Ransomware : La responsabilité des intermédiaires pointée du doigt au Sénat
Face au phénomène de recrudescence des attaques au ransomware, le directeur de l’Anssi, Guillaume Poupard, et Johanna Brousse, vice-procureure spécialisée dans la cybercriminalité au parquet de Paris, ont pointé le rôle des assureurs à l’occasion d’une audition au Sénat jeudi dernier. « Aujourd’hui, la France est l’un des pays les plus attaqués en matière de ransomware. Et c’est probablement parce que nous payons trop facilement les rançons : les assureurs garantissent trop souvent le paiement des sommes exigées par les cybercriminels », expliquait ainsi Johanna Brousse devant les sénateurs.
Le rôle trouble des intermédiaires
Un constat partagé par Guillaume Poupard, qui dénonce le jeu « trouble » de certains assureurs. Le directeur de l’Anssi explique « comprendre » que le calcul puisse paraître rationnel aux yeux d’un assureur, qui préférera s’acquitter d’une rançon pour récupérer les données plutôt que d’engager les frais importants qui résulteraient de l’impossibilité de récupérer les données chiffrées par un rançongiciel. Mais cette approche, qu’il compare à un « dilemme du prisonnier », se révélera selon lui contre-productif à moyen terme. « Il convient de lutter contre ces acteurs, sous peine de voir un véritable écosystème se créer », rappelle Guillaume Poupard.
Avec le développement des attaques par rançongiciel contre les entreprises ces dernières années, toute une galaxie d’intermédiaires se positionnent en effet sur ce secteur : les assureurs jouent un rôle de premier plan, mais des négociateurs et des sociétés de remédiation peuvent parfois proposer également de faciliter le paiement des rançons exigées par les attaquants.
Le rôle parfois ambigu des intermédiaires avait déjà été mis en lumière aux Etats-Unis avec les enquêtes de Propublica, qui avaient montré comment des sociétés spécialisées dans la réponse à incident pouvaient également proposer leurs services pour négocier et faciliter le paiement des rançons. Le sujet avait été évoqué en Grande-Bretagne en début d’année, les assureurs ayant été critiqués pour avoir facilité le paiement de rançons pour des entreprises victimes de rançongiciels. En France, la question se pose alors que le cabinet Wavestone estime que 20 % des entreprises victimes françaises victimes de ransomware finissent par payer la rançon. « Le problème, c’est que lorsque ces rançons sont payées, cela finance toute sorte de réseaux criminels », rappelle Johanna Brousse devant le Sénat. La magistrate souhaite rappeler le mot d’ordre : ne pas payer la rançon, car chaque rançon payée renforce l’image de la France comme une cible de choix pour les cybercriminels.
La question de l’interdiction
La problématique est bien connue du secteur : chaque rançon payée participe à renforcer les capacités des cybercriminels, qui profitent largement du déséquilibre entre attaquants et défenseurs dans le domaine de la cybersécurité. Pour répondre à ce défi, la question de l’interdiction du paiement des rançons est parfois évoquée, mais le sujet reste délicat. Le gouvernement américain avait esquissé un premier pas en cette direction en rappelant l’année dernière que le paiement de rançon en direction de certains groupes pouvait constituer un délit. Comme le rappellent Les Echos, le cadre juridique français n’interdit pas le paiement des rançons et les mots d’ordre des autorités en la matière ne sont que des conseils à suivre et non des obligations.
Outre le rôle des assureurs, Johanna Brousse pointe le manque de moyens des services enquêteurs : le parquet cybercriminalité de Paris ne compte ainsi que 3 magistrats, et l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication) ne compte que 10 enquêteurs spécialisés dans les affaires de piratages. Un constat partagé par Guillaume Poupard.
