L’équivalent de l’ANSSI au Royaume-Unis donne son avis sur le paiement d’une rançon 2.0

Payer le silence de pirates, qu’ils soient adeptes de ransomware ou non, est une hérésie. La France s’apprête à donner son feu vert à une idée simple : permettre aux assurances de rembourser les entreprises piratées et payeuses de rançon. Au Royaume-Unis, l’équivalent de l’ANSSI donne son avis sur ce type de paiement. God save the NCSC !

Depuis des années, j’explique que payer des pirates pour espérer leur silence est un peu comme espérer réaliser un bonhomme de neige dans le désert (hors Qatar !). Des voleurs, restent des voleurs. Les fichiers qu’ils ont exfiltrés, ont été stockés, triés. Dans de nombreux cas vécus par ZATAZ, les fichiers volés ont été vendus et/ou diffusés comme échantillons d’un savoir-faire malveillant.

Ne nous voilons pas la face, beaucoup d’entreprises paient. Je n’ai pas une semaine ou une entreprise (peu importe le pays francophone) ne me demande pas de l’aide pour payer une rançon. J’ai toujours la même réponse : NON ! En 2020, une étude affichait 3 paiements sur 10 rançonnages.

Les entreprises, souvent de petite et moyenne taille le font car, dans la majorité des cas, elles n’ont pas d’autres solutions pour continuer leurs activités. Pas de continuité de service. Pas de sauvegarde. Bref, je le vois avec le Service Veille ZATAZ et les commentaires entendus : pourquoi moi ? Je ne risque rien ! Il existe des services gratuits ! Je suis intouchable ? Mes données n’intéressent pas les pirates ! Je n’ai pas de données bancaires/santé.

Mais une fois que le diable est passé par là, la seule solution : payer.

Payer ne vous sauvera pas !

Je ne suis pas le seul à trouver cette solution inimaginable. Le grand patron de l’ANSSI française est le premier à le dire ; les autorités, comme la Gendarmerie Nationale, à l’écrire. Aux USA, le Département du Trésor menace d’amende ceux qui aident les sociétés à payer des preneurs d’otages (numériques ou non).

Au Royaume-Unis, le pendant de l’ANSSI, le NCSC (National Cyber Security Centre) n’y est pas allé par quatre chemins. Sa directrice générale, Lindy Cameron, vient de rappeler que « Les rançongiciels restent la plus grande menace en ligne pour le Royaume-Uni et nous n’encourageons ni ne tolérons le paiement des demandes de rançon aux organisations criminelles. » Une alerte et un message fort. En cause, une constatation dramatique : l’augmentation des paiements aux criminels.

Le patron de la CNIL locale (Information Commissioner’s Office), John Edwards, en a rajouté une couche « S’engager avec les cybercriminels et payer des rançons ne fait qu’encourager d’autres criminels et ne garantira pas que les dossiers compromis seront publiés. » Il rappelle que le fait de payer les pirates ne sauvera pas les entreprises des foudres de la Information Commissioner’s Office.

Double effet RGPD

Bref, rappelez-vous de ce que j’écrivais en 2015 et 2016, quand des pirates s’amusaient à me dire qu’ils attendaient le pied ferme le Règlement Général de la Protection des Données Personnelles. Les hackers malveillants avaient déjà en tête le double effet RGPD : vous payez les pirates ou vous payer la CNIL et les amendes ! Sans compter des exemples de paiements provenant de source aussi étonnante qu’improbable, comme ce policier, en 2016 ou cette mairie, en 2019. Sans parler du silence demandait aux entreprises, comme ce fût le cas révélé par une société hexagonale piratée. C’est en 2015 que j’ai inventé le terme « Marketing de la Malveillance ». Je le savais existant, c’est la première fois que des pirates l’affichaient aussi ouvertement avec une perspective à 3 ans !

Aux USA, le département du Trésor, via son service de contrôle des actifs étrangers (OFAC) s’attaque aux sociétés qui aident dans les transactions entre entreprises piratées et pirates : banques, sociétés de cryptomonnaie, assurances. « Une personne soumise à la juridiction américaine peut être tenue civilement responsable même si elle ne savait pas ou n’avait pas des raisons de savoir qu’elle s’engageait dans une transaction avec une personne qui est interdite par les lois et règlements de sanctions administrés par l’OFAC […] Elle considérera également que le rapport complet d’une entreprise sur une attaque de ransomware aux forces de l’ordre est également considéré comme un facteur atténuant significatif en cas de sanction ultérieure » (PDF).

Bref, à force de faire les trois petits singes (je ne vois rien, je ne dis rien, je n’entends rien), les pirates dansent sur nos têtes !

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.