Les parlementaires préparent un texte de loi sur la sécurité dans lequel les ransomwares sont évoqués. Un article prévoit d’autoriser l’intervention des assurances pour indemniser les victimes de ces tentatives d’extorsion, mais sous conditions.

C’était une recommandation de la direction générale du Trésor. C’est maintenant une mesure qui entrera bientôt dans la loi : pour obtenir une indemnisation de la part de son assurance en cas de rançongiciel, la victime devra impérativement déposer plainte auprès des autorités. Surtout, elle devra déposer son signalement au bon moment.

Le projet de loi d’orientation et de programmation du ministère de l’Intérieur contient en effet une disposition à l’article 4, dans le cadre d’une rubrique portant sur la lutte contre la cybercriminalité. Le texte, déposé début septembre, a été adopté en première lecture par le Sénat le 18 octobre, et est en discussion à l’Assemblée nationale depuis le 14 novembre.

Le prix du bitcoin impacte les ransomwares // Source : Canva
Le genre de menace qui apparait à l’écran lorsque l’on est frappé par une de ces extorsions. // Source : Canva

Pour toucher une indemnisation, l’article exige donc de la victime d’un rançongiciel qu’elle dépose une pré-plainte en ligne, mais à un moment bien précis : il faut que celle-ci soit envoyée « dans les 24 heures suivant l’attaque et avant tout paiement de cette rançon ». Hors de cadre, l’organisation victime de ce chantage aux données ne pourra prétendre à quoi que ce soit.

Ce cadre est toutefois susceptible d’évoluer — il s’agit-là de la version du texte adoptée par le Sénat. Le processus législatif pour ce texte n’étant pas encore achevé, les parlementaires ont encore la possibilité de changer ces conditions. Les sénateurs, lors de l’examen, ont adopté cette disposition telle qu’elle, sans en changer une virgule.

Des attaques par rançongiciel en plein boom

Les ransongiciels (ou ransomwares en anglais) sont un type d’attaque informatique qui consiste à verrouiller des fichiers et des dossiers sur l’ordinateur, pour exiger en échange de leur libération le paiement d’une rançon en cryptomonnaie. C’est une menace qui est en pleine croissance, avec des attaques qui touchent tout le monde : particuliers, entreprises, services publics.

Les ransomwares rapportent beaucoup d’argent à leurs auteurs, ce qui explique l’étendue des attaques et l’agressivité croissante des pirates (les logiciels ne coûtent que quelques centaines voire quelques milliers d’euros, mais les opérations peuvent rapporter des centaines de milliers d’euros, voire des millions). C’est aujourd’hui la menace la plus répandue, avec le phishing.

En principe, la règle face à un ransomware est de ne surtout pas payer la rançon, car cela peut inciter les pirates à revenir — puisque la victime a déjà craqué une première fois. Par ailleurs, il n’est pas toujours sûr que les auteurs du ransomware tiennent parole et fournissent tout le nécessaire pour retrouver ses fichiers et ses dossiers après le paiement de la rançon.

Le nombre de ransomwares est en baisse  // Source : Canva
Les ransomwares verrouillent le contenu de l’ordinateur et vous menacent de tout effacer si vous ne payez pas vite. // Source : Canva

Pour se prémunir face à ce genre d’évènement, de nombreuses recommandations existent. Elles incluent des sauvegardes très régulières de ses données, la mise à jour continue de ses logiciels de segmenter son infrastructure informatique et son réseau, d’utiliser des outils de protection informatique (antivirus, antimalware, etc.) et de limiter les droits d’accès.

L’arrivée des assurances dans la boucle n’est toutefois pas vue favorablement par tout le monde : des experts de ces opérations considèrent que leur intervention est contreproductive, car elle peut donner l’impression aux sociétés qu’elles peuvent payer en ayant l’impression que les frais avancés pour l’extorsion ou les dégâts subis seront pris en charge par l’assurance.

L’assurance pourrait donc pousser à payer la rançon et elle pourrait aussi contrarier les efforts de pédagogie et d’investissement dans la sécurité — en se disant qu’il existe un filet de sécurité, des entreprises pourraient être incitées involontairement à un certain relâchement en matière de prévention des risques : en clair, en dépensant pour réduire sa surface d’attaque.