Quand des entreprises belges paient les rançons aux cybercriminels

643. C’est le nombre moyen de cyberattaques subies chaque semaine par une entreprise belge. Un chiffre qui a bondi de 81 % en 2021, selon le dernier rapport du spécialiste israélien Check Point, rapporte Belga. Avec, en moyenne, 1.507 assauts par semaine, les très ciblées organisations du secteur des soins de santé ont même enregistré deux fois plus d’attaques que l’année précédente. De quoi placer la Belgique parmi les pays européens les plus visés. Notamment par les rançongiciels (ransomwares), ces programmes malveillants qui cryptent les données et exigent une rançon pour les débloquer.

En 2021, la liste des victimes de ces ransomwares affichait déjà un beau palmarès. Le Centre hospitalier de Wallonie picarde à Tournai (CHwapi), les services communaux de la Ville de Liège, le Barreau de Charleroi, la clinique Saint-Luc de Bouge… Avec des dégâts considérables. Le rançongiciel qui a frappé la Cité ardente en juin dernier a ainsi impacté 1.800 ordinateurs communaux et paralysé les services informatiques des “mairies de quartier”, du service des étrangers, des naissances, des mariages, des nationalités… Des données éminemment sensibles et à très haute valeur commerciale sur les marchés noirs du dark web. Mais que s’est-il passé exactement? La Ville de Liège a-t-elle payé une rançon? Ni son bourgmestre ni son directeur général n’ont répondu à nos demandes d’interview.

“Nos entreprises privées ne sont pas les seules à payer des rançons, confie un expert en cybersécurité sous couvert d’anonymat. Certains hôpitaux et communes le font aussi.” Ce que confirme également Axel Legay, professeur d’ingénierie informatique à l’UCLouvain. Ces paiements posent sérieusement question. D’un point de vue moral, d’abord, comment peut-on accepter de rémunérer le crime? Ensuite, c’est contre-productif. Car plus on paie de rançons, plus on suscite les attaques. Selon une récente étude de Cybereason, spécialiste américain, 80 % des entreprises qui ont payé une rançon pour récupérer leurs systèmes ont subi une nouvelle attaque par la suite. Et presque une firme sur deux pense qu’elle a été rançonnée à nouveau par le même gang… “Beaucoup d’entreprises paient également des pirates de seconde zone qui s’avèrent incapables de déverrouiller leur propre attaque! renchérit Axel Legay. Lorsque vous acceptez la rançon, vous signalez aussi aux hackers que cet argent ne sera pas investi dans la sécurité de votre firme. C’est un très mauvais message. De nombreuses boîtes attaquées ne mettent d’ailleurs pas leurs systèmes à jour par la suite…”

Ne le dis à personne

Des rançons immorales, contre-productives, mais aussi illégales. Voilà, sans doute, pourquoi aucun service public n’avouera jamais avoir payé une rançon. Les petits patrons belges ne le savent peut-être pas mais plusieurs régimes américains et européens de sanctions internationales interdisent tout versement de fonds vers une liste noire de pays ou d’organisations criminelles. Et de nombreux gangs de rançonneurs sont justement localisés dans ces territoires blacklistés, tels l’Iran, la Russie ou la Corée du Nord. Et si les rançons en bitcoin sont par nature extrêmement complexes à tracer, il y a néanmoins de fortes chances pour que ces paiements soient punissables. Et même très sévèrement.

L’organe de lutte contre la cybercriminalité en Belgique insiste: “Ne jamais payer les rançons!” © Adobe Stock

Combien d’entreprises belges paient des rançons? Impossible à savoir. Les firmes sont déjà très frileuses à l’idée de déclarer publiquement qu’elles ont subi une attaque. Encore plus à avouer avoir payé les pirates. Certaines trouvent néanmoins le courage de le faire. Le fournisseur de services informatiques anversois ITxx a ainsi payé une rançon de 300.000 dollars à des cybercriminels. “Dans l’intérêt de nos clients, et parce que les experts nous ont convaincus qu’il n’y avait pas d’alternative, nous avons procédé au paiement de la rançon”, a explique à Belga le directeur Philippe Van Cauwenbergh. Selon la société de cybersécurité Secutec, qui a mené les négociations, le groupe de hackers Conti exigeait initialement 1,5 million de dollars pour déverrouiller les données et e-mails de la firme et de ses clients.

Déclarés en frais professionnels

Nos entreprises, nos soins de santé et même nos instances publiques paient des rançons et les pirates le savent. Mais on apprend également que certaines compagnies d’assurances proposent aujourd’hui des polices en cybersécurité qui couvrent le paiement de ces rançons! “Cela renforce encore ce terreau propice aux attaques, regrette Guillaume Deterville, hacker éthique pour la firme de cybersécurité Cresco. Cela me rappelle l’époque des grandes fraudes aux cartes bancaires. Les hackers qui vendaient ces solutions sur le dark net rassuraient leurs clients en leur disant que les personnes arnaquées se feraient rembourser par leur banque. Ces assurances diminuent encore la charge mentale des pirates. En plus, elles ne fonctionnent pas du tout car elles remboursent rarement leurs assurés en cas de sinistre.” En France, de plus en plus de voix s’élèvent contre ces assurances anti-rançons. Axa y a même suspendu sa garantie. Mais chez nous, l’assureur propose toujours une formule qui couvre le paiement du racket. “C’est un produit délicat, reconnaît Pierre-Alexandre David, expert produit chez Axa Belgique. En réalité, on ne paie la rançon que si elle est destinée à un pays non soumis à des sanctions. Il faut donc un dépôt de plainte, une enquête du Parquet. Mais dans 90 % des cas, on n’arrive pas à identifier le destinataire du paiement. Voilà pourquoi, commercialement aussi, c’est compliqué à proposer. On ne fait d’ailleurs pas de publicité autour de cette option.” Axa nous assure également réfléchir à supprimer ou modifier cette couverture et déclare n’avoir jamais, jusqu’ici, remboursé une seule rançon en Belgique.

Un incitant pour les pirates

Que les patrons (et les pirates) se rassurent néanmoins. Si votre entreprise a été attaquée et que votre assureur rechigne à payer la rançon, celle-ci sera fiscalement déductible! Une info tellement sidérante qu’elle avait même échappé à notre cyberpolice. “Si c’est vrai, cela revient à légaliser une activité criminelle!, s’étonne Olivier Bogaert, commissaire de la Federal Computer Crime Unit (FCCU). Il ne faut jamais payer les rançons!” On revérifie dare-dare au SPF Finances. “Ce paiement peut en effet être considéré comme frais professionnel déductible à condition que l’entreprise puisse démontrer qu’elle a engagé cette dépense en vue d’acquérir ou de conserver ses revenus imposables et qu’elle en justifie la réalité et le montant.” Là, on tombe de notre chaise. Ces rançons payées à des organisations criminelles, notamment dans des pays soumis à des sanctions pénales internationales, sont donc fiscalement déductibles. Alors que l’on sait très bien que plus la rançon est bon marché, plus on est tenté de la payer. “Voilà encore un bel incitant pour les pirates, réagit Axel Legay. On bénéficie de déductions fiscales quand on gère sa société en bon père de famille. Ici, ce n’est pas le cas puisque c’était évitable. Si on préfère engraisser ses actionnaires plutôt que d’investir dans la cybersécurité de son entreprise, on ne devrait pas pouvoir bénéficier de ce traitement de faveur. Et vu que ces paiements sont en cryptomonnaies, qui va empêcher les patrons fraudeurs de simuler une demande de rançon pour faire des faux frais?”

En cas de force majeure, et même si ce n’est pas politiquement correct, les experts interrogés recommandent toutefois de payer la rançon. Mais après avoir négocié. “Pour les raisons précitées, nous déconseillons à nos clients de céder au chantage, explique Guillaume Deterville. Mais ne soyons pas dupes, si une grosse entreprise se fait attaquer, qu’il n’existe aucun autre moyen de récupérer ses données et que cette paralysie durant des jours va lui coûter des millions, voire plus, il n’y a malheureusement pas d’autre solution.” La victime fait alors appel à une société spécialisée dans ces négociations. “Mais avant d’entamer les discussions, il faut absolument s’assurer que ces hackers pourront bien déverrouiller vos fichiers.” Pour cela, les négociateurs paient par exemple un dixième de la somme en échange d’une partie de la clé de déchiffrage ou demandent de débloquer un échantillon de fichiers. Ensuite, on négocie. “Les pirates fixent des rançons très élevées au départ mais ils sont flexibles. 50.000 ou 100.000 euros représentent déjà des sommes considérables pour des hackers qui vivent parfois au nord de la Russie dans des barres de HLM.”