Le Royaume-Uni veut rendre illégal le paiement après une attaque de rançongiciel, mais ce n’est a priori pas une si bonne idée

Des entreprises et experts en cybersécurité ont prévenu le gouvernement britannique que sa proposition de loi pour interdire le paiement de la rançon à certains groupes de pirates aurait peu de chances de mettre un frein aux attaques par rançongiciel. Pire encore, elle pourrait mener à l’effondrement de services essentiels.

Une mesure particulière pour dissuader les cybercriminels de mener des attaques par rançongiciel. Ces logiciels malveillants sont prisés des hackers, empêchant la victime d’accéder à son appareil ou ses fichiers tant qu’elle n’a pas payé une rançon.

Ce modèle économique est dans le viseur du Royaume-Uni, qui a présenté en juillet une proposition de loi pour interdire ce paiement aux organismes du secteur public et les exploitants d’infrastructures critiques, comme le système britannique de santé publique (NHS). Une première dans le monde.

Mais des entreprises et experts en cybersécurité ont mis en garde le gouvernement qu’un tel projet aurait peu de chances de mettre un frein à ces attaques et pourrait même mener à l’effondrement des services essentiels.

Enfreindre la loi ou voir son service s’effondrer

En rendant le paiement de rançons illégal, le Royaume-Uni risque de priver les organismes du secteur public et les infrastructures critiques d’un outil précieux dans les négociations, ont-ils averti. D’autant plus lorsque des données hautement sensibles sont en jeu.

« Une interdiction pure et simple des paiments semble une mesure ferme contre la criminalité, mais en réalité, elle pourrait transformer une crise gérable en une catastrophe », a déclaré Greg Palmer, associé au sein du cabinet d’avocats Linklaters, au Financial Times.

Non seulement, les victimes n’auraient d’autre choix que d’enfreindre la loi pour éviter un effondrement de leur service, mais la proposition du gouvernement n’empêcherait pas les pirates de poursuivre leurs attaques, car la légalité n’a aucune importance à leurs yeux, ont prévenu des experts.

« Si les hackers ne peuvent obtenir de rançon, cela pourrait entraîner des attaques plus virulentes et une tentative de monétisation des données », a averti Ross McKean, responsable du pôle cybersécurité au sein du cabinet d’avocats DLA Piper.

Une proposition de loi potentiellement efficace

D’autres experts estiment en revanche que le projet du Royaume-Uni pourrait être efficace vu qu’il s’attaque à la principale motivation des cybercriminels: le gain financier. Mais uniquement si l’interdiction de payer la rançon est intégrée à d’autres mesures pour renforcer la résilience des organisations aux cyberattaques.

« Lors de la conception et de la mise en oeuvre d’une interdiction du paiement des rançons, les décideurs politiques devront prendre en compte les failles et les conséquences imprévues, et veiller à ce que les victimes de cybercriminalité ne soient pas criminalisées par inadvertance », a souligné Toby Lewis, responsable mondial de l’analyse des menaces chez Darktrace.

À l’heure actuelle, la proposition de loi du gouvernement n’a pas beaucoup avancé. La liste des organismes qui n’auront pas le droit de payer la rançon ne serait pas encore définitive, a confié une source proche du dossier au Financial Times. Elle pourrait concerner 13 secteurs considérés comme des infrastructures critiques (aéroports, banques, télécoms…).

Un pays touché par plusieurs cyberattaques

Ce projet est le résultat d’une consultation publique dans laquelle 72% des participants se sont prononcés en faveur de cette interdiction. Il intervient également alors que le Royaume-Uni a été confronté à plusieurs cyberattaques ces derniers mois.

Parmi elles, l’enseigne Marks & Spencer a été victime d’une attaque par rançongiciel en avril, l’obligeant à suspendre ses ventes en ligne ou le paiement sans contact pendant quelques mois. Son impact a été chiffré à 300 millions de livres. La chaîne de distribution n’a pas révélé si elle avait payé la rançon.

Le gouvernement britannique a en outre présenté son projet de loi un mois après la publication d’un rapport de la société de cybersécurité Sophos, qui révèle que près de 50% des entreprises victimes de piratage l’année dernière ont cédé au chantage des hackers. Les cibles de ces attaques sont cependant de moins en moins nombreuses à faire gagner de l’argent aux hackers, comme le souligne un rapport de l’entreprise Coveware publié fin octobre.

Si la proposition de loi n’a pas encore été votée, le Royaume-Uni doit aussi penser à un autre impact. En plus des cybercriminels, les entreprises pourraient aussi être dissuadées d’investir dans le pays ou de délocaliser leurs infrastructures. Donc il n’y a pas que les pirates qui risquent de voir moins d’argent entrer dans leur portefeuille.