Des inquiétudes sont soulevées que les agences trouveraient des moyens de contourner la règle, que les attaquants seraient vindicatifs et attaqueraient plus agressivement, et que les politiciens se replieraient.
Le gouvernement britannique a proposé mardi une ordonnance qui interdire à toutes les agences gouvernementales et autres entités gouvernementales de faire des paiements de rançon, quelles que soient les circonstances. Mais les experts en sécurité étaient sceptiques quant à ce que la mesure fonctionnerait de manière significative.
La déclaration du gouvernement, le résultat d’une consultation publique d’un mois, a été explicite. «Les organismes du secteur public et les opérateurs d’infrastructures nationales critiques, notamment le NHS (National Health Service), les conseils locaux et les écoles, seraient interdits de payer des demandes de rançon aux criminels dans le cadre de la mesure», indique le communiqué.
Il a déclaré que l’interdiction proposée ne couvrirait pas pour l’instant les entreprises privées, mais qu’elle obligerait toujours à signaler leur intention de effectuer de tels paiements.
« En vertu des propositions, les entreprises non couvertes par l’interdiction seraient tenues d’informer le gouvernement de toute intention de payer une rançon », indique le communiqué. «Le gouvernement pourrait alors fournir à ces entreprises des conseils et un soutien, notamment en les informant si un tel paiement risquerait de enfreindre la loi en envoyant de l’argent aux groupes cybercriminaux sanctionnés, dont beaucoup sont basés en Russie.»
Les attaques de ransomwares sont l’une des principales préoccupations des CISO en entreprise, car les attaques majeures sont apparemment révélées tous les quelques jours.
Les responsables du gouvernement peuvent-ils rester fermement?
Les spécialistes de la sécurité ont applaudi l’initiative britannique, mais la plupart doutaient que cela fasse finalement une grande différence.
Chet Wisniewski, un CISO sur le terrain chez le vendeur de sécurité Sophos, a déclaré qu’il serait « fasciné de voir quel sera le résultat », mais il est sceptique, cela représentera beaucoup.
Wisniewski a déclaré que son scepticisme était basé sur la détermination des politiciens britanniques de se tenir fermement à la politique lorsque des choses horribles commencent à se produire.
«Les politiciens auront-ils le culot pour tenir ferme si (les attaquants) fermaient les hôpitaux?» Demanda Wisniewski, soulignant que la règle ne pourrait fonctionner que si les représentants du gouvernement «s’en tiennent à leurs armes.
Tim Rawlins, conseiller principal de la société de conseil en cybersécurité NCC Group, a déclaré que la décision britannique pourrait avoir l’impact involontaire de ne pas réduire tant les attaques de ransomwares que de les éloigner des entités gouvernementales.
« Une interdiction de paiement pour le secteur public et les organisations d’infrastructures critiques pourrait involontairement déplacer la menace vers des organisations plus petites et moins résilientes, ou potentiellement générer des paiements sous terre », a déclaré Rawlins.
Il existe également le risque que les agences et les opérations d’infrastructures critiques puissent essayer de contourner l’exigence en cachant les paiements ou en les étiquetant comme autre chose, comme le conseil en cybersécurité.
Les entreprises veulent souvent payer une rançon
Fred Chagnon, directeur de recherche principale du groupe de recherche Info-Tech, a noté que, du point de vue de la continuité des entreprises, il peut être logique de payer la rançon.
«Le paiement de la rançon peut parfois être la voie la plus rapide et la moins dommageable pour restaurer les opérations, surtout si les sauvegardes sont compromises ou si l’on recouvre est prohibitive. Bien que le paiement peut financer par inadvertance une activité criminelle supplémentaire, pour une organisation victime, il représente souvent une décision commerciale pragmatique pour minimiser les temps d’arrêt, la perte financière et les dommages de réputation», a-t-il déclaré.
Cependant, il a ajouté: «Les politiques qui pénalisent les victimes conduiront par inadvertance à la sous-déclaration des incidents, à la conduite des paiements sous terre et à la collecte de renseignements et aux efforts de renforcement de la loi. Il s’agit également d’une mesure punitive sur les victimes qui subissent déjà une perte financière.»
Robin Brattel, PDG de Lab 1, un fournisseur de renseignement des données, a fait valoir qu’il y a aussi la question de la conformité du groupe. L’interdiction peut finalement fonctionner, mais seulement si à peu près tout le monde coopère.
« Certains acteurs de la menace testeront le modèle pour voir s’il se déroule. Une fois qu’une organisation cédera, d’autres peuvent suivre. Le défi est que tout le monde reste unifié. Si cela se produit, il y a une chance que les acteurs de la menace avide d’argent cessent de se concentrer sur ces victimes », a déclaré Brattel. «Cependant, les pirates et les acteurs de l’État ne disparaîtront pas.
«Nous sommes d’accord avec le principe (de la proposition), mais la réalité est très différente et plus complexe. Lorsqu’une institution publique est effectivement en tant que siège, avec des opérations figées et des données sensibles en otage, elle peut déclencher des réponses imprévisibles et désespérées.»
Brattel a ajouté que le temps n’est jamais du côté de la victime.
« Les attaquants ne travaillent pas à une date limite. Ils peuvent se permettre d’attendre. S’ils ne reçoivent pas de paiement, ils divulgueront probablement les données, peu importe qui cela affecte les patients, les étudiants ou les résidents locaux », a déclaré Brattel. «Ce type de pression peut pousser des institutions même bien intentionnées pour rechercher des moyens non officiels ou indirects de répondre aux demandes de rançon.»
Un autre spécialiste de la sécurité doutait également que l’interdiction ferait finalement une grande partie des attaques de ransomwares britanniques.
« Le gouvernement est admirable dans ses efforts pour réprimer les ransomwares en essayant de couper le financement des pirates, cependant, ces groupes ne se permettront pas d’être ceux qui se rançonnent », a déclaré Rob Jardin, directeur numérique de NYMVPN.
« Si la meilleure solution au problème est de se retourner et de dire aux pirates » nous ne cédant plus vos demandes « ne soyez pas surpris s’ils doublent et essayons d’exposer plus de données et de faire une entreprise en vendant sur le Web Dark », a-t-il déclaré.
