Si la sempiternelle recommandation des autorités est de ne surtout pas payer de rançons, certaines victimes de ransomwares, parfois conseillées par leurs partenaires, finissent par accéder aux demandes de leurs attaquants. Ce sont ces partenaires qui s’exposent désormais à des sanctions du Trésor américain, qui n’apprécie guère que ces rançons versées servent à des acteurs menaçant la sécurité des États-unis. 

Il ne faut jamais payer les rançons demandées par les opérateurs de ransomware. D’une part car la victime n’est en rien assurée de récupérer ses fichiers, de l’autre parce que céder au chantage conforte les criminels quant à la rentabilité de leur activité. Tels sont les conseils dispensés par l’ANSSI et tant d’autres autorités étatiques sur les ransomwares. Toutefois, les cas de versement d’une rançon ont été plus amplement médiatisés ces dernier mois, au point que le Trésor américain ne décide de mettre les points sur les i. 

Dans une note, l’Office of Foreign Assets Control, ou OFAC, sort les crocs. En effet, en vertu de plusieurs lois, les ressortissants américains ne sont pas autorisés à marchander avec une longue liste de personnes et de pays, soit qu’ils représentent une menace à la sécurité nationale, soit qu’ils font l’objet de sanctions, à l’instar de la Crimée, de la Syrie, de l’Iran ou encore de Cuba. 

Sanctionner le versement de rançons

“L’OFAC peut imposer des sanctions civiles pour les violations de sanctions fondées sur la responsabilité stricte, ce qui signifie qu’une personne soumise à la juridiction américaine peut être tenue civilement responsable même si elle ne savait pas ou avait des raisons de savoir qu’elle s’engageait dans une transaction avec une personne interdite” écrit cette branche du Trésor.

Ce qui nous amène aux ransomwares. Voici quelques temps que nous rapportons que telles victimes, conseillées par son prestataire en cybersécurité ou son assureur, a cédé aux demandes des attaquants, s’acquittant du paiement d’une rançon. Or, selon l’OFAC, “les paiements de ransomware profitent aux acteurs illicites et peuvent saper les objectifs de sécurité nationale et de politique étrangère des États-Unis”. Et sont donc susceptibles de faire l’objet d’enquêtes quant au contournement desdites sanctions. 

Evidemment, il ne s’agit pas pour le Trésor américain d’inquiéter les entreprises victimes, qui double le coût de rétablissement de leur SI lorsqu’elles paient une rançon. Le texte vise les entreprises “qui s’engagent avec des victimes d’attaques de ransomwares, telles que celles impliquées dans la fourniture de cyberassurance, de criminalistique numérique et de réponse aux incidents, et les services financiers pouvant impliquer le traitement de paiements de rançon”. 

Pour le Trésor américain, payer une rançon est punissable