Ransomware : le Trésor américain traite les victimes en collaborateurs

Tout le monde déconseille vivement de payer les rançons, mais beaucoup le font. Aux Etats-Unis, un rappel du ministère américain du Trésor pourrait néanmoins refroidir les entreprises visées par un ransomware : l’OFAC (Office of Foreign Access Control, office de contrôle des actifs étrangers NDLR) a publié une directive sur le paiement des rançons indiquant que dans certains cas, les sociétés qui acceptent de céder au chantage des groupes cybercriminels pourraient également être sanctionnées par les autorités américaines.

Cette nouvelle mesure ne s’applique pas à l’ensemble des paiements de rançon : la directive publiée par l’OFAC explique que seuls les paiements à destination des groupes concernés par des sanctions émises par l’OFAC sont concernés par cette mesure. Le document liste plusieurs acteurs connus du monde des rançongiciels ayant été visés par des sanctions de l’OFAC : le créateur du ransomware Cryptolocker Eugene Bogachev, les deux développeurs iraniens du ransomware Samsam, les groupes nord-coréens Lazarus, Bluenoroff et Andariel et enfin le groupe Evil Corp, connu pour avoir notamment développé le malware Dridex et plusieurs ransomwares encore actifs.

Pour l’OFAC, les paiements de rançons en direction de ces groupes ou de leurs affiliés pourraient exposer les victimes à une investigation pour avoir contourné des sanctions gouvernementales. Les entreprises victimes mais aussi les partenaires ayant participé au processus de réponse à incident ou ayant procédé à la transaction pourraient donc être inquiétées. L’OFAC demande aux entreprises concernées par ce cas de figure d’entrer en contact avec ces équipes avant de procéder au paiement d’une éventuelle rançon. « Les paiements de rançons profitent aux acteurs malveillants et peuvent saper les objectifs de sécurité nationale et de politique étrangère des Etats-Unis. Pour cette raison, les demandes de licence impliquant des paiements de rançons exigés à la suite d’activités malveillantes rendues possibles grâce au numérique seront examinées par l’OFAC au cas par cas, avec une présomption de refus », indique l’OFAC dans son communiqué.

L’affaire du piratage de Garmin, qui est soupçonné d’avoir accepté le paiement d’une rançon de 10 millions de dollars en cryptomonnaie à des individus liés au groupe Evil Corp a peut-être poussé l’OFAC à publier ce rappel. Comme le rapporte ZDNet.com, plusieurs journalistes avaient posé la question au ministère américain des Finances au moment où le paiement de Garmin avait été divulgué au public.

La légalité des paiements en question

Outre-Atlantique, le débat s’ouvre sur la légalité du paiement des rançons exigées par les groupes de rançongiciel. L’éditeur d’antivirus Emsisoft avait ainsi publié au mois de septembre une tribune appelant à rendre illégal le paiement des rançons. L’idée défendue par Emsisoft est qu’une politique de ce type est le seul moyen de porter un coup d’arrêt au développement de l’industrie du rançongiciel, qui s’est largement développée au cours des deux dernières années. « Tout comme le changement climatique, les ransomwares sont un problème collectif et pour le résoudre, chacun doit faire sa part. Dans le cas des ransomwares, la solution est de ne pas payer les cybercriminels, et il est temps que les gouvernements interdisent aux organisations de le faire », écrit Emsisoft dans sa tribune.

Interrogé sur la publication de ces guidelines de l’OFAC, Brett Callow, d’Emsisoft, rappelle que « l’avis du Trésor américain est un simple rappel des dispositions déjà existantes. A l’heure actuelle, les sanctions s’appliquent à un nombre très limité d’acteurs et elles n’ont donc aucun impact réel sur la rentabilité des ransomwares ou la fréquence des attaques – qui sont bien entendu directement liées. A notre avis, la seule réponse à l’aggravation du problème des ransomwares est une interdiction complète du paiement des rançons ».

Brett Callow souligne que l’idée d’interdire les paiements de rançon a également été évoquée par l’ex-directeur du National Cyber Security Center britannique ce mois-ci. Ciaran Martin a profité de son départ pour mentionner l’idée à l’antenne de la BBC et appeler à ouvrir le débat.

L’argument derrière cette idée est simple : en dissuadant les entreprises de payer, les défenseurs espèrent rendre l’activité liée aux rançongiciels moins séduisante pour les cybercriminels et pousser les entreprises à mieux sécuriser leurs systèmes. Le risque évident lié à une interdiction de ce type est évoqué par Emsisoft dans sa tribune : le temps que cette interdiction porte ses fruits, les entreprises victimes de rançongiciel pourraient se retrouver sous le coup d’une double peine, forcées de payer une rançon pour récupérer leurs données et en écopant en plus d’une sanction pour avoir coopéré avec un groupe cybercriminel.