Ransomwares : les payeurs dans le viseur du législateur américain

Forcer certains payeurs de rançons à se signaler : c’est le sens d’une proposition de loi bicamérale déposée aux États-Unis.

Les attaques de ransomwares, en hausse de 62 % dans le monde entre 2019 et 2020 ? Et de 158 % en Amérique du Nord ? Elizabeth Warren a choisi ces indicateurs – sourcés chez SonicWall – pour contextualiser le Ransom Disclosure Act.

La sénatrice du Massachusetts porte cette proposition de loi avec la représentante de Caroline du Nord Deborah Ross. Objectif : mieux comprendre le mécanisme des rançons.

Le texte s’appliquerait à toute entité publique ou privée (gouvernements locaux compris, individus exclus) remplissant l’une des conditions suivantes :

Réaliser du commerce inter-états ou avoir une activité affectant le commerce inter-états
Recevoir des dotations fédérales

Ces entités, au cas où elles paieraient une rançon, seraient dans l’obligation de le révéler sous 48 heures au département de la Sécurité intérieure. Elles s’exposeraient sinon à des sanctions… non déterminées pour l’heure.

Elles auraient à fournir les informations suivantes :

Date de la demande de rançon et date du paiement
Montant demandé et montant payé
Devise utilisée
Si possible, des données sur l’identité du rançonneur

Le DHS aurait 60 jours à compter de l’entrée en vigueur pour proposer un canal de transmission de ces informations. Il disposerait d’un an maximum pour les afficher sur un site accessible au public – en masquant les données susceptibles de permettre l’identification des victimes. L’ensemble serait ensuite actualisé à fréquence annuelle.

Au plus 15 mois après l’entrée en vigueur du texte, le DHS aurait à soumettre un rapport au Congrès. Il lui appartiendrait, en particulier, de jauger dans quelle mesure les cryptomonnaies favorisent les attaques de ransomwares.