Une patate chaude : Les autorités ont toujours tendance à dire aux victimes de cyberattaques de ne pas payer la rançon aux cybercriminels, car cela est souvent infructueux, mais c’est parfois la seule option. En Australie, le gouvernement espère mettre fin à cette pratique et, ce faisant, décourager les incidents liés aux rançongiciels en rendant ces paiements illégaux.
L’Australie a récemment été frappée par deux des plus importantes violations de données de l’histoire. Le premier a été le piratage du géant des télécommunications Optus qui a vu les informations personnelles de près de 2,1 millions de clients divulgués, puis est venue l’attaque contre le fournisseur d’assurance maladie privé Medibank qui a compromis les dossiers de 9,7 millions de clients actuels et anciens.
Les pirates informatiques russes liés à REvil derrière l’attaque de Medibank ont déjà publié les dossiers de plus d’un million de personnes. Ils menacent d’en libérer davantage à moins qu’ils ne reçoivent une rançon, que Medibank refuse de payer.
Les incidents ont conduit le gouvernement australien à envisager de rendre illégaux les paiements de rançon par les victimes de la cybercriminalité. La ministre australienne des affaires intérieures et ministre de la cybersécurité, Clare O’Neil, a confirmé que les plans faisaient partie d’une cyberstratégie plus large qui comprend 100 officiers faisant partie d’une nouvelle opération permanente conjointe contre la cybercriminalité.
J’ai un message pour tous les cybercriminels : l’Australie riposte.#Initiés pic.twitter.com/jEyk6rzgGj
— Députée Clare O’Neil (@ClareONeilMP) 13 novembre 2022
La criminalisation du paiement de rançons aux cyberattaquants entraînerait probablement une diminution des incidents, mais un autre résultat attendu serait que les organisations ne déclarent pas les attaques et paient les pirates en secret. Les ransomwares peuvent chiffrer tous les systèmes d’une entreprise. Ainsi, lorsque les propriétaires sont confrontés à une faillite potentielle ou enfreignent la loi, certains pourraient décider que payer l’argent en toute discrétion est une meilleure option.
Les États-Unis ont également envisagé d’interdire tous les paiements de rançongiciels. Le FBI a conseillé au Congrès de ne pas prendre cette mesure car cela conduirait à de nouvelles opportunités d’extorsion pour les criminels, c’est-à-dire menacer de dénoncer une organisation pour avoir payé la rançon/non divulgué un piratage.
Ne pas révéler les incidents de piratage aux autorités, souvent en raison de la publicité négative qu’ils apportent, n’est pas un phénomène nouveau. Le mois dernier, Joe Sullivan, l’ancien responsable de la sécurité d’Uber, a été reconnu coupable d’accusations liées à la dissimulation d’un piratage en 2016 sur le géant du covoiturage. Il a été accusé d’entrave à la justice pour ne pas avoir révélé l’infraction à la FTC. Il a également été reconnu coupable d’avoir activement caché un crime ou une erreur de prise en charge.
Titre : Andrey_Popov