Les cybercriminels sont à la recherche de tous les arguments pour vous inciter à payer les rançons. Rappelez-vous de ne jamais payer de rançon. Mais surtout, évitez de vous poser la question en protégeant adéquatement les données personnelles.
Les cybercriminels sont organisés comme des entreprises. Recrutements, formation, implication des équipes, support et surtout, stratégie et modèle d’affaires.
La Loi 25, avec ses pénalités, apporte des arguments supplémentaires pour elles. Certains fournisseurs informatiques utilisent le changement réglementaire pour vendre des solutions, pas toujours utiles pour la protection des données personnelles (pare-feu, antivirus, etc.). Imaginez l’opportunité pour les cybercriminels : voler vos données personnelles, puis vous menacer de les publier, en vous offrant le choix : payer une petite rançon ou finir devant les tribunaux avec une forte amende ?
Voici une entrevue fictive que je pourrais avoir avec Nyx Cipher, la leader d’une organisation cybercriminelle à ce sujet.
Eponine : Vous êtes une organisation internationale, comment la hausse du coût de la vie impacte vos opérations ?
Nyx Cipher : C’est majeur pour nous, le taux de paiement des rançons est en chute libre. Nos revenus sont en baisse et nos équipes demandent des augmentations. En plus, les gens font des bonnes sauvegardes maintenant, et ne veulent plus payer quand on prend en otage leur opérations. Et il y a beaucoup de concurrence des petits joueurs, c’est assez facile et très payant de déployer un rançongiciel.
Eponine : La baisse du paiement des rançons est aussi liée à la hausse du niveau de préparation des entreprises ?
Nyx Cipher : Oui et non, c’est vrai que beaucoup d’entreprises mettent en place des stratégies de sauvegarde de données, mais avec la double extorsion, en général, nous obtenons le paiement. Le problème est que certaines entreprises n’ont juste pas envie de payer, le vol de données et le blocage de leurs opérations ne semble pas leur poser de problème. Nous prenons le temps de pirater leur système, ça prend des semaines, mais en bout de ligne ils ne veulent pas payer.
Eponine : Parlez-moi un peu plus de cette double extorsion
Nyx Cipher : C’est simple, avant de crypter et détruire leurs données, nous en copions un maximum sur nos serveurs. Alors, en plus de bloquer les systèmes nous pouvons menacer de vendre les données sur le Dark web ou de les communiquer. Ça marche bien en général, surtout quand il s’agit de données de santé ou sensibles sur les gens.
En fait, c’est long et compliqué d’encrypter toutes les données de nos victimes. Alors, quand on sait qu’il y a des sauvegardes, nous ne le faisons même plus. Nous utilisons des techniques d’intimidation qui sont plus efficaces pour obtenir des paiements rapides.
Eponine : Oui, mais il y a un problème de confiance, vous êtes des cybercriminels, même si je paye une rançon, je n’ai aucune garantie que vous allez ne pas publier mes données.
Nyx Cipher : C’est vrai qu’il y a des personnes malhonnêtes dans la profession, mais nous travaillons fort à établir le lien de confiance. Le cybercrime fait partie de l’écosystème économique mondial maintenant, en 2023 nous représentons 8000 milliards de dollars. Nous sommes la troisième économie après les États-Unis et la Chine. C’est illégal, mais c’est majeur comme contribution, nous employons des individus partout dans le monde.
Eponine : Donc pour vous, mettre en confiance vos victimes, c’est important ?
Nyx Cipher : Dans mon modèle d’affaire, pour que vous payiez la rançon, il faut que vous ayez confiance que je ne vais pas partager vos données. Nous y travaillons présentement. Nous mettons en place des processus robustes, mais peu de gens nous font confiance. C’est là qu’on pourrait s’appuyer sur des réglementations comme GDPR ou la Loi 25 au Québec.
Eponine : En quoi ces lois, qui servent à mieux protéger les données personnelles, peuvent aider un groupe cybercriminel comme le votre ?
Nyx Cipher : C’est tout simple, les petites entreprises ont peur et ne comprennent pas ce qu’il faut faire. Nous avons étudié ces lois. Notre modèle est d’offrir de ne pas partager les données, contre un paiement inférieur aux sanctions du Tribunal. Beaucoup de ces entreprises payent car elles n’ont pas d’autre option. Elles n’ont pas l’expertise, ni le temps de s’en occuper. De plus, elles ont rarement des sauvegardes, donc notre approche traditionnelle de double extorsion donne de très bons résultats. J’attends l’arrivée des premières amendes au Québec avec impatience.
Eponine : Quel serait votre pire scénario dans ce modèle d’affaire ?
Nyx Cipher : Il y a deux choses qui peuvent mal tourner pour nous en tant que cybercriminels. Premièrement, que les entreprises protègent adéquatement les données. Si je n’arrive pas accéder facilement aux données, parce que leurs mots de passe sont forts, qu’il y a de la double authentification, que tout est à jour, ça devient difficile et moins rentable. Ensuite, avec les exigences sur la conservation des données, un problème serait que les entreprises décident d’avoir moins de données personnelles dans leurs systèmes, les amendes seraient moins élevées et ça devient moins intéressant pour nous.
Mais je suis confiante, les gens sont naïfs, ils pensent que ça n’arrive qu’aux autres. En ne prenant pas des précautions de base, c’est très facile pour mes équipes !
Ne soyez pas leur prochaine victime. C’est facile de protéger les données quand on sait comment faire. Commencez dès à présent avec notre programme de mise en conformité avec la Loi 25.
Image de Russell Clark sur Pixabay