kraloz - Fotolia

Ransomware : pourquoi payer la rançon, ce n’est pas si mal

La doctrine habituelle enjoint les victimes de cyberattaque de ransomware à ne pas céder au chantage et à ne pas payer la rançon. Et cela tout d’abord parce que cela contribue à rentabiliser les activités des cybermalfrats. Mais cette vision est un peu réductrice.

« Il ne faut pas payer ! Cela finance les cybercriminels ! » Qui n’a pas lu ou entendu cette injonction au sujet des cyberattaques avec ransomware ? C’est la doctrine officielle. Et selon elle, payer, c’est mal. Les victimes refusant de reconnaître avoir cédé ne manquent d’ailleurs pas, encouragées qu’elles peuvent être à garder le silence de peur de l’opprobre. Cela vaut, hélas, aussi, pour bon nombre de celles qui portent plainte…

Il ne s’agit pas d’encourager à payer la rançon : dans la mesure du possible, il est, de toute évidence, préférable que la victime de cyberattaque avec rançongiciel ne paie pas un cent aux cyberdélinquants. Mais certains cas sont dramatiques, et le paiement n’est alors que le dernier recours. Et ce n’est pas nécessairement une si mauvaise chose.

Fin décembre, nos confrères du Canard Enchaîné ont ainsi révélé que la Gendarmerie était intervenue dans la négociation d’une rançon en septembre 2020, pour une « société internationale de transport maritime » qui avait été attaquée par le gang Ragnar Locker. Ladite société n’est pas nommée. Mais l’on se souviendra que, fin septembre 2020, CMA-CGM a indiqué avoir été victime d’une cyberattaque avec ransomware, menée par le gang Ragnar Locker.

Selon nos confrères, « pendant que les experts du C3N s’affairent sur les serveurs, le GIGN dialogue et gagne du temps pour cerner le profil des pirates et, si possible, les localiser. L’entreprise, qui risque de perdre 60 millions par jour de panne, choisira de lâcher quelques biftons ».

Le versement consenti par la victime n’aura pas été vain : « un an plus tard, grâce aux infos recueillies par le GIGN durant la négociation, les rançonneurs seront cueillis près de Kiev ».

De fait, début octobre 2020, Interpol a annoncé l’interpellation, le 28 septembre précédent, de « deux opérateurs prolifiques de ransomware », en Ukraine, avec notamment l’aide de la Gendarmerie nationale. Les prévenus étaient connus pour avoir « demandé des rançons jusqu’à 70 millions d’euros ». Selon le communiqué de presse, les personnes interpellées faisaient partie d’un groupe « suspecté d’avoir commis une série d’attaques ciblées contre de très grands groupes industriels en Europe et en Amérique du Nord, à partir d’avril 2020 ».

Ce profil renvoie très directement à Ragnar Locker, dont la première victime a été connue début avril 2020 : l’armateur MSC. D’autres ont hélas suivi : l’énergéticien EDP, Carlson WagonLit Travel, le groupe Campari, Capcom, ou encore Dassault Falcon Jet, notamment.

Nos confrères de la Lettre A ont confirmé, début décembre, que les interpellations de début octobre 2021 concernaient bien le groupe Ragnar Locker. Ce dernier a malheureusement fait preuve de résilience. Il s’est récemment illustré avec l’attaque conduite contre LDLC.

En fait, il y a un côté bénéfique au paiement des rançons – à compter que ce soit fait en toute transparence avec les autorités. Suivre la trace des paiements en bitcoin n’est pas nécessairement trivial, mais c’est loin d’être impossible. C’est ainsi que nous avons pu estimer qu’au moins 25 victimes d’Avaddon avaient cédé au chantage courant mai, rapportant aux cybercriminels près d’un million de dollars.

Certes, les cybertruands ne manquent pas de ruses pour échapper à la surveillance. Et il n’est pas rare qu’une partie d’une rançon versée soit laissée dormante, pendant des jours, des semaines, ou plus encore, sur une adresse bitcoin.

L’examen des flux financiers peut également faire apparaître des nœuds intermédiaires de consolidation, au moins partielle, des paiements pour d’autres rançons. Ces nœuds peuvent aider à reconstituer des activités antérieures. L’examen rétrospectif d’un tel nœud conduit à soupçonner un membre d’un groupe de rançonneurs d’être actif depuis 2017. C’est aussi grâce à l’un de ces nœuds que nous avons pu estimer les gains de Conti à l’automne dernier.

Mais à un moment ou l’autre, tout ou partie des rançons payées finit par transiter par un service permettant des échanges, voire la collecte d’espèces sonnantes et trébuchantes qui sera utilisée pour acheter, par exemple, des voitures de luxe. Comme certaines interpellations n’ont pas manqué de le montrer. Et c’est là que l’opportunité d’attraper les cybermalfrats peut se concrétiser.

Mais sans paiement de rançon, sans plainte, sans transparence à l’égard des forces de l’ordre, sans suivi des flux financiers, il n’y aura pas d’interpellation. Oui, les cyberdélinquants seront privés de certaines rentrées d’argent. Mais toutes leurs victimes potentielles en devenir seront privées de la chance qu’un terme soit mis aux activités de ces malfaiteurs. Alors, arrêtons de jeter l’opprobre sur les victimes qui, pour une raison ou une autre, décident de payer. Et apprécions celles qui le reconnaissent ouvertement, à l’instar de l’université de Maastricht, début 2020.

Pour approfondir sur Cyberdélinquance

Close