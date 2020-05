Les attaques Ransomware ont le vent en poupe

mai 2020 par Charles Delingpole, PDG et fondateur de ComplyAdvantage

Le ransomware ou logiciels de rançonnage, offrent aux criminels un environnement particulièrement favorable pour lancer des attaques contre des systèmes médicaux qui sont plus vitaux que jamais et généralement des proies faciles pour les logiciels malveillants.

Selon les prévisions, d’ici 2021, une attaque avec demande de rançon sera lancée contre une nouvelle entreprise toutes les 11 secondes, sachant que nombre de ces attaques seront menées à grande échelle par des criminels cherchant à exploiter des vulnérabilités logicielles connues.

Les attaques par ransomware se sont imposées sur la scène internationale en mai 2017 lors de la tristement célèbre attaque baptisée WannaCry. Cet incident, qui a profité d’une faille au sein du système d’exploitation Windows, a empêché les utilisateurs d’accéder aux systèmes médicaux et tenu les données en otage.

L’une des principales raisons de l’attaque WannaCry était que les ordinateurs ciblés n’avaient pas été mis à jour depuis plusieurs années. Et même si de nombreuses entreprises sont bien protégées contre ces exploits, ces derniers sont loin d’être le seul vecteur d’attaques pour exiger une rançon. Associées à d’autres techniques d’ingénierie sociale, les attaques par hameçonnage et harponnage sont en effet des moyens tout à fait efficaces qui permettent aux criminels de violer la sécurité et d’accéder aux données.

Les logiciels de rançonnage sont dans le meilleur des cas un fléau pour la société. Et lors d’une pandémie, ils pourraient avoir un effet désastreux. En effet, les hôpitaux et les établissements médicaux ont été avertis par Interpol qu’ils risquaient d’être la cible d’attaques de rançonnage en cette période de panique et de communication accrue. Si l’on ajoute à cela des systèmes informatiques connus pour être désuets, les établissements de santé actuels utilisent probablement des logiciels abritant des failles qui n’attendent que d’être exploitées.

Mais pourquoi est-ce si important pour les établissements financiers et autres entités qui traitent de l’argent ? Parce que ces attaques empêchent souvent les utilisateurs d’accéder aux données tant qu’une rançon n’a pas été versée sous la forme d’un paiement numérique pour rétablir l’accès aux données. Cependant, les rançonneurs disposent aujourd’hui d’un important volume d’argent numérique, souvent en bitcoins, qu’ils doivent convertir en espèces avant de les transférer sur leurs comptes. Et pour ce faire, ils doivent recourir au système financier.

Par conséquent, les établissements financiers et les entreprises du secteur doivent veiller à ne pas faciliter le paiement de rançons. Dans certains cas, il s’agit de lutter contre une forme de blanchiment d’argent, mais aussi d’éviter d’être en infraction aux sanctions.

Ransomware et violations des sanctions Un logiciel de rançonnage est un outil traditionnellement utilisé par certains pays sanctionnés pour obtenir des fonds. C’est une pratique particulièrement utile pour les nations sanctionnées sur plusieurs fronts et qui sont concrètement coupées de l’économie mondiale. La Corée du Nord a été accusée à plusieurs reprises d’y recourir notamment à l’occasion de l’attaque WannaCry.

Il s’agit là d’une activité fort lucrative, surtout lorsqu’elle est menée à l’échelle nationale. Les cyberattaques lancées depuis Pyongyang sont innovantes, efficaces et représentent 2 milliards de dollars. Si l’on prend du recul, il n’est guère surprenant qu’une entité sanctionnée utilise les cyberattaques pour lever des capitaux lorsqu’elle est exclue du marché mondial.

Depuis le début de la pandémie, les attaques via des logiciels malveillants et les demandes de rançon n’ont pas fait l’objet d’une couverture particulière dans la presse spécialisée. Mais comme le versement d’une rançon peut être dorénavant interprété comme une violation des sanctions dans un contexte bien précis, les établissements financiers doivent désormais faire preuve d’une plus grande vigilance à cet égard.

Les établissements financiers devraient toujours générer un rapport d’activité suspecte lorsqu’ils estiment qu’ils ont affaire au paiement d’une rançon ou qu’ils sont eux-mêmes confrontés à une demande de rançon. Ils devraient également collaborer avec l’unité de renseignement financier ou l’unité de conformité financière compétente. Généraliser cette pratique permettrait d’éviter la mise en silo de ces informations et faciliterait l’identification des criminels. Mais autoriser cette transaction en premier lieu est rarement une question simple.

Faciliter le paiement d’une rançon en soi peut rendre un établissement financier responsable d’une violation des sanctions. Deux individus basés en Iran et sanctionnés dans la liste des ressortissants spécialement désignés établie par l’OFAC ont facilité la conversion de fonds provenant d’une attaque par ransomware en 2016. Toutefois, comme les auteurs de cette attaque ont été sanctionnés et que les adresses des portefeuilles numériques concernés correspondaient bien aux personnes sanctionnées, les établissements financiers impliqués ont été exposés à des risques de sanctions secondaires. À propos de ces individus basés en Iran et qui ont converti des bitcoins en rial iranien, l’OFAC avait publié à l’époque une déclaration rappelant que « peu importe qu’une transaction soit libellée dans une monnaie numérique ou dans une monnaie fiduciaire traditionnelle, les obligations de conformité à l’OFAC restent les mêmes ».

Comprendre les fonds rançonnés

L’OFAC a déjà précisé que les entreprises américaines doivent savoir qui reçoit les transferts de fonds, même lorsqu’ils sont effectués vers un portefeuille numérique, une position soutenue par la règle de voyage du GAFI. Tout manquement à cette règle pourrait donc entraîner des sanctions sévères.

Les autorités de règlementation doivent encore se pencher sur les paiements liés à des attaqués de ransomware. Il est généralement admis que ces paiements ne sont pas effectués volontairement, que les entreprises sont victimes d’extorsion et que les établissements financiers qui participent au paiement ne sont qu’un maillon d’une chaîne destinée à rétablir le bon fonctionnement d’une entreprise faisant partie de leur clientèle. On ne sait pas si cette vision risque de changer, mais une réflexion semble amorcée selon que les fonds sont destinés ou non à des entités sanctionnées ou non.

Mais si, à l’avenir, les établissements financiers sont contraints d’identifier les entités à qui ils envoient de l’argent, les attaques par logiciel de rançonnage vont nécessiter de renforcer la collecte de renseignements. Il faudra aussi s’assurer que les équipes en charge de la conformité pourront bien consacrer le temps nécessaire à effectuer des recherches.

Une fois l’attaque par ransomware lancée, la rançon payée et l’argent converti, ce dernier intègre le système financier, ce qui ne doit pas pour autant rendre cette opération inaperçue.

Grâce à une supervision automatisée et puissante des transactions, les agents chargés de la conformité peuvent consacrer plus de temps à enquêter sur une activité suspecte et à identifier les véritables bénéficiaires de l’argent en question.

La supervision des transactions est un goulot d’étranglement traditionnel pour les entités en charge de la conformité. En effet, examiner les transactions peut être un processus laborieux tandis que la recherche d’éléments pertinents peut s’avérer fastidieuse. Ce n’est un secret pour personne que les criminels utilisent sans cesse de nouvelles méthodes pour déplacer de l’argent et qu’ils tentent de se fondre dans les mouvements d’argent frénétiques liés à la panique financière mondiale en cours. Utiliser une solution automatisée vous permettra cependant de définir des règles sur mesure pour détecter les comportements suspects et anormaux et identifier les transactions qui véhiculent de l’argent sale.

Pendant la crise du COVID-19, les logiciels de rançonnage sont pris d’assaut par les criminels pour obtenir de l’argent. Il faut en être conscients et s’y préparer. Dans le cas contraire, les conséquences pourraient être désastreuses pour tout établissement financier impliqué d’une quelconque manière dans ces manœuvres frauduleuses.