Les menaces cyber en croissance exponentielle.
La cybercriminalité se développe constamment que ce soit de façon quantitative ou qualitative. Les attaques prennent des contours très variés et en constante évolution. La société Symantec
dans son rapport annuel de 2015 sur l’évolution des menaces informatiques dans le monde a souligné l’augmentation de plus de 36% des logiciels malveillants (ou malwares) par rapport à 2014 (en 10 ans, on serait passé d’environ 22.000 à 430 millions de logiciels malicieux). Cela peut aussi se traduire par du piratage de données plus ou moins sensibles, comme par exemple
Ashley Madison (site de rencontres extra-conjugales avec 37 millions d’utilisateurs concernés) ou le fabricant de jouets connectés VTech (soit 6,3 millions de profils d’enfants dont 1,2 million d’enfants français). OS Microsoft, Mac, Linux, Androïd, Apps, tous les terminaux (Ordinateurs fixes et mobiles, téléphones portables et smartphones, tablettes, IOT) et tous les systèmes sont visés par des « malwares ». Il n’en demeure pas moins que c’est bien la recrudescence des «
ransomwares » qui marque les deux dernières années. Pour la France, le baromètre de la cyber-sécurité des entreprises de Janvier 2016 du Club des Experts de la Sécurité de l’Information et du Numérique
constate que 61% des entreprises interrogées ont été victimes de demandes de rançons. On a recensé 391.000 attaques de ce type en France ! Tout récemment, le malware
Wanacry en mai 2017 a affecté de nombreuses entreprises industrielle dont Renault et des établissements publics comme des hôpitaux dans une centaine de pays dans le monde. Quelques semaines plus tard, ce fût au tour du ransomware Petya de se propager en Europe et aux Etats-Unis, dont en France l’industriel Saint Gobain. Selon les experts en sécurité, ce dernier cacherait en fait un
« wiper », c’est-à-dire un
malware visant à effacer les données des postes visées, sans qu’il soit possible de les récupérer. C’est dire si les risques et les dommages potentiels liés aux ransomwares sont importants !
Qu’est-ce que le Ransomware ?
Le ransomware est un logiciel malveillant qui a la particularité de prendre en « otage » des données d’une entité
en les chiffrant ou de bloquer l’accès à une machine à tout utilisateur. Pour déchiffrer les données avec une
clé cryptographique ou disposer de l’équipement ou de la clé permettant de déverrouiller la machine, la victime doit verser une somme d’argent, qui, le plus souvent, s’effectue à l’aide de Bitcoins. En mars 2016, l’AFP a été victime de deux tentatives avec le ransomware
Locky qu’elle a déjoué sans payer la rançon. A côté de ces procédés reposant sur du chiffrement, il existe d’autres procédés apparentés sans utilisation de produits cryptographiques qui par exemple, orientent la victime vers des numéros gratuits mais qui sont en réalité surtaxés ou de faux techniciens supports de Microsoft qui imitent des pages d’erreurs et bloquent l’ordinateur avec une prise de contrôle à distance par le biais de Team Viewer. Parmi les ransomwares les plus connus, on peut citer
Cryptowall (actuellement la V.4.0) ou
TeslaCrypt, et plus récemment
Samsam qui s’attaque aux serveurs utilisant
Jboss ou encore
Wanacry et
Pethya.
Quels risques juridiques ?
Les risques juridiques sont de natures diverses. Parmi eux, on citera non seulement les pertes de données à caractère personnel, mais également la préservation de la sécurité des données afin notamment qu’elles ne soient pas déformées, endommagées ou que des tiers non autorisés y aient accès (art. 34 de la loi Informatique et Libertés du 6 janvier 1978) sous peine de sanctions de la CNIL ou de sanctions pénales (art. 226-17 du code pénal : 300.000 euros d’amende et 5 ans de prison). Cependant, avec le
nouveau Règlement européen (RGPD) n°2016/679 du 27 avril 2016 sur la protection des données, applicable à compter du 25 mai 2018, toutes les entreprises petites et grandes, ainsi que les collectivités publiques auront l’obligation de notifier les violations de données à caractère personnel à leur autorité de contrôle (la CNIL pour la France), contrairement à la loi « Informatique et libertés » du 6 janvier 1978 actuellement en vigueur qui ne vise que les fournisseurs de services de communications électroniques en vertu de l’article 34 Bis. Selon l’article 33 du RGPD, cette notification doit intervenir dans les 72 heures à compter de sa connaissance auprès de l’autorité de contrôle et lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne, la notification à la personne concernée doit s’opérer dans les meilleurs délais (art. 34 du RGDP). Il convient de souligner que les sous-traitants, tels que les prestataires de services dans le cloud computing ou de services de confiance auront également l’obligation de notifier sans délai au responsable de traitement (le client) dès qu’ils ont connaissance de la violation.
Les fondements juridiques des poursuites judiciaires.
Le droit n’est pas sans réponse. En effet, le code pénal dispose d’un arsenal apte à répondre à ces menaces. A ce titre, le dispositif légal consiste à réprimer les atteintes aux systèmes d’information prévues aux articles 323-1 et 323-2 du code pénal : introduction, maintien frauduleux dans un système d’information, altération du fonctionnement du SI. Les sanctions varient entre 2 et 5 ans d’emprisonnement et entre 60 et 150.000 euros d’amende (sauf si c’est un SI de l’Etat, les sanctions sont plus fortes). Mais pour le ransomware, ce sera plutôt l’article 323-3 du code pénal qui jouera : « le fait d’introduire frauduleusement des données » dans un SI, « d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient », voire l’article 323-3-1 qui permet de sanctionner l’offre, l’importation, la détention, la mise à disposition ou la cession de programmes malveillants. Il convient de souligner que de telles infractions sont encore plus sévèrement réprimées dès lors que la préparation s’effectue en groupe ou qu’elles sont commises en bandes organisées, ce qui est souvent le cas des attaques de type ransomware (ex : près de 325 millions de dollars ont été recueillis par même groupe de cybercriminels avec cryptoWall 3.0). Enfin, signalons un autre délit plus sévèrement puni mais dont les éléments constitutifs sont difficiles à établir dans le cadre du ransomware : l’extorsion de fonds (art. 312-1 du code pénal).
Des limites concrètes.
Les plaintes pénales, lorsqu’elles aboutissent à des poursuites judiciaires, durent plusieurs années avant qu’une condamnation n’intervienne. Or, pour y parvenir, encore faut-il d’une part, identifier le ou les délinquant(s) qui se trouve(nt) souvent hors du territoire français et européen et à partir de plusieurs points du réseau internet et d’autre part, réunir les éléments de preuve de la (ou des) infraction(s) sous forme de traces informatiques ou de logs. Aussi cela implique que l’organisation soit préparée en termes de collecte et de conservation des données pour être en mesure de réagir. Mais au final, on constate que les tribunaux sanctionnent encore légèrement ce type d’activité criminelle eu égard aux peines prévues par le code pénal. Le mal étant fait, les victimes paient souvent sans porter plainte et malheureusement sans aucune garantie d’accéder à leurs données ! Cet état de fait, ne facilite pas la tâche des services de police. On recommandera aux organisations victimes de ransomware de toujours porter plainte, fût-ce à des fins assurantielle ou pour que les services de police établissent leur ligne de conduite de leurs investigations à la lumière des attaques répertoriées.
Si des parades existent notamment logicielles (telles que Malwarebytes et les solutions développées par des sociétés de sécurité informatique) ou de sécurité (analyse Forensics, nettoyage, reformatage et restauration des données), la meilleure des défenses reste l’anticipation : mettre à jour les logiciels (notamment du système d’exploitation Windows par ex. dans les cas de Wanacry, de Petya et NotPetya), procéder à la sauvegarde régulière des fichiers et données hors réseau (sauvegarde « froide ») et à la sensibilisation et au contrôle des utilisateurs. Mais bien entendu, il ne faudra pas oublier de souscrire une assurance cyber-risques adaptée et de préparer sa procédure d’alerte pénale de concert avec les directions sécurité, informatique et communication !
Eric A. Caprioli, avocat à la Cour de Paris, Docteur en droit