques aux rançongiciels explosent. Rien qu’en France, elle sont passées de 54 en 2019 à 192 en 2020, selon le dernier rapport annuel de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Avec un effet pervers bien connu : ceux qui paient les rançons réclamées dans l’espoir d’obtenir la clé de déchiffrement de leurs données entretiennent le système, finançant les attaquants et leur donnant plus de motivation.
Malgré les appels répétés à ne pas payer, le business est bien juteux. Aux Etats-Unis, le pétrolier Colonial Pipeline, obligé de cesser son activité suite à une attaque informatique, a reconnu avoir payé près de 4,5 millions de dollars aux pirates. Une goutte d’eau dans l’océan : les analystes de Bitcoin Elliptic, qui ont épluché les archives de Bitcoin, estiment qu’à lui seul, le groupe organisé DarkSide a récupéré 90 millions de dollars de rançons auprès d’environ 47 victimes en mois d’un an, écrit la BBC.
D’où une solution que l’on pourrait qualifier de miracle : que les Etats interdisent purement et simplement le paiement des rançons. « A partir du moment où le phénomène des cyberattaques est global et peut toucher tous les pays, où ceux qui paient davantage les rançons vont tout simplement être l’objet de plus d’attaques, la question se pose d’arrêter les frais et d’interdire le paiement des rançons », résume, dans une émission de Cybernews François Coupez, avocat chez Implid Legal.
Le risque d'un ciblage des acteurs critiques
Infliger une double peine aux payeurs de rançons apparaît de prime abord comme d’une efficacité redoutable pour stopper l’explosion des attaques aux rançongiciels. Sauf qu’en plus d’être moralement discutable, cette solution pourrait tout simplement ne pas fonctionner. Le principal risque est que les cyberattaques avec paiement de rançon ne s’arrêtent pas, mais se concentrent sur les acteurs les plus critiques – comme les hôpitaux, les fournisseurs d’énergie ou les écoles – susceptibles de payer malgré tout. Une interdiction de paiement pourrait donc « créer des dommages économiques et sociétaux importants », soulignait auprès de la BBC Jen Ellis, membre de la coalition mondiale de cyber-experts Ransomware Task Force (RTF).
« Interdire manu militari le paiement des rançons, ça ne marcherait pas car parfois on a besoin de payer pour la survie de l’entreprise ou l’organisation touchée, reconnaissait de son côté Gérôme Billois, associé chez Wavestone, toujours sur Cybernews. Il faut donc se laisser la capacité de payer mais complexifier ce paiement et ajouter des garde-fous. » Pour François Coupez, ces derniers pourraient être « une obligation de notification de l’Etat, et donc des forces de l’ordre, du fait qu’une rançon va être payée pour aider à tracer les paiements, essayer de récupérer l’argent et surtout de remonter les filières. » Une solution moins radicale mais plus réaliste.
