L’annonce surprise du FBI lundi qu’il avait saisi une partie de la rançon que Colonial Pipeline a payée aux pirates informatiques a été un double choc.

D’une part, c’était une nouvelle majeure que le gouvernement américain avait fléchi sa cybersécuritémuscles au nom du propriétaire et de l’exploitant du plus grand pipeline de carburant du pays, reprenant un compte bitcoin et marquant la première récupération publique de fonds d’un gang connu de ransomware.

D’un autre côté, cela a soulevé une question : pourquoi les États-Unis n’avaient-ils pas fait cela avant ?

Les ransomwares sont un problème omniprésent et permanent depuis des années, mais qui a entraîné peu de mesures de la part des autorités. Et bien que la récupération d’une partie de la rançon ait marqué un nouveau front pour les États-Unis, cela fait également allusion aux options relativement limitées pour dissuader les pirates.

Philip Reiner, PDG de l’Institute for Security and Technology, un groupe de réflexion de San Francisco qui a produit un rapport fondateur sur les politiques de lutte contre les ransomwares, a salué la décision du FBI comme étant importante, mais a déclaré qu’il était difficile de supposer autre chose que cela.

« Il reste à voir dans quelle mesure le FBI peut soutenir ce genre d’action », a déclaré Reiner. « C’est un grand premier pas, mais nous devons en voir beaucoup plus. »

Le FBI a récupéré une somme d’argent importante – 63,7 bitcoins, d’une valeur d’environ 2,3 millions de dollars – mais il ne s’agit que d’une infime partie de l’argent que gagnent les groupes de ransomware. DarkSide, le groupe de hackers qui a violé Colonial, a engrangé plus de 90 millions de dollars depuis qu’il est devenu un groupe de hackers public opérationnel à l’automne 2020, selon l’analyse d’Elliptic, une société qui suit les transactions de crypto-monnaie.

Et DarkSide n’était même pas l’un des groupes de ransomware les plus prolifiques, a déclaré Brett Callow, analyste de la société de cybersécurité Emsisoft.

« Bien que la saisie des fonds soit positive, je ne pense pas que cela aura un effet dissuasif du tout », a déclaré Callow dans un message texte. « Pour les criminels, c’est gagner certains, perdre certaines situations, et le montant qu’ils gagnent signifie que la perte occasionnelle est un revers mineur. »

JBS, l’une des plus grandes usines de transformation de viande aux États-Unis, a annoncé mercredi avoir payé 11 millions de dollars à ses pirates informatiques, REvil, même après avoir restauré la plupart de ses fichiers. Le raisonnement de la société, a-t-il déclaré, était qu’elle craignait des problèmes informatiques persistants et la possibilité que les pirates informatiques divulguent des fichiers.

La récupération de la rançon intervient alors que le ransomware – un sujet important dans le monde de la cybersécurité et discrètement répandu – est devenu un problème de sécurité nationale, le président Joe Biden s’étant engagé à agir.

Le piratage de Colonial Pipeline, qui a conduit certaines stations-service à manquer de carburant et de brèves craintes d’une panne importante, a été un tournant dans la réponse des États-Unis au ransomware. Il a attiré l’attention nationale et le ministère de la Justice a rapidement décidé qu’il élèverait les ransomwares au même rang de priorité que les affaires de terrorisme.

Pour les experts en cybersécurité, cette attention était attendue depuis longtemps. Les Américains ont subi des attaques de ransomware dans pratiquement tous les domaines de la vie ces dernières années. Les mêmes types de pirates ont accumulé des fortunes en fermant et en extorquant des entreprises, des gouvernements municipaux et de comté et des postes de police. Ils ont fermé des écoles et ralenti les hôpitaux à un rythme effréné. L’épidémie de ransomware a causé 75 milliards de dollars de dommages rien qu’en 2020, selon Emsisoft.

Le FBI est au courant du problème depuis le début. Il a reçu des plaintes de 2 474 victimes de ransomwares rien qu’en 2020, et continue de construire des dossiers de longue date sur les pirates de ransomwares.

Mais l’agence est confrontée à des problèmes de compétence difficiles. Si les pirates étaient basés aux États-Unis, cela pourrait les arrêter directement. S’ils se trouvaient dans un pays avec un accord d’application de la loi avec les États-Unis, le FBI pourrait s’associer à des collègues de ce pays pour organiser une arrestation.

Mais la majorité des gangs de ransomware les plus prolifiques sont basés en Russie ou dans d’autres pays d’Europe de l’Est qui n’extradent pas leurs citoyens vers les États-Unis.

Dans le passé, les États-Unis ont pu arrêter des cybercriminels russes alors qu’ils traversaient des pays qui ont conclu un tel accord avec les États-Unis. Mais jusqu’à présent, aucun cas de ce type n’a été rendu public avec les opérateurs de ransomware.

Cela laisse à l’agence des options plus limitées sur la façon dont elle a pu répondre. Des personnes comme Reiner, le PDG à l’origine du rapport sur la politique des ransomwares, ont fait valoir que le meilleur moyen de réduire rapidement l’impact des pirates informatiques était de perturber leurs paiements, ce que le FBI a finalement annoncé lundi.

« Pourquoi cela ne se produit-il que maintenant ? » dit Reiner. « Je pense que nous pouvons être assurés que les gens du côté criminel vérifient définitivement leurs systèmes et se regardent, se demandant ce qui s’est passé. Cela met un bégaiement dans leur démarche. »

Le FBI a été délibérément vague lundi en décrivant exactement comment il avait saisi les fonds. Les comptes Bitcoin fonctionnent un peu comme une adresse e-mail : les utilisateurs ont un compte public, appelé portefeuille, auquel on peut accéder avec un mot de passe secret, appelé clé. Dans la demande de mandat du FBI pour saisir les fonds, il a simplement dit que « la clé privée » est « en la possession du FBI dans le district nord de Californie », sans préciser comment il a obtenu cette clé privée.

S’adressant aux journalistes lors d’un appel à la presse, Elvis Chan, un agent spécial adjoint en charge du bureau du FBI à San Francisco, a déclaré que l’agence ne voulait pas préciser comment elle était entrée en possession de la clé afin que les pirates criminels soient moins susceptibles de trouver des moyens de le contourner.

« Je ne veux pas abandonner notre métier au cas où nous voudrions l’utiliser à nouveau pour de futurs efforts », a-t-il déclaré.

Cela signifie qu’on ne sait pas à quelle fréquence le FBI pourra le déployer. On ne sait pas, par exemple, pourquoi l’agence n’a pas été en mesure de récupérer tout l’argent versé par Colonial.

Chan a cependant indiqué que la méthode n’était pas limitée aux criminels commettant l’erreur majeure d’utiliser un service de crypto-monnaie américain lors de la circulation de leur argent.

« L’étranger n’est pas un problème pour cette technique », a-t-il déclaré.

Gurvais Grigg, directeur de la technologie du secteur public chez Chainalysis, une entreprise qui suit les transactions bitcoin, a déclaré que même si arrêter les pirates ransomware serait le meilleur moyen de dissuasion, arrêter leur flux d’argent est d’une grande aide.

« Il est important d’identifier ceux qui ont mené une attaque, de mettre des menottes aux poignets, de saisir les gains mal acquis qu’ils ont et de les restituer à la victime. Cela doit rester un objectif. Mais il faut plus que cela », a déclaré Grigg. dans une interview Zoom.

« La clé pour perturber les ransomwares est de perturber la chaîne d’approvisionnement des ransomwares », comme leurs paiements, a-t-il déclaré.