Archives de l’étiquette : cybersécurité

Faire payer la rançon liée à une attaque informatique par un assureur: une fausse bonne idée?

Publié le par

Confrontées à un risque sans cesse grandissant d’attaques par rançongiciel («ransomware»), certaines entreprises s’assurent désormais spécifiquement contre ce risque. Certains assureurs offrent, en effet, une telle couverture, payant essentiellement la rançon si jamais une société assurée se retrouve aux prises avec un incident lié à un rançongiciel. Eh oui, le problème est à ce point préoccupant pour les entreprises, ce qui a ouvert un nouveau marché pour les assureurs.

Récemment, l’assureur européen AXA a pris la décision, en France, de suspendre ses activités liées à la couverture d’assurance liée aux rançons de ce genre, dont suite à des commentaires des autorités. Sans y être obligée, AXA opte ainsi pour ne plus assurer ces nouveaux clients français afin de payer les rançons de ce type à l’avenir pour eux.

Selon plusieurs (dont le FBI), le paiement des rançons (et donc l’existence d’assurance destinée à les payer), exacerbe indirectement le problème, les criminels réalisant qu’une partie des entreprises paieront effectivement les rançons qui leur seraient demandées. Ce type de couverture d’assurance augmente donc les chances qu’une victime typique opte de payer une rançon. Puisque les attaques de ce type s’avèrent plus susceptibles de résulter en un paiement, elle s’avèrent plus viables pour les criminel (dans l’ensemble), aggravant ainsi le problème à moyen terme. Effet pervers, si vous voulez.

D’ailleurs, après la déclaration d’AXA qu’elle cessait d’offrir ce type spécifique d’assurance en France, les pirates informatiques (du groupe russe Avaddon) semblent avoir délibérément ciblé AXA avec une attaque de type DDoS, dans le but de la punir. La décision de l’assureur semble donc déranger les criminels, ce qu’on pourrait certainement voir comme un argument pour tenter d’interdire désormais aux assureurs  d’offrir ce genre de couverture d’assurance. Devrait-on modifier nos lois pour l’interdire? La question se pose.

Bien que cela ne règlera certainement pas le problème, on pourrait peut-être ainsi cesser de jeter de l’huile sur le feu. D’ailleurs, devant un problème qui s’aggrave, plusieurs sont à proposer qu’on repense notre approche collective pour tenter d’endiguer le problème des rançongiciels.

Corsaires et pirates informatiques: devrait-on ressusciter le concept des lettres de marque?

Publié le par

Le Wall Street Journal contenait un article d’opinion en matière de cybersécurité qui a attiré mon attention, intitulé A Maritime Solution for Cyber Piracy. L’auteur, un avocat ayant travaillé par l’Air Force, suggère que, face au problème d’apparence insurmontable qu’est le piratage informatique, les États-Unis devraient penser à ressusciter le concept des «lettres de marque» afin de mobiliser des citoyens pour sa cyberdéfense.

La «letter of marque» («lettre de permission» ou «lettre de commission») était un concept juridique de licence (permission) permettant au gouvernement américain de confier à un citoyen, à une entreprise ou à une équipée un rôle dans la défense de la nation ou son commerce. En gros, à une époque où le gouvernement américain était souvent mal équipé pour composer avec les menaces navales et le piratage naval, le gouvernement s’était inspiré des nations européennes ayant elles-mêmes depuis longtemps autorisé des citoyens («privateers») à écumer les mers pour cibler les pirates ou des actifs de nations ennemies. Une fois en possession de lettres de marque, un citoyen, une entreprise ou une équipée pouvait agir contre des pirates ou les possessions d’un pays avec lequel on était en guerre sans risque de répercussions légales pour avoir attaqué un autre bateau ou une possession étrangère à l’extérieur des États-Unis, etc.

Ces autorisations permettaient donc à des «corsaires» (des citoyens en mission navale pour l’État ) d’attaquer les ennemis de la nation, en étant habituellement motivés par des récompenses liées aux navires coulés ou capturés, par exemple.

En somme, ces lettres permettaient de compter sur des mercenaires pour voir à la sécurité de la nation, dans la mesure où le gouvernement s’avérait mal équipé pour le faire entièrement lui-même. C’est ce qui mène l’auteur de l’article à suggérer que face à la menace sans cesse croissante du piratage informatique, on pourrait songer à ramener le concept des lettres de marque, afin d’autoriser des entreprises et des experts en cybersécurité à écumer l’Internet pour stopper les pirates informatiques.

Comme on le constate, nos gouvernements sont généralement peu efficaces pour contrer les cas de piratage informatique, du moins à court terme, préférant s’attaquer (juridiquement) aux plus gros cas à l’aide des forces de l’ordre et du système judiciaire. La quantité de problèmes de cybersécurité rend l’implication de l’État inadéquate pour endiguer réellement le problème, les menaces de ce type pouvant aller jusqu’à menacer les infrastructures de la nation (comme on l’a vu récemment avec l’attaque liée à un oléoduc américain par SolarWinds).

Fait intéressant, l’article souligne que SolarWinds a bien fonctionné entre autres parce que le droit américain interdit à son chien de garde principal en matière de cybersécurité (la NSA) de surveiller les réseaux et systèmes situés à l’intérieur des États-Unis. Ainsi, des attaques issues de systèmes hébergés aux États-Unis (chez Microsoft et Amazon, dans ce cas-ci) peuvent passer inaperçues ou sous le radar jusqu’à ce qu’il soit trop tard.

C’est ce qui fait dire à l’auteur qu’on devrait peut-être songer à combler le vide en matière de cybersécurité en ramenant le concept des lettres de marque, qu’on pourrait adapter à l’ère numérique. Devant des menaces de cybersécurité incessantes, le fait d’offrir des récompenses aux individus et aux entreprises pourrait nous permettre de mieux composer avec le problème, en créant des incitatifs (notamment financiers) adéquats, non seulement pour ce qui est de «couler» les pirates, mais aussi (et peut-être surtout) en partageant de l’information que les sociétés victimes sont souvent réticentes à divulguer en pratique.

Bien que j’ignore comment cela pourrait fonctionner en pratique, je trouve que l’idée est certainement intéressante. À voir le flot quasi incessant d’histoires de piratage informatique à la une depuis quelques années, il faut avouer qu’une nouvelle solution s’impose. Visiblement, notre système est incapable de composer adéquatement avec la cybercriminalité. Peut-être est-il temps d’envisager des solutions juridiques de rechange?

Un tribunal américain permet au FBI de colmater les brèches de centaines de serveurs Exchange

Publié le par

On rapportait hier qu’un tribunal du Texas aurait rendu une ordonnance permettant aux forces de l’ordre d’accéder à des serveurs de courriels d’entreprises compromis par des pirates informatiques liés à l’état chinois. Le but: fermer des portes laissées déverrouillées par les attaques récentes d’envergure contre des serveurs Exchange.

Comme on s’en souviendra, des criminels ciblent depuis mars des serveurs affectés de quatre vulnérabilités permettant à des attaquants de les pénétrer et d’en piller les courriels et l’information, etc. Les intrusions résultantes ont notamment permis à des pirates de découvrir les secrets d’entreprises emmagasinés dans leurs serveurs Exchange et de déployer des rançongiciels.

Depuis, bien que Microsoft a déployé des correctifs logiciels, beaucoup d’entreprises tardent à appliquer ces correctifs, sans parler du fait que même une fois ces brèches colmatées, il est trop tard pour des centaines de réseaux d’entreprises déjà pénétrés et dans lesquels les pirates ont eu le temps d’installer des portes dérobées (ou «backdoors»). Si un malfrat vole vos clés de maison et a le temps d’en faire des doubles, êtes-vous toujours en sécurité chez vous une fois vos propres clés récupérées? Évidemment pas.

Devant ce fléau, le département américain de la Justice aurait obtenu qu’on autorise le FBI à accéder aux serveurs touchés par les vulnérabilités en question, par Internet, en donnant une commande de nettoyage aux serveurs qu’on sait infectés. Les forces de l’ordre expriment récemment leur désir d’étendre ainsi la gamme des outils à leur disposition afin de composer avec de pareils problèmes de cybersécurité.