Que faire en cas de demande de rançon ?
Quelle que soit la somme en jeu ou le support de l’attaque (page web, mail, fichier PDF infectés…), la demande de rançon provient toujours d’un pirate qui utilise un logiciel malveillant, le « rançongiciel » ou « ransomware ». Son but : crypter l’ensemble des données du système d’information de la victime. L’ordinateur se bloque, une fenêtre de dialogue apparaît, et plus aucune fonction n’est accessible, même en redémarrant. Le seul moyen de récupérer les données est de s’acquitter d’une somme d’argent en échange de la clé de déchiffrement. Comme en cas de prise d’otage, le délai est extrêmement court – parfois quelques heures seulement. Il peut aussi arriver que les hackers réduisent progressivement ce délai, ou qu’ils exigent le paiement en monnaie virtuelle (bitcoin).. « Certaines entreprises préfèrent ne pas payer et perdre quelques jours d’exploitation, en revenant à une sauvegarde antérieure à l’infection », constatent Virginie Bilet et Miguel Liottier, auteurs de Survivre à une cyberattaque. Comme la compagnie de transports de San Francisco, dont la validation des titres de transport a été attaquée. Elle a maintenu le service gratuitement, le temps de revenir à un fonctionnement plus sain. Mais, même lorsque la victime paye, le pirate ne lui permet pas forcément de récupérer ses données; c’est le cas du rançongiciel NotPetya, actif depuis juin 2017. Les auteurs citent l’exemple d’un hébergeur de sites web dont cent cinquante-trois serveurs ont été cryptés, ce qui a impacté trois mille quatre cents sites hébergés. Son activité se trouvant en péril, il a accepté de payer un million d’euros en trois fois, mais il s’est aperçu après les deux premiers versements que la clé ne fonctionnait pas. Afin de ne pas écorner leur image, les victimes de ces demandes de rançon préfèrent généralement garder l’anonymat.
Délits propres aux nouvelles technologies
« Ces agissements sont des délits propres au droit des nouvelles technologies, passibles de sanctions définies par le code pénal, explique maître Garance Mathias, avocate au barreau de Paris spécialisée en droit des données personnelles, de la sécurité des systèmes d’information et de la propriété intellectuelle.
Les victimes préfèrent généralement garder l’anonymat.
Car l’offre, l’importation, la détention, la mise à disposition ou la cession de ces programmes sont susceptibles de constituer une infraction. » En effet, nombreuses sont les conséquences juridiques sur les entreprises, à commencer par la perte de données à caractère personnel et l’atteinte à la sécurité du système d’information. Mais, au-delà du droit pénal spécifique aux nouvelles technologies, le comportement des pirates est également visé par le droit pénal général, à plus d’un titre. « Le ransomware s’apparente à une extorsion de fonds puisque les données du système d’information sont monnayées par ceux qui les ont chiffrées contre le versement d’une somme d’argent, poursuit maître Mathias. Il pourrait également s’apparenter à du chantage : le pirate cherche à obtenir des fonds, en menaçant de révéler ou d’imputer des faits de nature à porter atteinte à l’honneur d’une entreprise ou d’une personne. Dans certains cas, si deux personnes au moins ont commis l’infraction, l’avocat peut aussi invoquer la remise de fonds sous contrainte. » D’autres qualifications juridiques sont envisageables : le recel de données (si elles sont transmises à des tiers qui savent qu’elles proviennent d’un agissement délictueux) ou encore le vol de données, la soustraction des données de l’entreprise étant soit temporaire, soit définitive. Dans tous les cas, un premier réflexe s’impose : contacter immédiatement la police.