Alors que les cybercriminels continuent Pour récolter les fruits financiers de leurs attaques, les discussions sur une interdiction fédérale du paiement des rançons se font de plus en plus fortes.
Les responsables américains déconseillent depuis longtemps de payer des demandes de rançon. Mais alors que plusieurs États américains – dont la Caroline du Nord et la Floride – ont interdit aux entités gouvernementales locales de payer des demandes de rançon, l’administration Biden s’est prononcée, pas plus tard que l’automne dernier, contre une interdiction nationale pure et simple du paiement de rançons.
Il est facile de comprendre pourquoi. Non seulement l’interdiction du paiement des rançons serait difficile à appliquer et nécessiterait des mécanismes complexes qui ne sont pas encore en place, mais les critiques soutiennent que la criminalisation des paiements aux pirates informatiques punit en fin de compte les victimes de la cybercriminalité qui pourraient en fin de compte faire face à des répercussions juridiques pour avoir fait ce qu’elles jugent nécessaire de protéger – ou, dans certains cas, sauvez — leur affaire.
Même si les défis persistent, il semble que l’état d’esprit du gouvernement américain commence à changer.
En octobre 2023, une alliance de plus de 40 pays dirigée par les États-Unis s’est engagée à ne pas payer de rançon aux cybercriminels dans le but de priver les pirates de leur source de revenus.
Depuis lors, tout comme les discussions sur une éventuelle interdiction de paiement de rançons sont devenues plus bruyantes, l’activité des ransomwares s’est également multipliée.
Rien qu’en 2024, nous avons vu des pirates informatiques exploiter effrontément et massivement les failles de divers outils d’accès à distance pour déployer des ransomwares ; des groupes de ransomwares notoires se remettent des suppressions gouvernementales ; et des perturbations chez les prestataires de soins de santé à travers les États-Unis après une attaque de ransomware contre le géant du traitement des ordonnances Change Healthcare.
L’interdiction du paiement des rançons est-elle la solution ? Ce n’est pas aussi simple.
Interdire ou ne pas interdire ?
À première vue, une interdiction de paiement de rançons est logique. Si les organisations victimes n’ont pas le droit de payer, les attaquants seront moins incités financièrement à voler leurs données. En théorie, cela signifie que ceux qui cherchent à s’enrichir rapidement seront obligés d’aller ailleurs – et que les attaques de ransomware pourraient devenir une chose du passé.
D’un autre côté, beaucoup pensent que rendre illégal le paiement des rançons est une solution trop simpliste à un problème complexe.
Les ransomwares sont un problème mondial. Pour qu’une interdiction du paiement des rançons réussisse, une réglementation internationale et universelle devrait être mise en œuvre – ce qui, compte tenu des différentes normes internationales en matière de paiement des rançons, serait presque impossible à appliquer. Cela exigerait également que les gouvernements qui accordent un refuge aux cybercriminels – la Russie bénéficie d’un contrôle de nom évident – soient sévissant à l’intérieur de leurs propres frontières, ce qu’ils ne sont pas incités à faire.
Une interdiction générale du paiement des rançons nécessiterait également probablement des exceptions dans des circonstances désastreuses, telles que des attaques de ransomware impliquant un risque de perte de vie dans des établissements médicaux ou des menaces contre les infrastructures critiques nationales.
Ces exceptions, bien que logiques, s’appliqueraient également aux pirates informatiques à l’origine de ces attaques, qui pourraient conduire à une attaque contre les infrastructures critiques du pays. Et tant que les cybercriminels continueront à gagner de l’argent, les menaces de ransomware et d’extorsion ne disparaîtront pas.
Certains affirment également que si une interdiction de paiement de rançons était imposée aux États-Unis ou dans tout autre pays fortement victime, les entreprises cesseraient probablement de signaler ces incidents aux autorités, mettant ainsi fin à toute la coopération passée entre les victimes et les forces de l’ordre.
Allan Liska, expert en ransomware et analyste de renseignements sur les menaces chez Recorded Future, a déclaré à TechCrunch qu’avant qu’une interdiction générale des paiements aux groupes de ransomware – ou une interdiction avec quelques exceptions – ne soit appliquée, nous devons faire un effort concerté pour mieux cataloguer le nombre de attaques de ransomware « afin que nous puissions prendre une décision éclairée sur les meilleures étapes ».
« Aux États-Unis, nous avons en fait deux cas tests qui prouvent ce point », a déclaré Liska. « La Caroline du Nord et la Floride ont toutes deux interdit aux entités publiques de payer des rançons aux groupes de ransomwares. Dans les deux cas, si l’on examine les données d’un an avant l’entrée en vigueur des lois et de l’année suivante, il n’y a eu aucun changement perceptible dans le nombre d’attaques de ransomware signalées publiquement contre des organisations publiques dans ces États.
Une interdiction fonctionnerait-elle même ?
Il y a aussi la question de l’efficacité d’une interdiction de paiement de rançon.
Comme l’histoire l’a montré, les pirates informatiques se soucient peu des règles. Même lorsqu’une organisation cède à la demande de rançon d’un attaquant, les données de la victime ne sont pas toujours supprimées, comme le démontre le récent démantèlement légal du gang de ransomware LockBit.
Compte tenu de la nature effrontée de ces attaquants, il est peu probable qu’ils soient dissuadés par une interdiction du paiement de rançons. Au contraire, criminaliser le paiement le pousserait probablement encore plus dans la clandestinité et encouragerait probablement les attaquants à changer de tactique, devenant plus secrets dans leurs opérations et transactions.
« Le paiement des rançons est-il une mauvaise chose ? Oui, le fait de payer des groupes de ransomwares ne rapporte aucun bien net à la société. En fait, le fait de payer ces acteurs malveillants entraîne un préjudice net direct pour la société », a déclaré Liska.
« L’interdiction du paiement des rançons empêchera-t-elle les groupes de ransomwares de mener des attaques ? La réponse à cette question est non sans équivoque.
En savoir plus sur TechCrunch :