Hacking : faut-il payer les rançons en cryptomonnaies ?

Le sujet est d’autant plus sensible que Cyril n’est pas un cas isolé. En 2021, il y a eu presque 2000 demandes d’assistance d’entreprises françaises pour des cas de rançongiciels, selon Cybermalveillance.gouv.fr, un site d’assistance et de prévention pour les risques en ligne. Une centaine de ces demandes concernaient des rançongiciels basés sur des cryptomonnaies.

De sources policières françaises, le nombre des attaques serait même en réalité bien plus élevé. “Beaucoup d’entreprises n’osent pas se signaler”, confirme une source proche de l’assureur Axa. Et le phénomène serait le même partout en Europe avec un coût global estimé à plusieurs milliards d'euros, selon les chiffres de l'entreprise de cybersécurité ARS Solutions.

Payer les rançons ?

Pour tenter “d’aider” ces entreprises dépassées par les événements, le gouvernement français a récemment proposé de mettre en place un nouveau dispositif qui autoriserait les assureurs à payer ces rançons d’un genre nouveau. Le dispositif prévu dans le projet de loi d’orientation et de programmation du ministère de l’intérieur (LOPMI), présenté le 7 septembre au Conseil des ministres, toucherait tous les types de rançongiciels, même ceux basés sur les cryptomonnaies.

Comme l’a proposé le Trésor français, rattaché à Bercy, la seule condition pour être indemnisé serait que l’entreprise ait porté plainte ; et évidemment qu’elle soit assurée contre le risque cyber !

Ce projet de loi, qui devra encore être adopté au Parlement français (ce qui pourrait prendre plusieurs mois), a fait vivement réagir dans le secteur de l’assurance. “On se tire une balle dans le pied et en plus, on paye la balle”, ironise un assureur.

Comment être sûr qu’une fois payés les hackers cesseront l’attaque ?

Interrogés, la grande majorité des spécialistes, qui ne veulent pas être cités directement, expliquent qu’il n’y a aucune certitude. “La plupart du temps lorsqu’une entreprise paye une rançon, les pirates ne remettent pas le système à jour. Et s’ils le font, ils laissent un mouchard”, explique un bon connaisseur de ces sujets.

Une étude réalisée en 2021 par Cybereason auprès d'un peu plus de 1200 professionnels de la sécurité dans plusieurs pays, et notamment en France, a montré que 60% des organisations françaises ayant choisi de payer la rançon ont été ciblés dans les semaines suivantes.

Le sujet est d’autant plus épineux que si cette disposition était gravée dans le marbre de la loi, elle pourrait inciter tous les hackers de la planète à s’en prendre aux entreprises françaises. Aucun pays n'a de législation qui prévoit de payer les rançongiciels. Ce n'est que du cas par cas.

Traçabilité des cryptos

Certains expliquent toutefois que les cryptomonnaies pourraient aussi jouer un rôle déterminant pour mettre la main sur les hackers. “Si payer la rançon en crypto ne permet pas de mettre fin au hack, cela peut permettre de retrouver les responsables”, explique un assureur français.

L’avantage des cryptomonnaies est en effet qu’elles sont… traçables. Pour faire simple, c’est comme si on payait une rançon en marquant les billets de banque. On pourrait ensuite analyser les flux et ainsi remonter la filière 🔍.

Aux États-Unis, plusieurs groupes de hackers ont été pris à leur propre jeu avec les cryptos. Fin 2021, les assaillants du protocole de finance décentralisée Poly Network (600 millions de dollars dérobés) ont été contraints de rendre les fonds après qu’une enquête de traçabilité sur la blockchain a mis en lumière leur responsabilité dans l’opération.

L’exemple le plus emblématique est celui du groupe Lazarus qui depuis des années procède à des hacks en pagaille. Rien qu’en 2021, il aurait dérobé plus d’un milliard de dollars, indique la société américaine Chainalysis, ce qui a notamment permis de l’identifier. Seul problème : le groupe est nord-coréen, ce qui écarte toute procédure policière ou judiciaire pour récupérer l’argent…

‍