Pour gérer vos consentements :
Categories: RansomwareSécurité

Ransomwares : la France cède-t-elle « trop facilement » ?

La France, poule aux œufs d’or pour les opérateurs de ransomwares ? On en a débattu hier au Sénat, à l’occasion d’une table ronde sur la cybersécurité des ETI, PME et TPE.

Parmi les intervenants figurait Johanna Brousse. L’intéressée est vice-procureur au tribunal judiciaire de Paris. Elle dirige la section J3, dédiée à la lutte contre la cybercriminalité. Chiffres à l’appui, elle a peint un sombre tableau de la menace rançongiciel. Et soulevé, entre autres éléments, « une vraie question qui mérite toute [notre] attention » : celle du paiement des rançons.

« Aujourd’hui, la France est l’un des pays les plus attaqués […] parce que nous payons trop facilement », a déclaré la magistrate. Dans son collimateur, en particulier, les assureurs.
Guillaume Poupard se montre tout aussi dubitatif à leur propos. Certains jouent « un jeu trouble », affirme le directeur général de l’ANSSI. Non sans admettre qu’il en va de choix rationnels : il est tentant de payer quelques millions d’euros de rançon plutôt que des dizaines de millions d’euros de préjudice.

Ransomwares : les États-Unis, bon ou mauvais exemple ?

On est là dans un dilemme du prisonnier, où l’intérêt individuel est toujours de trahir, résume Guillaume Poupard. Bref, « on a un gros travail » pour enclencher une dynamique de résistance collective. Aux États-Unis, la Conférence des maires avait donné une impulsion dans ce sens à l’été 2019. L’organisation avait appelé les villes qu’elle représente – celles de plus de 30 000 habitants – à ne plus payer les rançons.

Guillaume Poupard, DG de l’ANSSI, intervient à la table ronde sur la cybersécurité des ETI, PME et TPE au Sénat. © DR

En France aussi, on mise sur l’exemplarité des acteurs publics. Parmi eux, les hôpitaux, cibles phares ces derniers mois. Pourquoi une telle recrudescence des attaques à leur encontre alors qu’ils ne peuvent pas payer ? s’est interrogé un membre de la DGE présent à la table ronde. On lui a donné la réponse suivante : les établissements de santé américains ont donné le mauvais exemple, en étant les premiers à payer. Les grandes municipalités ont fait de même jusqu’à l’accord sus-évoqué.

Quant aux assureurs, il faudra, reconnaît Guillaume Poupard, « faire la chasse à tous ces intermédiaires un petit peu gris […] qui vont se rémunérer parfois sur leur capacité à négocier, avec les criminels, l’abaissement des rançons ». Un comportement que le DG de l’ANSSI qualifie d’« extrêmement malsain ».

La J3 contre les silos

La section J3 fait partie de la Junalco (Juridiction nationale de lutte contre la cybercriminalité organisée), née l’an dernier. Chargée de se saisir des affaires les plus « emblématiques » dans ce domaine, elle centralise les dossiers sur le plan national.

Une autre centralisation a été mise en place : celle des saisines en matière de ransomwares. La section J3 se saisit en l’occurrence de l’ensemble des dossiers sur le territoire national et co-saisit systématiquement la sous-direction de lutte contre la cybercriminalité (la police nationale, à Nanterre).

« On ne peut plus fonctionner en silos […] avec d’un côté le C3N qui va s’occuper de ses dossiers, le BL2C qui va s’occuper [des siens] et l’OCLCTIC qui va là encore travailler sur ses procédures », déclare à ce sujet Johanna Brousse. « Il faut créer des liens [car] aujourd’hui […], raisonner en termes de familles de ransomwares, c’est un non-sens, poursuit-elle. Vous avez des équipes interchangeables qui fonctionnent de manière transversale. […] Il est indispensable d’avoir une vue globale pour pouvoir cartographier la menace ». La démarche, assure-t-elle, a déjà porté ses fruits. Elle en veut pour preuve les opérations de démantèlement récemment menées contre Egregor et le botnet Emotet.

Cybercriminalité : au-delà des territoires

En l’état du droit demeure une difficulté : l’impossibilité, pour les services judiciaires, de communiquer officiellement des données à la DGSE et à l’ANSSI. Et vice versa. Une aberration, estime Johanna Brousse, quand on sait qu’aux États-Unis, les frontières sont bien plus poreuses entre l’appareil judiciaire et les services de renseignement. Aussi ces derniers peuvent-il avoir, dans le cadre des démarches de coopération internationale, connaissance d’informations que n’ont pas leurs homologues français. Le ministère de l’Intérieur porte actuellement une proposition de loi destinée à corriger le tir.

Autre complication : faire venir les cybercriminels en France pour les juger. Surtout lorsqu’ils se trouvent dans des pays qui ne collaborent pas.
Ce problème de « déterritorialisation » se retrouve dans la réaction aux attaques. De manière générale, on ne peut lancer un offensive sur des serveurs situés à l’étranger sans demander au préalable le concours des pays concernés.

Dans les cas les plus graves, la loi française permet de faire appel à des capacités offensives. Qui ne sont plus du domaine judiciaire, mais militaire. Par le biais du corpus existant, le Premier ministre peut aussi autoriser une démarche de « qualification » des menaces. C’est-à-dire la connexion à l’infrastructure d’attaque afin de « chercher à comprendre ce qui se passe », pour reprendre les termes de Guillaume Poupard.

Recent Posts

Violation de données : phishing et ransomware au top des menaces

Les attaques informatiques par hameçonnage et ransomwares ont augmenté respectivement de 11 et 6% l'an…

2 jours ago

IBM Think 2021 : IA à tous les étages

IBM fait le plein d'annonces solutions à l'occasion de sa conférence Think 2021. Une édition…

4 jours ago

Jamf, expert Apple, acquiert Wandera 400 M$

Wandera étend les capacités de sécurité "zero trust" mobile/cloud de Jamf, spécialiste des solutions de…

4 jours ago

Tiger Lake : au tour des stations de travail mobiles

Tout juste officialisées, les puces Tiger Lake-H arrivent sur plusieurs stations de travail mobiles Dell…

4 jours ago

Automatisation : Appian met à niveau sa plateforme low code

Appian met à niveau sa plateforme d'automatisation low code. L'accès aux données et le développement…

5 jours ago

Lura : une passerelle API chez la Fondation Linux

Destiné à développer des passerelles API, le framework KrakenD passe sous l'aile de la Fondation…

5 jours ago