Cyberextorsion : Beauvau veut rendre obligatoire la déclaration du paiement de rançon

Plus question de céder au chantage des cyberdélinquants sans le dire aux forces de l’ordre. C’est l’esprit de l’une des propositions du projet de loi d’orientation et de programmation du ministère de l’Intérieur pour la période 2022-2027 rendues publiques le 16 mars.

Outre-Atlantique, une disposition comparable s’applique désormais aux opérateurs d’infrastructures critiques : ceux-ci doivent désormais déclarer aux autorités tout paiement de rançon suite à une cyberattaque, sous 24h.

Dans les deux cas, le message implicite est simple : évitez de payer, mais si cela semble être la seule option, faites-le d’une manière qui permette de suivre l’argent. Car suivre la trace des paiements en bitcoin n’est pas nécessairement trivial, mais c’est loin d’être impossible. C’est ainsi que nous avons pu estimer qu’au moins 25 victimes d’Avaddon avaient cédé au chantage courant mai, rapportant aux cybercriminels près d’un million de dollars, ou encore estimer les gains de Conti à l’automne dernier.

Certes, les cybertruands ne manquent pas de ruses pour échapper à la surveillance. Et il n’est pas rare qu’une partie d’une rançon versée soit laissée dormante, pendant des jours, des semaines, ou plus encore, sur une adresse bitcoin. Mais à un moment ou l’autre, tout ou partie des rançons payées finit par transiter par un service permettant des échanges, voire la collecte d’espèces sonnantes et trébuchantes qui sera utilisée pour acheter. Et c’est là que l’opportunité d’attraper les cybermalfrats peut se concrétiser, comme certaines interpellations n’ont pas manqué de le montrer.

D’ailleurs, si les forces de l’ordre françaises ne sont pas étrangères au suivi des mouvements des cryptopépettes, Beauvau semble vouloir aller plus loin, par exemple en ouvrant la voie à la « saisie des avoirs criminels détenus sous forme de cryptoactifs ».

En outre, le Club des experts de la sécurité informatique et du numérique (Cesin) semble avoir été entendu. Il y a un mois, il publiait « dix propositions pour la cybersécurité pour les Présidentielles 2022 ». L’une d’entre elles portait sur la création d’un « guichet unique en cybersécurité pour simplifier les parcours ».

En particulier, estimait le Cesin, « le dirigeant d’entreprise ne sait pas à qui s’adresser […] pour se faire aider et déposer une plainte, lorsqu’il est confronté à une cyberattaque. […] La création d’un guichet unique national de la cybersécurité devrait permettre d’améliorer la lisibilité des dispositifs cyber et d’y recourir facilement et avec une meilleure efficacité ». Le club jugeait au passage qu’il est « tout à fait inapproprié, voire incongru, d’aller physiquement dans un commissariat de quartier pour déposer une plainte cyber alors que l’entreprise est dans la tourmente d’une cyberattaque ».

Dont acte : le ministère de l’Intérieur propose de « créer l’équivalent numérique de “l’appel 17”, pour que chacun puisse signaler une attaque cyber et être mis immédiatement en relation avec un opérateur spécialisé ».