Une information qui va produire des effets sur l’économie des rançongiciels : dans un rapport publié le 7 septembre, le ministère de l’Économie valide l’indemnisation par les assurances des rançons, à condition que la victime porte plainte. Cette mesure « sera partie intégrante du projet de loi d’orientation et de programmation du ministère de l’Intérieur présenté en Conseil des ministres », a fait savoir Bercy.
Les autorités indiquent dans un communiqué que cette règle permettrait de « lever des ambiguïtés dommageables aux assurés comme aux assureurs ». À moyen terme, il sera proposé « de renforcer l’information des assurés sur l’étendue de leurs
garanties. »
L’indemnisation par les assureurs de rançon n’est pas illégale aujourd’hui, mais elle n’est pas recommandée par tout le milieu de la cyber. En effet, elle risque d’affaiblir les efforts en cours pour bien sécuriser les systèmes d’information, puisqu’il y a d’une certaine façon la formalisation d’un filet de sécurité avec la possibilité d’avoir une indemnisation pour les dégâts occasionnés.
Fait étonnant, ce même rapport du ministère de l’Économie précise pourtant que « le paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités, entretient ce système frauduleux, est susceptible de contribuer au financement du terrorisme [et que] l’Anssi recommande aux victimes de ne pas payer la rançon. »
Pourquoi institutionnaliser le remboursement du paiement alors ? La direction générale du Trésor indique que les entreprises, en particulier les PME/TPE, sous-estiment encore les menaces de cyberattaque. L’indemnisation donnerait plus confiance aux sociétés de se tourner vers les assurances pour être protégé. « L’évaluation des risques par les assureurs permettrait aux acteurs de mieux prendre en compte leur exposition » peut-on lire. Par ailleurs, si les entreprises ne trouvent pas de solution d’assurance cyber chez les groupes français, elles seraient plus enclines à se tourner vers de groupes étrangers.
Moins de réticence à payer les hackers
Maintenant qu’on se le dise, cette mesure ne va absolument pas décourager les pirates. Au contraire, ils se sentiront plus à l’aise puisque les entreprises seront moins réticentes à régler la somme exigée. Aux États-Unis, la tendance est plutôt au refus de paiement : plusieurs États ont proposé d’inscrire l’interdiction de régler la rançon dans la loi dans le but de stopper l’hémorragie que subissent les entreprises américaines. En outre, les assurances conseillent de ne pas payer. Les autorités commencent à voir des résultats. Les revenus moyens tirés des rançongiciels sont en légère baisse. Cela ne veut pas dire que les attaques baissent, mais cela a pour bénéfice de réduire le rendement d’une attaque.
En France, Axa a suspendu la commercialisation de l’option « cyber rançonnage » depuis mai 2021. Elle a été suivie par Generali début 2022.
Les hackers frappent deux fois
Autre bonne raison de ne pas payer les rançons : les hackers continuent à vous harceler même après le versement de la somme exigée. Il serait naïf de croire qu’elle leur suffit. 74 % des sociétés françaises qui ont versé une somme aux pirates ont eu droit à une nouvelle attaque, moins d’un mois après la première, selon une étude de l’entreprise Cybereason. Une fois la rançon réglée, les pirates tentent une nouvelle fois de mettre la pression sur l’entreprise en menaçant ensuite de révéler les données dérobées ou tout simplement en opérant la même cyberattaque si la victime ne s’est protégée entre temps.
Les rançongiciels sont l’arme la plus rentable des pirates : le code source de ransomware bien connus, à l’instar de Babuk et Paradise, est vendu pour 950 et 593 dollars respectivement. Les logiciels les plus simples coûtent le prix d’une baguette : LockScreen coute 0,99 dollar sur certains forums.
Selon les données enregistrées par la police et la gendarmerie, la valeur médiane de la rançon réglée a atteint 6 375 euros en 2020, mais peut rapidement monter à plusieurs millions pour les grands groupes. Le groupe Hive demande par exemple 2 millions à la marque de textile Damart après une attaque le 2 septembre. Nul doute que l’annonce de Bercy donne le sourire aux pirates.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.