Cyberattaque : pourquoi porter plainte, c’est bien (y compris pour soi)

Beaucoup de victimes de cyberattaque avec rançongiciel portent-elles plainte ? En 2023, la section cyber du parquet de Paris a ouvert un peu plus de 510 enquêtes pénales, contre 420 en 2022, et 495 en 2021. C’est peu rapporté aux demandes d’assistance enregistrées par cybermalveillance.gouv.fr. Celles-ci suggèrent que moins d’un tiers des victimes de cyberattaque avec ransomware portent plainte. 

Là, les membres du Club des experts de la sécurité de l’information et du numérique (Cesin) font peut-être bien figure de bons élèves : selon la dernière édition du baromètre annuel du Cesin, 59 % des victimes (225 répondants sur l’ensemble des sondés) ont porté plainte, au moins pour certaines attaques (27 %), voire pour toutes (32 %).

Et certaines n’ont probablement pas manqué d’apprécier les résultats de leur initiative : pour 21 %, l’enquête a permis une identification du ou des attaquants. C’est au moins un début. Mais l’histoire récente étaye ces chiffres, soulignant que l’obligation de porter de plainte pour pouvoir profiter d’une indemnisation par son assureur n’a pas à être la motivation principale pour le faire.

Si Alphv/BlackCat a joué la carte de la provocation après une opération de police en décembre dernier, Vladimir Dunaev, l’un des développeurs de Trickbot, utilisé notamment par Conti, vient de plaider coupable des actes dont il était accusé. 

Début décembre, un ressortissant russe résidant à Chypre, âgé d’une quarantaine d’années, a été interpellé à Paris, soupçonné de liens avec la franchise de rançongiciel Hive – dont l’infrastructure avait été saisie début 2023. 

Fin novembre dernier, le leader d’un groupe impliqué dans des cyberattaques avec les rançongiciels LockerGoga, MegaCortex, Dharma et Hive a été interpellé en Ukraine, aux côtés de 4 acolytes suspectés. C’était un mois après l’annonce de la saisie de l’infrastructure de Ragnar Locker. Fin août, c’était Qakbot qui était durement frappé. 

Aucune de ces interventions n’aurait eu lieu si les victimes de cyberattaques avec ransomware ne portaient pas plainte. Et dès lors quelque 300 victimes de Hive seraient restées livrées à elles-mêmes. Au lieu de cela, elles ont pu bénéficier gratuitement de clés de déchiffrement obtenues directement dans l’infrastructure de Hive, compromise durant plusieurs mois. 

Ce n’est pas tout. Récemment, ont appris nos confrères de Bank Info Security, « un fournisseur de services cloud a remis à une alliance d’hôpitaux new-yorkais les données de patients volées lors d’une attaque avec ransomware menée en août par le célèbre gang LockBit ». Comment cela ? « le groupe hospitalier – North Star Health Alliance – avait intenté une action en justice contre LockBit en novembre afin d’obliger la société de stockage à restituer les données (des patients) que les cybercriminels avaient exfiltrées des hôpitaux et cachées sur les serveurs du fournisseur du Massachusetts ».

Récupérer des données, donc, mais aussi des rançons ? Oui. Fin décembre 2021, nos confrères du Canard enchaîné révélaient que la gendarmerie était intervenue dans la négociation d’une rançon en septembre 2020, pour une « société internationale de transport maritime » qui avait été attaquée par le gang Ragnar Locker. Ladite société n’était pas nommée. Mais l’on se souviendra que, fin septembre 2020, CMA-CGM a indiqué avoir été victime d’une cyberattaque avec ransomware, menée par le gang Ragnar Locker.

Le versement consenti par la victime n’aura pas été vain : « un an plus tard, grâce aux infos recueillies par le GIGN durant la négociation, les rançonneurs seront cueillis près de Kiev ».

L’université de Maastricht avait quant à elle ouvertement reconnu le versement d’une rançon. 

Elle avait été frappée fin 2019 avec le ransomware Cl0p et avait décidé de verser près de 200 000 € pour accélérer la restauration initiale de ses systèmes. 

Une partie de la rançon a été saisie, a-t-on appris durant l’été 2022. Une partie, en bitcoin, mais qui valait alors 500 000 euros, et non plus 40 000 euros comme c’était le cas au moment du paiement.

Ce n’était pas une première : le 7 juin 2021, le ministère américain de la Justice a indiqué avoir saisi 63,7 bitcoins issus de la rançon payée par Colonial Pipeline, suite à l’attaque menée contre le système d’information à l’aide du ransomware DarkSide. La rançon versée avait alors été de 75 bitcoins. 

Autant d’exemples soulignant pourquoi la transparence est essentielle avec les forces de l’ordre, en cas de cyberattaque.