Ransomware : le paiement d'une rançon peut être illégal

Lorsqu'un cheval de Troie de cryptage (ou "ransomware"), comme par exemple "WannaCry", crypte les données d'une entreprise, celle-ci se trouve confrontée au choix suivant : céder au chantage et payer une rançon ou restaurer les données cryptées par ses propres moyens via des sauvegardes ou les reconstruire d'une autre manière. Souvent, le paiement au gang des ransomwares est économiquement plus intéressant que la reconstruction. Ceci est d'autant plus vrai si le gang de ransomware menace en outre de publier des données. Dans ce contexte, la question de savoir si un paiement au gang de ransomware est illégal a été peu abordée jusqu'à présent.

Avantages généraux d'un paiement

En supposant que le gang des ransomwares se comporte comme annoncé après un paiement, une entreprise pourrait envisager les avantages suivants d'un paiement :

• Le paiement peut être la solution la plus avantageuse sur le plan économique.

• Il s'agit probablement de la solution la plus rapide.

• Le savoir-faire secret de l'entreprise reste secret (même si une menace de publication est proférée).

• Le processus dans son ensemble peut être maintenu "secret".

• Il n'y a pas de risque supplémentaire en ce qui concerne les données à caractère personnel (si une menace de publication est brandie en cas de non-paiement).

• Il est possible que certaines obligations de déclaration ne doivent pas être remplies, ou seulement dans une moindre mesure. On peut par exemple se demander si les personnes concernées doivent être informées en vertu du RGPD lorsque les données n'ont pas été portées à la connaissance de tiers et que les données n'ont été indisponibles que pendant une période relativement courte. Ceci est indépendant de l'obligation éventuelle de notifier une violation de données à l'autorité de contrôle de la protection des données. Il peut en être de même pour les obligations d'information en tant qu'exploitant d'une infrastructure critique (CRITIS IT) et pour l'obligation générale de notification des prestataires de services conformément à l'article 15a de la loi sur les télémédias ainsi que pour d'autres obligations de notification prévues par des lois spéciales.

• En cas de menace de publication, les pénalités contractuelles découlant des accords de confidentialité (NDA) pourraient être perdues ou les pénalités contractuelles déjà infligées pourraient être augmentées.

Inconvénients généraux du paiement

Outre les inconvénients découlant de la simple négation des avantages présentés ci-dessus, on peut penser aux inconvénients suivants :

• Il n'y a aucune certitude que le gang des ransomwares se comportera comme annoncé et donnera la clé pour décrypter les données. Il est également envisageable que des exigences soient posées a posteriori et que, dans le cas contraire, on menace par exemple de publier les données.

• Un paiement encouragerait le comportement criminel du gang de ransomware en général et rendrait globalement de telles attaques plus probables à l'avenir, pour l'entreprise elle-même comme pour d'autres. Il est également envisageable que ce même gang tente à l'avenir de trouver et d'exploiter d'autres failles de sécurité de sa propre entreprise, car celle-ci est alors connue comme "simple payeur" en cas de paiement.

• Un paiement, s'il est connu publiquement, peut avoir un impact négatif sur l'image de l'entreprise.

• Il est souvent demandé de payer dans une crypto-monnaie, par exemple en bitcoins. La plupart des entreprises ne disposeront pas de montants en cryptomonnaie et devront d'abord les acquérir. Des risques distincts peuvent apparaître dans ce cas.

Le paiement d'une rançon peut enfreindre l'embargo

Le ministère américain des Finances signale actuellement que le paiement d'une rançon peut être illégal et - selon la juridiction concernée - également punissable. En effet, le fait de répondre à une demande de rançon peut signifier un paiement à des personnes figurant sur une liste de sanctions. Il peut donc s'agir d'une violation d'un embargo. La liste des sanctions comprend d'une part certains pays. D'autre part, elle mentionne également certaines personnes à l'origine d'attaques par ransomware, par exemple : WannaCry, Cryptolocker, BitPaymer, Dridex et SamSam.

De telles sanctions ne concernent pas seulement les victimes, mais aussi tous les prestataires de services impliqués dans un paiement.

L'avertissement du ministère américain des Finances ne concerne directement que le droit américain. Cela peut également avoir un impact direct sur les entreprises en Allemagne, par exemple s'il existe une filiale aux États-Unis ou des actifs aux États-Unis. D'autre part, une infraction peut avoir des répercussions indirectes si l'on participe d'une manière ou d'une autre au marché américain, par exemple en faisant appel à des fournisseurs ou à des prestataires de services américains ou en y vendant des biens et des services.

Pour autant que l'on sache, l'avertissement du ministère américain des finances est le plus clair des avertissements officiels concernant spécifiquement les ransomwares. Toutefois, il existe également des embargos au niveau de la République fédérale d'Allemagne, de l'UE et de l'ONU, qui peuvent être à prendre en compte en cas de paiements liés à des demandes de rançon de ransomware. Ici aussi, les embargos peuvent notamment concerner des pays et des personnes. Ainsi, les paiements à destination de la République populaire démocratique de Corée (Corée du Nord) peuvent poser problème en vertu de l'article 21, paragraphe 1, du règlement UE 2017/1509. Le fait que l'identité ou le lieu de séjour des personnes à l'origine de l'attaque par ransomware et le pays vers lequel un paiement par cryptomonnaie est effectué ne sont généralement pas connus ne simplifie évidemment pas l'évaluation.

Toutefois, le risque juridique d'une violation d'un embargo et la question de savoir quelle est sa probabilité, sur la base des informations disponibles, devraient dans tous les cas figurer sur la liste des inconvénients et être soigneusement examinés avant un paiement.

Par ailleurs, il convient de noter qu'un paiement peut constituer une infraction pénale à l'interdiction de soutenir des organisations criminelles ou terroristes.

Violations de contrat en cas de paiement de rançon

Outre la violation d'un embargo, d'autres violations peuvent être envisagées en cas de paiement de rançon. Il convient par exemple de vérifier si des règles contractuelles sont enfreintes. En effet, c'est souvent dans le cadre de la conclusion d'accords-cadres avec des fournisseurs et des clients que l'on s'engage à respecter certaines mesures de conformité, parmi lesquelles figurent régulièrement certains paiements ou opérations de blanchiment d'argent.

Points de contact spécifiques de la police et informations complémentaires

En cas de cyberattaque, il convient de mentionner les services de police suivants, spécialisés dans le traitement immédiat des cyberattaques :

• Cyberdéfense du Bade-Wurtemberg

• ZAC - Centre d'information sur la cybercriminalité pour les entreprises et les autorités, et plus particulièrement le centre d'information de l'Office de la police criminelle du Land de Bade-Wurtemberg.

Veuillez également consulter notre article sur les dommages et intérêts en cas de cryptotrojan / cheval de Troie de cryptage / ransomware.

Version : 15. oct. 2020