tribune

Éradiquer le fléau des ransomware en interdisant le paiement des rançons?

L’actualité récente a encore été riche en cyberattaques de type " ransomware ". L’interdiction de payer les rançons pourrait-elle régler le problème ?

Les serveurs de votre entreprise refusent soudainement de fonctionner. Toutes les données (y compris vos sauvegardes) sont chiffrées et personne ne peut y accéder. C’est l’arrêt total de l’activité. Le diagnostic tombe rapidement : il s’agit d’un rançongiciel (ransomware). Les pirates vous réclament des cryptos en échange d’un moyen qui vous permettra d'accéder à nouveau à vos données. En outre, les pirates menacent de commencer à divulguer vos données si vous ne payez pas (rapidement) la rançon.

Il ne s’agit pas d’une intrigue fictive tirée d’un thriller hollywoodien. C’est la réalité de nombreux de nos clients. Les attaques par rançongiciel sont devenues un véritable fléau ces derniers temps.

Frapper les pirates là où ça fait mal?

Certains affirment que le paiement d’une rançon devrait être interdit (lire : rendu illégal). Leur argument : frapper les pirates là où ça fait mal. Si vous ne permettez pas aux pirates d’être payés, vous leur enlevez leur principale motivation. Mais dans quelle mesure cela est-il vraiment réalisable? Et surtout, cette interdiction permettra-t-elle de mettre fin au fléau des rançongiciels? Permettez-nous d’en douter.

Si le paiement d’une rançon devenait illégal, cela entraînerait des «paiements secrets» et les victimes seraient moins enclines à signaler l’attaque à la police.

Tout d’abord, une telle interdiction pourrait inciter les pirates à se concentrer davantage sur les victimes soumises à une telle pression que le paiement est la seule issue possible. Pensez à un hôpital qui est complètement paralysé. Il en va de même pour certaines PME. Est-ce pour autant une raison de pénaliser les dirigeants d’hôpitaux pour avoir payé des criminels afin de sauver des vies?  

Si le paiement d’une rançon devenait illégal, cela entraînerait des «paiements secrets» et les victimes seraient moins enclines à signaler l’attaque à la police. Par ailleurs, que se passerait-il si les pirates menaçaient ensuite de rendre le paiement public à moins que la victime ne paie une rançon supplémentaire?

Ensuite, l’application d’une interdiction est tout sauf une sinécure. Nous pourrions nous concentrer sur l’interdiction de rançon à l’égard de certains pirates. Par exemple, les attaquants liés au rançongiciel WannaCry 2.0 figurent sur la liste noire et aucune rançon ne peut leur être versée. Cependant, le monde des pirates est un monde obscur qui change constamment. Ils se divisent en groupes dissidents, se dissolvent et recommencent sous un autre nom. En outre, les attaquants ont de plus en plus recours aux services dits RaaS (Rançongiciel-as-a-Service).

Tout le monde sait que de nombreux pirates sont hébergés en Russie en toute impunité.

Nous pourrions aussi nous concentrer sur les plateformes d’échange (les bourses) de crypto-monnaies. Par exemple, la plateforme d’échange SUEX a été placée sur liste noire. Avec le projet de règlement MiCA, la Commission EU souhaite soumettre les transactions en crypto-monnaies aux mêmes exigences de transparence applicables aux transactions financières classiques.

Finalement, nous pourrions également renforcer la pression diplomatique sur certains pays. Tout le monde sait que de nombreux pirates sont hébergés en Russie en toute impunité.

Investir pour se prémunir

Nos entreprises doivent investir davantage dans la cybersécurité. Les conseils d’administration jouent un rôle important à cet égard, car ils doivent donner le ton. Mais dans la pratique, nous constatons un manque flagrant de compréhension et de sensibilisation à la cybersécurité.

Nos entreprises qui financent le crime, ce n’est pas souhaitable.

Notre gouvernement devrait également jouer son rôle en investissant davantage dans des campagnes de sensibilisation et en encourageant le partage des connaissances. Mais il n’est pas le seul: l’industrie technologique devrait, quant à elle, accorder (encore) plus d’attention à la sécurité de ses solutions softwares sans vulnérabilité.

In fine, la solution de ce problème repose le plus souvent sur les épaules de ses victimes.

Nos entreprises sont confrontées à des décisions difficiles: payer ou non des rançons pour retrouver l’accès à leurs systèmes et données. Nos entreprises qui financent le crime, ce n’est pas souhaitable. La Belgique ne peut toutefois pas faire cavalier seul dans la mise en place de cette interdiction. Ce type de sanctions transcende les frontières.

L’interdiction ne constitue cependant pas une solution miracle contrairement aux efforts qui devraient être concentrés sur la prévention, le développement et le maintien d’une «cybermaturité".

Tom De Cordier (Avocat associé CMS)
Thomas Dubuisson (Avocat senior CMS)

Lire également

Messages sponsorisés

Messages sponsorisés