L’Australie envisage d’interdire les cyber-paiements de rançons, mais cela pourrait se retourner contre lui. Voici une autre idée

L'Australie envisage d'interdire les cyber-paiements de rançons, mais cela pourrait se retourner contre lui.  Voici une autre idée

Crédit : Shutterstock

D’abord Optus, aujourd’hui Medibank ; en moins de deux mois, nous avons connu deux des plus importantes violations de données personnelles de l’histoire de l’Australie. Dans les deux cas, les pirates ont tenté, sans succès, d’extorquer une rançon en échange de la non-divulgation de données personnelles.

Jusqu’à présent, les pirates d’Optus n’ont publié qu’un petit échantillon de données et prétendent avoir supprimé le reste. D’autre part, les pirates de Medibank ont ​​publié les dossiers de plus d’un million de personnes et ont menacé de divulguer plus de données vendredi.

Face à cette menace imminente, le gouvernement australien cherche à renforcer ses défenses en matière de cybersécurité, notamment par le biais d’un groupe de travail mis en place pour exercer des représailles contre les pirates de Medibank.

La ministre de la Cybersécurité, Clare O’Neil, a déclaré que le gouvernement envisageait également de rendre illégaux les paiements de rançon aux cybercriminels. L’idée a fait son chemin, mais ce remède serait-il pire que le mal ?

La réponse au piratage de Medibank

Le groupe à l’origine du dernier piratage de Medibank, actuellement appelé “BlogXX”, a été lié à des organisations cybercriminelles russes par la police fédérale australienne. Il a des liens connus avec le célèbre cybergang REvil (qui a été démantelé par le Service fédéral de sécurité russe en janvier).

Les gangs cybercriminels à grande échelle sont capables d’extorquer des rançons élevées à leurs victimes. Lors de l’arrestation de REvil, les autorités ont saisi l’équivalent de 12,8 millions de dollars australiens en espèces, 7 millions de dollars en crypto-monnaie et 20 voitures de luxe.

Il existe plusieurs façons de réduire la rentabilité des violations de données pour les organisations criminelles. Le premier est de rendre les piratages plus difficiles, ce qui rend plus de temps pour les pirates de s’introduire dans les ordinateurs.

Cela pourrait être réalisé en augmentant les amendes pour les organisations qui ne respectent pas les meilleures pratiques en matière de cybersécurité – une réforme de la confidentialité qui a été récemment introduite en Australie et qui est passée par la chambre basse.

Une deuxième solution potentielle consiste à rendre les paiements de rançongiciels illégaux en Australie. Dans certaines circonstances, il peut déjà être illégal pour les organisations australiennes de payer une rançon, par exemple si le paiement finance d’autres activités criminelles ou terroristes de groupes sanctionnés par les Nations Unies.

Cependant, l’attribution des cyberattaques est difficile et il n’est pas toujours possible de savoir si payer un groupe particulier serait un crime. Une organisation peut payer une rançon, pour découvrir bien plus tard qu’elle a enfreint la loi.

Quand l’interdiction des paiements de rançon fonctionne

L’idée d’interdire les paiements de rançon n’est pas nouvelle. En avril, le Nigéria a criminalisé le paiement de rançons aux ravisseurs. Cependant, le fait de ne pas payer de rançons pour enlèvement au Nigeria a également entraîné des décès, ce qui suggère que cette approche pourrait finir par punir les victimes.

Pourtant, les résultats de l’enquête montrent que les citoyens et les experts en cybersécurité sont généralement favorables à l’interdiction des paiements par ransomware. Dans une récente enquête menée auprès de résidents britanniques par la société de sécurité Talion, 78 % des répondants du grand public étaient favorables à une interdiction, tout comme 79 % des professionnels de la cybersécurité.

Une interdiction des paiements de rançon pourrait rapidement réduire les profits accumulés par les gangs criminels ciblant l’Australie.

Dans des cas comme les récents piratages d’Optus et de Medibank, où la rançon a été exigée pour “ne pas divulguer” des informations sensibles, l’interdiction des paiements de rançon peut être une bonne idée. Cela pourrait alléger le fardeau de la prise de décision de l’organisation ciblée et atténuer le jugement du public sur cette décision.

Cela réduirait également (mais pas entièrement) la possibilité que les criminels reçoivent des paiements de rançon et rendraient donc leurs opérations moins rentables.

Les problèmes d’une interdiction

Cependant, contrairement aux violations d’Optus et de Medibank, de nombreuses rançons sont payées pour déverrouiller des ordinateurs cryptés. Certaines attaques de rançongiciels impliquent que les pirates cryptent tous les ordinateurs, données et sauvegardes dont dispose une entreprise. Ne pas restaurer ces données peut, dans de nombreux cas, entraîner l’effondrement de l’entreprise.

Dans de tels cas, l’interdiction des paiements de rançon peut décourager les organisations de déclarer les violations. Ils peuvent payer la rançon pour pouvoir poursuivre leurs activités, même si c’est un crime. Si cela se produisait, cela réduirait la transparence globale des rapports sur les violations et pourrait conduire les pirates à faire chanter les victimes pour qu’elles ne divulguent pas le piratage.

Cette préoccupation particulière a conduit le Federal Bureau of Investigation des États-Unis à recommander au Comité judiciaire du Sénat américain de ne pas interdire tous les paiements de rançon.

Pour qu’une interdiction de payer une rançon soit efficace, les sanctions pour le paiement de la rançon devraient être plus sévères que l’impact de la rançon elle-même. Si les sanctions sont insuffisantes, les organisations peuvent simplement payer la rançon et faire face aux conséquences juridiques afin de pouvoir poursuivre leurs activités normales.

Une solution alternative

Les polices de cyberassurance prévoient souvent le remboursement des paiements de rançongiciels. En fait, c’est une tactique courante pour les cybercriminels d’exiger une rançon équivalente au remboursement de l’assurance. Bien que cela signifie que l’organisation subit moins de pertes, les cybercriminels en profitent toujours.

Une approche plus nuancée pourrait consister à interdire les remboursements de la cyberassurance pour les paiements de rançon, ce qui réduirait le pourcentage global de violations entraînant un paiement. Cela pourrait réduire les profits des gangs criminels, tout en permettant à une entreprise de sauver ses opérations dans les pires scénarios.

La décision d’interdire ou de ne pas interdire les paiements de rançongiciels est compliquée, et une interdiction générale est susceptible de causer plus de problèmes qu’elle n’en résout. Nous avons besoin de changement, mais la meilleure solution serait une approche au cas par cas.

En fin de compte, il est peu probable que ces types de cybercrimes soient éradiqués par un seul changement de politique. Ils nécessiteront un large éventail de politiques, de lois et de réglementations qui résolvent chacune des problèmes spécifiques. Si nous procédons ainsi, le coût pour les criminels pourrait éventuellement l’emporter sur les bénéfices.

Fourni par La Conversation

Cet article est republié de The Conversation sous une licence Creative Commons. Lire l’article d’origine.La conversation

Citation: L’Australie envisage d’interdire les cyber-paiements de rançons, mais cela pourrait se retourner contre lui. Voici une autre idée (2022, 14 novembre) récupérée le 14 novembre 2022 sur https://techxplore.com/news/2022-11-australia-cyber-ransom-payments-backfire.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.