Une patate chaude : les autorités ont toujours tendance à informer les victimes de cyberattaques de ne pas payer la rançon aux cybercriminels, car cela est souvent infructueux, mais c’est parfois la seule option. En Australie, le gouvernement veut mettre fin à cette pratique et, ce faisant, empêcher les occurrences de ransomware en rendant ces paiements illégaux.
L’Australie a récemment été frappée par deux des plus grandes violations d’informations de l’histoire. Il y a d’abord eu le piratage de l’énorme télécom Optus qui a entraîné la fuite des données personnelles de près de 2,1 millions de consommateurs, puis est venue l’attaque contre le fournisseur de services d’assurance médicale privée Medibank qui a compromis les dossiers de 9,7 millions de consommateurs actuels et anciens.
Les pirates informatiques russes liés à REvil derrière l’attaque de Medibank ont déjà publié les dossiers de plus d’un million de personnes. Ils menacent d’en lancer d’autres s’ils n’obtiennent pas de rançon, ce que Medibank refuse de payer.
Les événements ont en fait conduit le gouvernement australien à envisager d’interdire le paiement de rançons par les victimes de la cybercriminalité. La ministre australienne des affaires intérieures et ministre de la cybersécurité, Clare O’Neil, a confirmé que les plans faisaient partie d’une cybertechnique plus large consistant en 100 officiers entrant dans une toute nouvelle opération permanente conjointe contre la cybercriminalité.
Criminalisation le paiement de rançons aux cyberattaquants entraînerait probablement une diminution des événements, mais un autre résultat attendu serait que les organisations cesseraient de travailler aux attaques de l’État et paieraient les pirates en privé. Les rançongiciels peuvent sécuriser tous les systèmes d’une entreprise. Ainsi, lorsque les propriétaires font face à une éventuelle faillite personnelle ou enfreignent la loi, certains peuvent décider que le paiement silencieux de l’argent est une meilleure alternative.
Les États-Unis ont également envisagé d’interdire tout paiements de rançongiciels. Le FBI a conseillé au Congrès de ne pas prendre cette mesure car cela entraînerait des risques d’extorsion supplémentaires pour les méchants, c’est-à-dire menacer de dénoncer une organisation pour avoir payé la rançon/ne pas divulguer un piratage.
Ne pas exposer les incidents de piratage aux autorités, souvent en raison de la publicité négative qu’elles apportent, n’est pas un phénomène nouveau. Le mois dernier, Joe Sullivan, l’ancien agent de sécurité principal d’Uber, a été reconnu coupable d’accusations liées à la dissimulation d’un piratage en 2016 sur le géant du covoiturage. Il a été accusé d’entrave à la justice pour ne pas avoir révélé l’infraction à la FTC. Il a également été condamné pour avoir activement caché un crime ou une erreur de prise de vue.
Masthead : Andrey_Popov
Toute l’actualité en temps réel, est sur L’Entrepreneur
