Ransomware : pourquoi payer la rançon, ce n’est pas si mal

« Il ne faut pas payer ! Cela finance les cybercriminels ! » Qui n’a pas lu ou entendu cette injonction au sujet des cyberattaques avec ransomware ? C’est la doctrine officielle. Et selon elle, payer, c’est mal. Les victimes refusant de reconnaître avoir cédé ne manquent d’ailleurs pas, encouragées qu’elles peuvent être à garder le silence de peur de l’opprobre. Cela vaut, hélas, aussi, pour bon nombre de celles qui portent plainte…

Bercy et Beauvau semblent aujourd’hui s’accorder pour accepter que les assurances indemnisent – sous conditions – les rançons payées. Il ne s’agit pas d’encourager à payer la rançon : dans la mesure du possible, il est, de toute évidence, préférable que la victime de cyberattaque avec rançongiciel ne paie pas un cent aux cyberdélinquants. Mais certains cas sont dramatiques, et le paiement n’est alors que le dernier recours. Et ce n’est pas nécessairement une si mauvaise chose.

Fin décembre 2021, nos confrères du Canard enchaîné ont ainsi révélé que la gendarmerie était intervenue dans la négociation d’une rançon en septembre 2020, pour une « société internationale de transport maritime » qui avait été attaquée par le gang Ragnar Locker. Ladite société n’est pas nommée. Mais l’on se souviendra que, fin septembre 2020, CMA-CGM a indiqué avoir été victime d’une cyberattaque avec ransomware, menée par le gang Ragnar Locker.

Selon nos confrères, « pendant que les experts du C3N s’affairent sur les serveurs, le GIGN dialogue et gagne du temps pour cerner le profil des pirates et, si possible, les localiser. L’entreprise, qui risque de perdre 60 millions par jour de panne, choisira de lâcher quelques biftons ».

Le versement consenti par la victime n’aura pas été vain : « un an plus tard, grâce aux infos recueillies par le GIGN durant la négociation, les rançonneurs seront cueillis près de Kiev ».

De fait, début octobre 2020, Interpol a annoncé l’interpellation, le 28 septembre précédent, de « deux opérateurs prolifiques de ransomware », en Ukraine, avec notamment l’aide de la gendarmerie nationale. Les prévenus étaient connus pour avoir « demandé des rançons jusqu’à 70 millions d’euros ». Selon le communiqué de presse, les personnes interpellées faisaient partie d’un groupe « suspecté d’avoir commis une série d’attaques ciblées contre de très grands groupes industriels en Europe et en Amérique du Nord, à partir d’avril 2020 ».

#cyberisques @DPO_News Selon le ministère de l’Intérieur #cybercrime couterait chaque année 7 milliards d’euros à la #France ( @canardenchaine ) #cybercriminalité #gendarmerienationale #GIGN @ANSSI_FR @SICPCommissaire pic.twitter.com/Ui4gd8AWqG

— cyberisques (@cyberisques) December 23, 2021

Ce profil renvoie très directement à Ragnar Locker, dont la première victime a été connue début avril 2020 : l’armateur MSC. D’autres ont hélas suivi : l’énergéticien EDP, Carlson WagonLit Travel, le groupe Campari, Capcom, ou encore Dassault Falcon Jet, notamment.

Nos confrères de la Lettre A ont confirmé, début décembre, que les interpellations de début octobre 2021 concernaient bien le groupe Ragnar Locker. Ce dernier a malheureusement fait preuve de résilience. Il s’est récemment illustré avec l’attaque conduite contre LDLC.

En fait, il y a un « côté bénéfique » au paiement des rançons – à compter que ce soit fait en toute transparence avec les autorités. Suivre la trace des paiements en bitcoin n’est pas nécessairement futile, mais c’est loin d’être impossible. C’est ainsi que nous avons pu estimer qu’au moins 25 victimes d’Avaddon avaient cédé au chantage courant mai, rapportant aux cybercriminels près d’un million de dollars.

Certes, les cybertruands ne manquent pas de ruses pour échapper à la surveillance. Et il n’est pas rare qu’une partie d’une rançon versée soit laissée dormante, pendant des jours, des semaines, ou plus encore, sur une adresse bitcoin.

L’examen des flux financiers peut également faire apparaître des nœuds intermédiaires de consolidation, au moins partielle, des paiements pour d’autres rançons. Ces nœuds peuvent aider à reconstituer des activités antérieures. L’examen rétrospectif d’un tel nœud conduit à soupçonner un membre d’un groupe de rançonneurs d’être actif depuis 2017. C’est aussi grâce à l’un de ces nœuds que nous avons pu estimer les gains de Conti à l’automne dernier.

Mais à un moment ou l’autre, tout ou partie des rançons payées finit par transiter par un service permettant des échanges, voire la collecte d’espèces sonnantes et trébuchantes qui sera utilisée pour acheter, par exemple, des voitures de luxe. Comme certaines interpellations n’ont pas manqué de le montrer. Et c’est là que l’opportunité d’attraper les cybermalfrats peut se concrétiser.

Mais sans paiement de rançon, sans plainte, sans transparence à l’égard des forces de l’ordre, sans suivi des flux financiers, il n’y aura pas d’interpellation. Oui, les cyberdélinquants seront privés de certaines rentrées d’argent. Mais toutes leurs victimes potentielles en devenir seront privées de la chance qu’un terme soit mis aux activités de ces malfaiteurs. Alors, arrêtons de jeter l’opprobre sur les victimes qui, pour une raison ou une autre, décident de payer. Et apprécions celles qui le reconnaissent ouvertement, à l’instar de l’université de Maastricht, début 2020.

L'université de Maastricht a également rappelé un autre effet positif de la transparence avec les forces de’l'ordre en cas de paiement de rançon : la possibilité de saisir tout ou partie des sommes versées, et de frapper les cybercriminels là où ça fait mal, à savoir au portefeuille.

L’université avait été frappée fin 2019 avec le ransomware Cl0p et avait décidé de verser près de 200 000 € pour accélérer la restauration initiale de ses systèmes. Une partie de la rançon a été saisie, a-t-on appris durant l'été. Une partie, en bitcoin, mais qui valait alors 500 000 euros, et non plus  40 000 euros comme c'était le cas au moment du paiement.

Ce cas n'est pas unique. Le 7 juin 2021, le ministère américain de la Justice a indiqué avoir saisi 63,7 bitcoins issus de la rançon payée par Colonial Pipeline suite à l'attaque menée contre le système d'information à l'aide du ransomware DarkSide. La rançon versée avait alors été de 75 bitcoins. 

Tribune publiée initialement le 21 janvier 2022, mise à jour et complétée le 12 septembre 2022.