View in

English

Sécurité informatique : quelques réflexions sur le paiement des rançons

Des articles parus précédemment dans le Bulletin ont évoqué le risque pour une organisation, une université, une institution, une société ou une entreprise d’être victime d’une attaque de rançonnage. Cette attaque, si elle réussit, permet aux pirates de s’introduire dans un grand nombre d’ordinateurs, d’ordinateurs portables et de services informatiques, et de crypter de précieux fichiers, documents et éléments d’information. Ces données ne pourront être restituées que lorsqu’une certaine somme d’argent (la rançon) aura été versée aux pirates. La principale problématique pour l’entité victime de l’attaque est de décider si, oui ou non, elle paiera cette rançon.

Payer la rançon est certes le moyen le plus simple de récupérer ses données et de rétablir les services informatiques compromis, a fortiori si les dommages subis s’avèrent bien plus importants que la demande de rançon. Mais, attention, des dommages collatéraux peuvent survenir ; il est donc utile de passer en revue les différents risques qu’une entité victime devrait prendre en considération.

  • L’éthique des pirates : peut-on faire confiance aux pirates ? Ne seront-ils pas tentés de réclamer encore plus d’argent ? Remettront-ils vraiment les clés de décryptage ? Veilleront-ils et seront-ils en mesure de veiller à ce que toute activité malveillante soit interrompue et à ce que les données piratées ne soient plus diffusées et soient effacées ?
  • Généralités en matière d’éthique : les paiements de rançon servent généralement à soutenir et financer des activités criminelles et permettent le financement d’autres opérations criminelles. Ainsi, payer les pirates les encourage à réclamer plus d’argent et à continuer cette activité « lucrative » contre la même entité ou contre une autre entité.
  • Risques juridiques : est-il illégal de payer une rançon dans le pays où se trouve l’entité attaquée ? Et qu’en est-il des responsabilités en cas de dommages subis par une banque suite au traitement, à son insu, d’une demande de paiement de rançon (par exemple si cela l’amène à enfreindre la réglementation – américaine – en matière de sanctions) ?
  • Couverture d’assurance : existe-t-il une police de cyberassurance qui pourrait couvrir les frais de rançon ? Quelles en sont les conditions et y a-t-il des clauses d’exclusion qui pourraient invalider la couverture ? Pour la petite histoire : des pirates ont déjà compromis certaines compagnies d’assurance avant d’en attaquer les clients, arguant que ces derniers bénéficient d’assurances et sont donc plus susceptibles de payer.
  • Risques relatifs à la réputation : les médias couvriront le fait qu’une rançon a été payée. Comment cela sera-t-il perçu par le grand public, les entités de même nature, les homologues de l’entité attaquée ou la communauté au sens large ? Pourrait-il en résulter des conséquences néfastes qui seraient préjudiciables ou dévastatrices pour l’entité ?
  • Risques d’attaques par répétition (« replay attacks ») : étant donné que l’attaque (et un éventuel paiement !) sera rendue publique, d’autres pirates pourraient être tentés de lancer une attaque similaire et d’essayer eux aussi de soutirer de l’argent : « Ils ont déjà payé une fois, pourquoi ne paieraient-ils pas une seconde fois ? »

La décision n’est pas facile. Si certaines entités paient la rançon, d’autres s’y refusent. En définitive, cela dépend en grande partie des capacités de rétablissement en cas d’incident et de continuité des activités de chaque entité. Se remettre d’un tel incident est extrêmement compliqué, long et coûteux, que la rançon ait été payée ou non. Existe-t-il des sauvegardes intactes ou non corrompues ? Dispose-t-on de l’ensemble des données (la documentation, les fichiers de configuration, les procédures et toutes les dépendances) nécessaires pour reconstituer les systèmes et les services en partant de zéro ? Ces opérations de rétablissement et de reconstitution sont-elles réalisées régulièrement et avec succès ? Si vous gérez ou administrez un service informatique ou un système de contrôle, avez-vous déjà effectué de telles opérations ? Si votre niveau de stress monte en lisant cet article, c’est qu’il est temps de nous contacter : Computer.Security@cern.ch.

_______

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel (en anglais seulement). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.