Signaler les rançongiciels aux autorités
Écrit par Tomas Meskauskas le (mis à jour)
Table des matières
- Les incidents de rançongiciel doivent-ils être signalés ?
- Plus de raisons.
- Comment signaler un incident de rançongiciel ?
- Si vous êtes victime d'un rançongiciel, veuillez signaler cet incident aux autorités locales.
Être victime d'une cyberattaque, sans parler d'une attaque de rançongiciel, nécessite de prendre plusieurs décisions difficiles. Il ressort clairement d’un récent rapport d'Europol que le signalement de l’incident aux autorités est l’une de ces décisions difficiles. Le rapport a souligné à quel point les incidents de rançongiciel sont sous-déclarés et souvent les autorités n'entendent parler d'incidents que par les médias plutôt que par la victime.
Il est facile d'exiger que les victimes de crimes les dénoncent pour de nombreuses raisons juridiques et éthiques, sans parler pour aider les autorités à attraper ceux qui commettent des crimes. La réalité est que le fait d'être victime d'un crime comporte un certain degré de stigmatisation. Il peut être embarrassant d'admettre que vous avez été trompé ou arnaqué. Pour les organisations qui sont victimes d'attaques de rançongiciels, cette stigmatisation semble être l'une des principales raisons pour lesquelles le crime spécifique n'est pas signalé.
Le paysage actuel des menaces par rançongiciel a évolué pour inclure plusieurs gangs de rançongiciels ou même des gangs qui ont formé des "cartels" qui ciblent spécifiquement les grandes organisations, qu'il s'agisse d'entreprises privées ou d'agences gouvernementales. Ce changement, qui s'est véritablement produit vers le début de 2019, a abouti à la création d'organisations massives, certaines entreprises du Fortune 500 ont augmenté les listes toujours plus nombreuses de victimes. Garmin, Canon et Konica Minolta ne sont que quelques-unes des victimes de haut niveau qui ont été massivement touchées par un gang de rançongiciels.
La stigmatisation d'être victime de rançongiciels a pris un nouveau sens car les entreprises craignent l'impact qu'une telle attaque aura sur leurs relations avec leurs clients et partenaires. Cela peut être l'une des raisons de la sous-déclaration du crime. Tout cyberincident affecte non seulement le résultat net et la récupération des données peut être une perspective coûteuse, il faut aussi s'attendre à une atteinte à la réputation. Les experts estiment qu'être transparent en ce qui concerne un incident de rançongiciel peut aider à réparer les dommages à la réputation plus efficacement que lorsque des tentatives sont faites pour cacher l'affaire sous le tapis. Le reste de cet article explique pourquoi les incidents liés aux rançongiciels doivent être signalés aux autorités et, surtout, comment le faire.
Les incidents de rançongiciel doivent-ils être signalés ?
La réponse courte est oui, mais les réponses courtes ne font pas grand-chose pour exprimer l'importance de la question en premier lieu. La réponse la plus simple à donner est que pour de nombreuses organisations qui sont tenues de se conformer à certaines lois de conformité ou à un ensemble de normes, les violations de données doivent être signalées. Il y a un an, vous pouviez affirmer qu'un incident de rançongiciel n'équivalait pas à une violation de données ou à un cyber-incident où des informations sensibles appartenant à des clients ou des utilisateurs enregistrés d'un service ont été compromises. Le début de 2020 a brisé le débat académique sur la question de savoir si une attaque par rançongiciel était une violation de données ou non.
En janvier 2020, des informations ont commencé à apparaître selon lesquelles le gang de rançongiciels Maze menaçait de divulguer des données volées aux victimes avant que le rançongiciel ne soit exécuté et les données cryptées.
Bientôt, les menaces sont devenues réalité lorsque Maze a commencé à publier des données, qu'elles avaient volées via ce que l'on appellerait un "site de fuite", généralement hébergé dans un coin du dark web. Cela plaçait fermement les incidents spécifiques de rançongiciel dans la catégorie des violations de données et devait être traité comme tel. Pour de nombreux textes législatifs et normes de conformité, il est obligatoire de signaler les incidents aux autorités concernées spécifiées dans la législation.
Il est important de noter que malgré l'évolution des attaques par rançongiciels, y compris désormais l'exfiltration de données, parfois appelée "double extorsion", toutes les attaques de rançongiciels ne sont pas également des violations de données. Le facteur déterminant sera si les données ont été exfiltrées ou non. L'évolution la plus récente des tactiques concerne les gangs de rançongiciels qui utilisent des centres d'appels pour menacer davantage les victimes. Dans de nombreux pays, ce niveau accru d'abus peut être considéré comme un crime et doit donc également être signalé aux autorités chargées de l'application de la loi.
Plus de raisons
Si une victime est obligée de signaler un rançongiciel en raison de la législation, un argument solide pour signaler l'incident existe. Il existe plusieurs autres raisons de signaler les incidents de rançongiciel indépendamment des lois stipulant qu'ils devraient le faire. Premièrement, les informations que les responsables de l'application de la loi obtiennent du signalement de l'incident aux faits fournis par les spécialistes de la cybersécurité légale contribuent grandement à attraper les personnes impliquées.
En raison du niveau élevé d'anonymat accordé aux cybercriminels grâce à l'utilisation de technologies telles que le Dark Web et d'autres services d'anonymisation, attraper les personnes impliquées peut être une tâche difficile. Un qui au début peut être presque impossible. Cependant, au fil du temps, les chercheurs peuvent déterminer qui est derrière l'attaque ou, dans de nombreux cas, une série d'attaques. Le signalement de l'incident permet aux enquêteurs d'accéder aux informations vitales nécessaires pour faire exactement cela.
Deuxièmement, plus il y a de données collectées, mieux c'est en termes de sensibilisation et d'éducation. C'est le cas des forces de l'ordre et d'autres autorités chargées de défendre contre la cybercriminalité pouvant émettre des alertes. En règle générale, ces alertes contiennent des informations concernant les tactiques utilisées par des gangs spécifiques, les vecteurs privilégiés de compromis et les mesures pouvant être prises par d'autres organisations pour éviter d'être victime de la souche de rançongiciel spécifique couverte par l'alerte. Pour que ces alertes soient efficaces dans la lutte contre les gangs de rançongiciels, les informations doivent être de la plus haute qualité et les rapports des victimes sur les incidents contribuent à garantir la diffusion d'informations correctes.
Enfin, il est important de discuter de la nature internationale de la cybercriminalité. Les organisations cybercriminelles comme les gangs de rançongiciels cibleront les organisations en dehors de leur pays d'origine pour plusieurs raisons. En Russie, comme cela a été bien documenté, le gouvernement ferme les yeux sur les cybercriminels qui ciblent des organisations étrangères car les attaques ne nuisent pas à la politique de relations étrangères du gouvernement, ou pourraient même poursuivre des objectifs spécifiques.
De telles influences géopolitiques peuvent rendre difficile pour les forces de l'ordre de traduire ces personnes en justice, mais ce n'est pas impossible. De nombreux services répressifs travaillent ensemble pour lutter contre la cybercriminalité, notamment des organisations internationales comme Interpol et Europol . Les incidents signalés aident à fermer le cercle des cybercriminels menant à la saisie de serveurs et aux arrestations si les piliers de l'organisation voyagent à l'étranger. Les gouvernements peuvent également imposer des sanctions aux États soupçonnés d'abriter des cybercriminels.
Les raisons ci-dessus montrent certainement que le signalement des incidents de rançongiciel profite aux forces de l'ordre, mais qu'en est-il de l'organisation concernée? Lorsque des incidents sont signalés, l'application de la loi est en mesure de fournir des conseils de remédiation précieux qui pourraient facilement s'avérer utiles pour le rétablissement rapide d'une organisation. En outre, plusieurs organismes chargés de l'application de la loi ont établi des partenariats avec des sociétés de sécurité privées pour mettre des décrypteurs gratuits à la disposition des personnes concernées. Le signalement d'un incident peut aider les chefs d'entreprise à obtenir le décrypteur dont ils ont besoin pour se remettre d'une attaque. Des partenariats comme No More Ransom cherchent à créer une base de données d'informations sur les rançongiciels ainsi que des décrypteurs pour aider toutes les personnes concernées.
Comment signaler un incident de rançongiciel ?
Pour signaler un incident, l'autorité locale compétente devra être contactée. Auparavant, cela peut se produire dans la mesure où il faut collecter beaucoup de données médico-légales relatives à l'incident. Cela peut être fait par du personnel informatique qualifié. Notez que les informations nécessaires pour signaler une attaque de rançongiciel seront différentes selon le fait que vous signalez une attaque contre votre entreprise ou simplement en tant qu'utilisateur d'un ordinateur personnel. En général, les organisations peuvent être invitées à fournir les informations suivantes lorsqu'elles signalent l'incident :
- Les informations de votre organisation (secteur, type d'entreprise, taille) et qui est le mieux placé pour communiquer avec les autorités à l'avenir.
- Date et heure approximatives de l'attaque du rançongiciel.
- Comment l'attaque s'est produite (via un lien courriel ou une pièce jointe, une vulnérabilité exploitée, un port RDP mal configuré, etc.)
- Une copie ou une photo de la note de demande de rançon ou de l'écran de verrouillage.
- Nom de la variante du rançongiciel (généralement inclus dans la note de rançon ou l'extension de fichier cryptée ajoutée après le cryptage.)
- Toutes les adresses IP pertinentes connectées à votre réseau que vous ne reconnaissez pas.
- L'extension de fichier des fichiers cryptés.
- Adresse courriel, URL ou toute autre méthode de communication fournie par l'auteur de la menace.
- Copies électroniques de toute communication que vous avez eue avec l'acteur menaçant.
- L'adresse du portefeuille Bitcoin de l'acteur de la menace est souvent fournie soit sur la note de rançon, soit dans les communications ultérieures avec l'attaquant.
- Montant de la rançon demandé et montant de la rançon payé.
- Pertes globales associées à l'attaque du rançongiciel, y compris le montant de la rançon.
Si vous êtes victime d'un rançongiciel, veuillez signaler cet incident aux autorités locales :
Australie ACSC |
Autriche Polizei |
Belgique Police |
Brésil Polícia Federal |
Bulgarie CyberCrime |
Canada Centre for Cyber Security |
Croatie Ministry of the Interior |
Chypre Cyber Crime Police |
République Tchèque Policie |
Danemark Politi |
Angleterre Action Fraud |
Estonie Politsei |
Finlande Poliisi |
France Ministère de l'Intérieur |
Alemania Polizei |
Grèce Hellenic Police |
Hong Kong Hong Kong Police |
Hongrie Rendőrség |
Inde Cyber Crime Cell |
Iran Cyber Police |
Irlande Garda Síochána |
Israel Nomoreransom project |
Italie Polizia di Stato |
Japon Cybercrime Project |
Lettonie Policija |
Lithuanie ePolicija |
Luxembourg Police |
Malte Pulizija |
Pays bas Politie |
Nouvelle Zélande Police |
Russie Ministry of Internal Affairs |
Ecosse Police Scotland |
Singapour Singapore Police Force |
Slovaquie Ministerstvo Vnútra |
Slovénie Policija |
Corée du Sud National Police Agency |
Espagne Policía Nacional |
Suisse Polisen |
Ukraine Cyber Police |
États-Unis IC3 |