Face à la multiplication des attaques, nombre de victimes évaluent l'opportunité de céder aux demandes des groupes ransomware, en payant une rançon théoriquement moins coûteuse qu'une reconstruction complète de leur système d'information. Mal encadrée, et parfois encore un peu tabou, cette approche cristallise l'opposition entre les tenants d'une approche sans compromis avec les cybercriminels, et ceux partisans d'une ligne plus pragmatique.

Une menace persistante

Dans son dernier rapport trimestriel sur la menace ransomware, la société Coveware mettait en avant une baisse de plus de 50% de la rançon médiane versée par les victimes, entre le premier et le deuxième trimestre 2022. Le phénomène trouverait son explication dans le ciblage par les groupes ransomware et leurs affiliés d'entreprises de taille intermédiaire, présentant un meilleur ratio coût-gain de l'attaque que de plus grandes entreprises, désormais un peu mieux préparées.

Cette relative bonne nouvelle ne peut malheureusement pas cacher la réalité d'un secteur en croissance structurelle avec des rançons passées de quelques centaines de dollars, avant l'émergence du ransomware-as-a-service (RaaS) à la fin des années 2010, à plusieurs dizaines (valeur médiane) voire centaines de milliers de dollars (valeur moyenne), sans même parler des plus importantes, qui dépassent ponctuellement plusieurs millions, voire dizaines de millions.

Cette croissance est aujourd'hui alimentée par un écosystème dont l'organisation hyper-agile défie encore les autorités judiciaires et policières, nationales et internationales. Cette résilience a été récemment illustrée par le réseau Emotet, annoncé démantelé par Europol en début d'année dernière, et reconstitué autour d'une nouvelle version de malware moins de 10 mois plus tard. Elle l'est également par la fluidité avec laquelle les ressources et compétences du groupe Conti, dont l'activité a cessé au printemps, se sont recyclées au travers d'une multitude d'autres groupes.

Sous une forme ou une autre, la menace reste donc aussi présente, si ce n'est plus.

Composer entre la morale et l'opérationnel, un défi difficile à relever

Pendant longtemps et dans la plupart des pays, les recommandations face aux demandes de rançon de ces groupes sont restées tranchées : il était très largement déconseillé de payer, et ce même si le paiement n'était pas illégal en tant que tel.

Cette posture s'appuyait sur la convergence des autorités et des experts, les autorités faisant valoir une vision moraliste selon laquelle payer finançait les cybercriminels et les encourageait à recommencer, les experts une vision plus pratique selon laquelle le paiement ne garantissait la fourniture de clés pour le déchiffrement (ou l'effacement des données dérobées).

Avec le fort développement des attaques, cette posture s'est néanmoins progressivement retrouvée en décalage avec la réalité de victimes pour qui le coût de la rançon était souvent bien inférieur à celui estimé pour la reconstruction de leurs systèmes d'information et, plus largement, de leur gestion de crise.

Ce décalage a également été accéléré par la professionnalisation des groupes ransomware. Devenus, pour les plus gros, de véritables entreprises, ils ont rapidement compris que leur réputation et leur fiabilité avaient un impact direct sur la probabilité qu'une victime paie, et donc leur retour sur investissement. Ils ont complété une approche traditionnellement plus portée sur la menace d'un « bâton » (simple puis double levier d'extorsion, manipulation des réseaux sociaux et des médias pour faire reprendre la main sur la communication autour des cyber-attaques, etc.) par la récompense de plusieurs « carottes » : inscription de l'obligation de fournir les clés aux règles internes des groupes, fonctions de support aux victimes de plus en plus riches, allant de module de chat dans les plateformes RaaS à de véritables call-centers.

Aujourd'hui force est de constater qu'une victime qui paie peut donc raisonnablement espérer recevoir les clés permettant de déchiffrer ses données.

La France, elle aussi tiraillée…

La France illustre très bien le décalage entre le choix moral de ne rien concéder au cybercrime et l'évaluation arithmétique du risque de ne pas payer.

D'un côté, des autorités campées sur une posture principalement dogmatique, parfaitement illustrée l'an dernier par la charge de l'ANSSI et du Parquet de Paris contre les assureurs garantissant le paiement des rançons lors d'une audition du Sénat. De l'autre, certains éléments statistiques montrant que les entreprises françaises sont plutôt bonnes payeuses, comme l'étude sur la cybersécurité des PME et les TPE menée par l'assureur Hiscox en 2020. 

Dans ce contexte, il est peu surprenant que le projet de loi, présenté le 7 septembre dernier par le ministère de l'Intérieur, et validant le remboursement par les assureurs de la rançon dès lors qu'une plainte a bien été déposée, fasse polémique. Directement poussée par Bercy, cette mesure a logiquement braqué les tenants de l'interdiction pure et simple du paiement.

Le dédommagement du paiement n'est pourtant pas un frein à l'amélioration de la cybersécurité. Au contraire, les assureurs demandent toujours aux victimes de s'engager sur une feuille de route concrète, sous la menace d'une augmentation sensible du coût de l'assurance.

A l'autre extrémité du spectre, les victimes qui font le raccourci entre recevoir un utilitaire de déchiffrement et un retour rapide de leur système d'information à son fonctionnement nominal en font parfois les frais, à l'instar de Colonial Pipeline l'an dernier. Les propriétaires du réseau d'oléoducs américain avaient versé près de 5 millions de dollars, en échange d'un utilitaire de déchiffrement si peu performant que les équipes informatiques ont dû continuer de restaurer une partie des systèmes touchés à partir de sauvegardes.

L'opposition frontale entre ces deux logiques masque malheureusement des situations complexes et bien plus nuancées, quelle que soit la position de départ, que ce soit pour la victime, l'assureur et d'autres parties impliquées.

Par Laurent Besset, Directeur de la cyberdéfense chez I-TRACING