Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les victimes de ransomwares qui paient pourraient se voir infliger de lourdes amendes par l'Oncle Sam,
La sanction s'applique même aux sociétés de sécurité et de financement impliquées

Le , par Stan Adkens

47PARTAGES

4  0 
Les entreprises, les gouvernements et les organisations qui sont victimes d'attaques paralysantes aux ransomwares doivent désormais faire face à de nouvelles inquiétudes : le ministère américain des Finances leur infligera de lourdes amendes s'ils doivent verser des rançons aux cyberacteurs pour récupérer leurs données. Un avis publié jeudi par les fonctionnaires du Département du Trésor a officialisé cette sanction.

L’avis avertit que les paiements effectués à des entités spécifiques ou à toute entité dans certains pays - en particulier, ceux ayant un "lien de sanction" désigné - pourraient soumettre le payeur à des sanctions financières prélevées par l'Office of Foreign Assets Control (OFAC). L'interdiction s'applique non seulement à l’organisation qui est infectée, mais aussi à toutes les sociétés ou entrepreneurs avec lesquels l’organisation piratée s'engage, y compris ceux qui fournissent une assurance, une expertise numérique et une réponse aux incidents, ainsi que tous les services financiers qui aident à faciliter ou à traiter les paiements de rançon.


Les pertes financières dues aux activités de cybercriminalité et aux attaques de ransomwares en particulier ont monté en flèche ces dernières années. Selon un rapport publié l’année dernière par l’Internet Crime Complaint Center du FBI, les gains totaux de la cybercriminalité avaient grimpé en flèche à 2,7 milliards de dollars en 2018. Le département du Trésor a imposé des sanctions économiques à plusieurs cybercriminels et groupes de cybercriminalité, en gelant effectivement tous les biens et intérêts de ces personnes (soumises à la juridiction américaine) et faisant des transactions avec elles un crime.

Un certain nombre de personnes sanctionnées ont été étroitement liées à des attaques de ransomwares et de logiciels malveillants, notamment le groupe nord-coréen Lazarus ; deux Iraniens dont on pense qu'ils sont liés aux attaques de rançon de SamSam ; Evgeniy Bogachev, le développeur de Cryptolocker ; et Evil Corp, un syndicat cybercriminel russe qui a utilisé des logiciels malveillants pour extraire plus de 100 millions de dollars des entreprises victimes, a rapporté le journaliste américain spécialiste en cybersécurité Brian Krebs.

Le FBI et d'autres organismes d'application de la loi ont tenté de décourager les entreprises victimes des cyberattaques de payer leurs extorqueurs, en faisant remarquer que cela ne fait que contribuer à financer d'autres attaques. Mais dans l’optique de reprendre rapidement leurs activités habituelles, un grand nombre de victimes préfèrent payer. En outre, les compagnies d'assurance facilitent souvent les paiements, car le montant demandé est finalement inférieur à ce que l'assureur pourrait avoir à payer pour couvrir le coût des désagréments subis par l'entreprise touchée pendant des jours ou des semaines, selon Krebs.

Mais ce raccourci ne sera plus très pratique pour ces entreprises aux États-Unis. L'OFAC du Département du Trésor a déclaré dans son avis que « les entreprises qui facilitent le paiement de rançons aux cyberacteurs au nom des victimes, y compris les institutions financières, les compagnies d'assurance et les entreprises impliquées dans la criminalistique numérique et la réponse aux incidents, non seulement encouragent les futures demandes de paiement de rançons, mais risquent également de violer les règlements de l'OFAC ».

Les cyber-assureurs ont augmenté les tarifs et essayé de limiter l'exposition des clients vulnérables en raison de la multiplication des demandes de rançon coûteuses ces dernières années. Les cyber-polices couvrent souvent les rançons, la récupération des données, les responsabilités juridiques et les négociateurs parlant couramment le même langage avec des pirates, d’après Reuters.

Les demandes de paiement de rançon ont augmenté pendant la pandémie, car les gens travaillent à distance et les pirates informatiques ciblent les systèmes en ligne. Le montant moyen des rançons a augmenté de 60 % entre le premier et le deuxième trimestre, pour atteindre 178 254 dollars, selon Coveware, une société qui aide à négocier et à faciliter le paiement des cyber-rançons.

Selon le nouvel avis, ceux qui enfreignent les sanctions de l'OFAC sans une dispense spéciale ou une "licence" du Trésor peuvent faire face à plusieurs répercussions juridiques, y compris des amendes allant jusqu'à 20 millions de dollars.

Le paiement d'une rançon aux cyberacteurs ne garantit pas l'accès aux données volées

Les pirates informatiques utilisent des logiciels de rançon pour démanteler des systèmes qui contrôlent tout, de la facturation des hôpitaux à la fabrication. Ils ne s'arrêtent qu'après avoir reçu des paiements importants, généralement payés en cryptomonnaie.

Selon les avertissements de l’OFAC et du Financial Crimes Enforcement Network (FinCEN) du Trésor américain, « Faciliter le paiement d'une rançon exigée à la suite d'activités cybernétiques malveillantes peut permettre aux criminels et aux adversaires ayant un lien avec les sanctions de profiter et de faire progresser leurs objectifs illicites ».

« Par exemple, les paiements de rançon effectués à des personnes sanctionnées ou à des juridictions faisant l'objet de sanctions globales pourraient être utilisés pour financer des activités contraires aux objectifs de sécurité nationale et de politique étrangère des États-Unis. Les paiements de rançon peuvent également encourager les cyberacteurs à s'engager dans de futures attaques. En outre, le paiement d'une rançon aux cyberacteurs ne garantit pas que la victime retrouvera l'accès à ses données volées », lit-on.


La ville de Baltimore a subi une perte de plus de 18 millions de dollars après que ses systèmes informatiques aient été bloqués l’année dernière. Les attaquants à l'origine de l’attaque de ransomware avaient exigé 70 000 dollars, ce que la ville a refusé de payer. Faut-il donc préférer payer ou pas ?

Avant, les entreprises pouvaient décider de payer ou non les cybercriminels, a dit Alon Gal, directeur de la technologie à Hudson Rock, selon Reuters. Maintenant que ces décisions sont placées sous la surveillance du gouvernement, « nous allons assister à un traitement beaucoup plus sévère de ces incidents », a-t-il ajouté.

Bien qu'il puisse sembler peu probable que les entreprises victimes de rançon puissent d'une manière ou d'une autre savoir si leurs extorqueurs sont actuellement sanctionnés par le gouvernement américain, elles peuvent toujours être condamnées à une amende dans un sens ou dans l'autre, a déclaré Ginger Faulk, associée du bureau de Washington du cabinet d'avocats Eversheds Sutherland.

Faulk a déclaré que l'OFAC peut imposer des sanctions civiles pour des violations de sanctions basées sur la "responsabilité stricte", ce qui signifie qu'une personne soumise à la juridiction américaine peut être tenue civilement responsable même si elle ne savait pas ou n'avait pas de raison de savoir qu'elle effectuait une transaction avec une personne qui est interdite en vertu des lois et règlements sur les sanctions administrées par l'OFAC.

« En d'autres termes, pour être tenu pour responsable au civil (administratif) (par opposition au pénal), aucune mens rea ou même "raison de savoir" que la personne est sanctionnée n'est nécessaire en vertu des règlements de l'OFAC », a déclaré Faulk.

Il n’est pas définitivement interdit de payer des rançons

Selon Fabian Wosar, directeur technique de la société de sécurité informatique Emsisoft, les politiques du Trésor ne sont pas nouvelles et qu'elles constituent principalement un avertissement pour les entreprises victimes qui ne travaillent peut-être pas déjà avec les forces de l'ordre et/ou des sociétés de sécurité tierces. Wosar a déclaré que les entreprises qui aident les victimes d’attaques de ransomware à négocier des paiements moins élevés et à faciliter l'échange financier sont déjà conscientes des risques juridiques liés aux violations de l'OFAC, et refusent généralement les clients qui sont touchés par certaines souches de ransomware.

« Selon mon expérience, l'OFAC et la cyber-assurance sont en communication constante avec leurs négociateurs sous contrat », a déclaré Wosar. « Il y a même souvent des processus de compensation en place pour vérifier le risque que certains paiements violent l'OFAC ». Dans ce sens, l'OFAC a déclaré que le degré de conscience d'une personne ou d'une entreprise sur la conduite en question est un facteur que l'agence peut prendre en compte dans l'évaluation des sanctions civiles.

« Selon les directives d'application de l'OFAC, l'OFAC considérera également que le rapport complet, opportun et spontané d'une entreprise sur une attaque de ransomware à l'intention des forces de l'ordre est un facteur atténuant important pour déterminer un résultat approprié en matière d'application si la situation est ensuite déterminée comme ayant un lien avec les sanctions », ont écrit les responsables de l’organisme. « L'OFAC considérera également que la coopération totale et opportune d'une entreprise avec les services de répression, tant pendant qu'après une attaque de ransomware, est un facteur atténuant important lors de l'évaluation d'un résultat possible en matière d'application de la loi ».

L'avis a également averti que les entreprises de cybersécurité pourraient devoir s'enregistrer comme entreprises de services financiers si elles aident à effectuer des paiements de rançon. Cela imposerait une nouvelle obligation de signalement à un secteur auparavant peu réglementé de l'industrie de la cybersécurité.

Source : L’avis du Département du Trésor

Et vous ?

Que pensez-vous de ce nouveau régime de sanctions ?
Les entreprises de cybersécurité pourraient devoir s'enregistrer comme entreprises de services financiers si elles aident à effectuer des paiements de rançon, selon l’avis. Quel commentaire en faites-vous ?
Que recommanderiez-vous aux entreprises qui sont souvent victimes des attaques de ransomwares pour ne pas tomber sous le coup de cette sanction ?

Voir aussi :

Des hackers ont attaqué les ordinateurs de la ville de Baltimore au ransomware, bloquant l'accès à certains services essentiels depuis deux semaines
Les gains totaux de la cybercriminalité ont grimpé en flèche à 2,7 milliards de dollars, avec au total 351 936 plaintes reçues en 2018, selon le FBI
Les violations de données ont coûté aux organisations américaines 1,8 billion $ au cours des 2 dernières années, avec l'accès non autorisé comme l'attaque la plus courante en 2019, selon un rapport
356 millions USD de cryptomonnaies volés au cours des trois premiers mois de 2019, selon un rapport de CipherTrace

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Sodium
Membre extrêmement actif https://www.developpez.com
Le 02/10/2020 à 11:47
Ca me paraît une mesure dure mais qui risque d'être bénéfique à long terme. Sauf si les entreprises décident que payer la rançon plus l'amende reste plus rentable évidemment...
1  0 
Avatar de Jeff_67
Nouveau membre du Club https://www.developpez.com
Le 02/10/2020 à 16:53
Plus exactement, les entreprises non-US pourront se voir infliger de lourdes amendes. La justice extra-territoriale est une arme comme une autre dans la guerre économique que mènent les USA contre le reste du monde.
0  0 
Avatar de tanaka59
Membre expert https://www.developpez.com
Le 07/10/2020 à 23:21
Bonsoir,

Que pensez-vous de ce nouveau régime de sanctions ?
Les amendes pour paiements de rançons sont une bonne mesure. Trop d'entreprises taissent les faits et payent le rançon ... Il y aussi le double effet pervers du piratage et rançonnage, les hackers vendent les datas volées et rançonnées en se moquant royalement de déchiffrés les datas après paiement ...

Dans le fond c'est comme en France ou les banques remboursent de moins en moins après un phishing . On communique suffisamment pour que la population face attention et se responsabilise.

Les entreprises de cybersécurité pourraient devoir s'enregistrer comme entreprises de services financiers si elles aident à effectuer des paiements de rançon, selon l’avis. Quel commentaire en faites-vous ?
L'idée est de ne pas avoir un puit sans fond ... l'argent pour payer les rançons venant d'assurances ou de banque coutent une blinde .

Que recommanderiez-vous aux entreprises qui sont souvent victimes des attaques de ransomwares pour ne pas tomber sous le coup de cette sanction ?
Ne pas payer . C'est comme lors d'un cambriolage ou d'un sinistre avec destruction . Ce qui est définitivement perdu est perdu et ne se récupéra jamais. On communique suffisamment sur les risques et de prévoir des sauvegardes pour les limiter et / ou atténuer.

Mieux vaut perdre 1 millions d'€ un jour donné que de faire couler une boite de 30 ou 40 ans d'existences ...
0  0