Deux villes américaines versent 1M$ aux responsables d’un rançongiciel

Payer ou ne pas payer les attaquants d’un rançongiciel? Devrais-je payer? Et si je paie, est-ce que mes problèmes seront réglés?

Voici quelques questions essentielles, non seulement pour les victimes de rançongiciel et, comme le montre les recommandations de lecture à la fin de cet article, nous avons aussi fait couler beaucoup d'encre numérique pour y répondre. (La réponse courte à ces questions est « non ». Ceci dit, nous vous suggérons quand même de consulter ces articles, pour mieux comprendre les enjeux et pour savoir pourquoi ce ne sont peut-être pas les bonnes questions à se poser.)

Mais pourquoi en parler à nouveau aujourd’hui?

Ces dernières semaines, deux villes de Floride se sont retrouvées dans un dilemme similaire après que leurs systèmes informatiques aient été frappés par des logiciels de rançon. Il s'est avéré qu'ils ont tous les deux décidé de cracher de l'argent aux cyber-extorsionnistes.

La première victime a été la petite ville de Riviera Beach, où le 29 mai, un employé du service de police a ouvert une pièce jointe malveillante dans un courriel, déclenchant involontairement une pagaille dans les systèmes informatiques de la ville et forçant son personnel à recourir au papier et au crayon.

Trois semaines plus tard, suivant les conseils de consultants externes, les responsables de la municipalité ont autorisé sa compagnie d'assurance à payer 65 bitcoins (soit environ 600 000 $ US à l'époque) aux cybercriminels dans l'espoir de récupérer l'accès aux systèmes informatiques de la ville, selon un article du New York Times.

À peine quelques jours se sont écoulés avant qu'une autre municipalité de l'État du Soleil ne cède à son tour aux exigences des extorsionnistes. Lake City - qui a été ébranlée par une attaque de rançongiciel le 10 juin dernier - a autorisé le paiement de 42 bitcoins (environ 460 000 $ US) lundi, la transaction ayant eu lieu lendemain, selon un article de l’antenne locale WCJB-TV.

Tous les frais, sauf 10 000 $ US, ont été couverts par ce que les autorités municipales ont décrit comme « un régime d'assurance complet, déjà en place, qui couvre ce type d'incident ». La ville aurait fait de multiples tentatives pour déverrouiller ses systèmes et les remettre en service après que l'incident ait désactivé tous ses systèmes en ligne. En fait, le service de police de la ville déclarait deux jours après l'attaque que la reprise se déroulait bien, mais les efforts de la ville n'ont apparemment rien donné.

Dans l'un ou l'autre de ces incidents, on ne sait rien sur le type de mesures de prévention ou de continuité des opérations (notamment les sauvegardes), qui étaient en place, ni sur les raisons de leur échec. Il n'est pas non plus immédiatement clair si les efforts de recouvrement après paiement ont été couronnés de succès.

Selon un rapport récent du fournisseur de renseignements sur les menaces Recorded Future, les gouvernements des États et les administrations locales aux États-Unis ont signalé 169 incidents de rançongiciel entre 2013 et avril 2019.