Droits, devoirs et ransomware…

être prêt à une prise d’otage (ou racket) numérique

formation informatique

formation informatique

Le numérique ne bouleverse pas que les business models. Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation. Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée… Aujourd’hui, regard sur la nouvelle menace de cybersécurité : la prise d’otage numérique avec demande de rançon, ou ransomware.

DES MENACES INFORMATIQUES EN CROISSANCE

La cybercriminalité se développe constamment que ce soit de façon quantitative ou qualitative. La société Symantec dans son rapport annuel de 2015 sur l’évolution des menaces informatiques dans le monde dans son rapport annuel de 2015 sur l’évolution des menaces informatiques dans le monde a souligné l’augmentation de plus de 36% des logiciels malveillants par rapport à 2014 (en 10 ans, on serait passé d’environ 22.000 à 430 millions de logiciels malicieux). Cela peut aussi se traduire par du piratage de données plus ou moins sensibles, comme par exemple Ashley Madison (site de rencontres extra-conjugales avec 37 millions d’utilisateurs concernés) ou le fabricant de jouets connectés VTech (soit 6,3 millions de profils d’enfants dont 1,2 million d’enfants français). OS Microsoft, Mac, Linux, Androïd, Apps, tous les terminaux (ordinateurs fixes et mobiles, téléphones portables et smartphones, tablettes, IOT) et tous les systèmes sont visés par des « malwares ».

Il n’en demeure pas moins que c’est bien la recrudescence des « ransomwares » qui marque cette année. Pour la France, le baromètre de la cyber-sécurité des entreprises de janvier 2016 du Club des Experts de la Sécurité de l’Information et du Numérique constate que 61% des entreprises interrogées ont été victimes de demandes de rançons. On a recensé 391.000 attaques de ce type en France !

VOUS AVEZ DIT RANSOMWARE ?

Le ransomware est un logiciel malveillant qui a la particularité de prendre en « otage » des données d’une entité en les chiffrant ou de bloquer l’accès à une machine à tout utilisateur. Pour déchiffrer les données avec une clé cryptographique ou disposer de l’équipement ou de la clé permettant de déverrouiller la machine, la victime doit verser une somme d’argent, qui, le plus souvent, s’effectue à l’aide de Bitcoins.

En mars 2016, l’AFP a été victime de deux tentatives avec le ransomware Locky qu’elle a déjoué sans payer la rançon. A côté de ces procédés reposant sur du chiffrement, il existe d’autres procédés apparentés sans utilisation de produits cryptographiques qui par exemple, orientent la victime vers des numéros gratuits mais qui sont en réalité surtaxés ou de faux techniciens supports de Microsoft qui imitent des pages d’erreurs et bloquent l’ordinateur avec une prise de contrôle à distance par le biais de Team Viewer.

Parmi les ransomwares les plus connus, on peut citer Cryptowall (actuellement la V.4.0) ou TeslaCrypt, et plus récemment Samsam qui s’attaque aux serveurs utilisant Jboss.

QUELS RISQUES JURIDIQUES ?

Les risques juridiques sont de natures diverses. Parmi eux, on citera non seulement les pertes de données à caractère personnel, mais également la préservation de la sécurité des données afin notamment qu’elles ne soient pas déformées, endommagées ou que des tiers non autorisés y aient accès (art. 34 de la loi du 6 janvier 1978) sous peine de sanctions de la CNIL ou de sanctions pénales (art. 226-17 du code pénal : 300.000 euros d’amende et 5 ans de prison).

 

OBLIGATION DE NOTIFICATION EN CAS D’ATTAQUE

Cependant, avec le nouveau Règlement européen (RGPD) n°2016/679 du 27 avril 2016 sur la protection des données, applicable à compter de mai 2018, toutes les entreprises auront l’obligation de notifier les violations de données personnelles, contrairement à la loi de 1978 actuellement en vigueur qui ne vise que les fournisseurs de services de communications électroniques en vertu de l’art. 34 Bis. Selon l’art. 33 du RGPD, cette notification doit intervenir dans les 72 heures à compter de sa connaissance auprès de l’autorité de contrôle et lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne, la notification à la personne concernée doit s’opérer dans les meilleurs délais (art. 34 du RGDP).

QUELLES PARADES JURIDIQUES ?dTech Ad

Le droit n’est pas sans réponse. En effet, le code pénal dispose d’un arsenal apte à répondre à ces menaces. A ce titre, l’arsenal légal consiste à réprimer les atteintes aux systèmes d’information réprimées aux articles 323-1 et 323-2 du code pénal : introduction, maintien frauduleux dans un système d’information, altération du fonctionnement du SI. Les sanctions varient entre 2 et 5 ans d’emprisonnement et entre 60 et 150.000 euros d’amende (sauf si c’est un SI de l’Etat, les sanctions sont plus fortes).

Mais pour le ransomware, ce sera plutôt l’article 323-3 du code pénal qui jouera : « le fait d’introduire frauduleusement des données »  dans un SI, « d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient« , voire l’article 323-3-1 qui permet de sanctionner l’offre, l’importation, la détention, la mise à disposition ou la cession de programmes malveillants.

De plus, ces infractions sont encore plus sévèrement réprimées dès lors que la préparation s’effectue en groupe ou qu’elles sont commises en bandes organisées, ce qui est souvent le cas des attaques de type ransomware (ex : près de 325 millions de dollars au même groupe de cybercriminels avec cryptoWall 3.0). Enfin, signalons un autre délit plus sévèrement réprimé mais dont les éléments constitutifs sont difficiles à établir dans le cas du ransomware : l’extorsion de fonds (art. 312-1 du code pénal),

DES LIMITES CONCRÈTES

Les plaintes pénales, lorsqu’elles aboutissent à des poursuites judiciaires, durent plusieurs années avant qu’une condamnation n’intervienne. Or, pour y parvenir, encore faut-il d’une part, identifier le ou les délinquant(s) qui se trouve(nt) souvent hors du territoire français et européen et à partir de plusieurs points d’un réseau et d’autre part, réunir les éléments de la (ou des) infraction(s). Mais au final, on constate que les tribunaux sanctionnent encore peu ce type d’activité criminelle. Le mal étant fait, les victimes paient souvent sans porter plainte (sans aucune garantie d’accéder à leurs données !), ce qui ne facilite pas la tâche des services de police.

Si des parades existent notamment logicielles (telles que Malwarebytes et les solutions développées par des sociétés de sécurité informatique) ou de sécurité (analyse Forensics, nettoyage, reformatage et restauration des données), la meilleure reste l’anticipation : procéder à la sauvegarde régulière des fichiers et données hors réseau et à la sensibilisation et au contrôle des utilisateurs. Mais surtout, ne pas oublier de souscrire une assurance cyber-risques adaptée !

http://www.usine-digitale.fr/article/droits-devoirs-et-ransomware-etre-pret-a-une-prise-d-otage-ou-racket-numerique.N396257

Comments are closed.