kraloz - Fotolia
Extorsion : outre-Manche, des banques préparent une cagnotte pour payer
Des banques installées à Londres envisagent de provisionner des Bitcoins afin de faire face à l’éventualité d’attaques d’une intensité au-delà de leurs capacités de défense.
Selon nos confrères du Guardian, certaines institutions financières installées outre-Manche « examinent le besoin de maintenir des stocks de Bitcoin dans le cas malheureux où elles seraient elles-mêmes la cible d’une attaque de haute intensité » sans être en capacité de rétablir rapidement leurs activités.
Il est là question d’attaques en déni de service distribué, comme celles dont ont récemment été victimes le site Web de Bryan Krebs, OVH ou encore Dyn. Mais dans ces trois cas, il n’avait pas été question d’extorsion, à l’inverse de ce que ProtonMail avait pu expérimenter il y a un an. Son cas n’avait d’ailleurs pas été isolé : cette attaque DDoS s’inscrivait dans le contexte d’une vaste opération visant la Suisse et d’ailleurs décrite par le Cert du pays : « un groupe de pirates essaie d’extorquer de l’argent à des cibles à haute valeur […] le collectif Aramda fait chanter ses victimes en demandant [une rançon]. En parallèle, les pirates lancent une attaque en déni de service distribué sur le site Web de la victime pour montrer leur puissance. Cette attaque DDoS de démonstration dure 15 à 30 minutes, avec une bande passante variant de 300 Mbps à 15 Gbps, voire occasionnellement plus ».
Début juin dernier, Corero Network Security avait réalisé un sondage auprès d’une centaine de visiteurs de la conférence Infosecurity Europe. Et 80 % d’entre eux s’attendaient à être menacés par une attaque DDoS au cours des 12 mois à venir. Surtout, 43 % de ceux-ci estimaient possible que leur organisation accepte de payer une rançon.
Une solution acceptable ? Pas pour ProtonMail. Celui-ci avait initialement cédé au chantage, versant de l’ordre de 5500 $ en bitcoin, « sous la pression d’un tiers », et dans le cadre d’une « décision prise par pour toutes les entreprises affectées ». Mais les attaques ont continué : « c’était clairement une mauvaise décision. Alors soyons clairs pour les attaquants à venir – ProtonMail ne paiera JAMAIS une autre rançon ».
Pour autant, comme dans le cas des rançongiciels, la tentation peut être grande. Ainsi, selon une récente étude de Trend Micro, près de la moitié des DSI affectés en France paient la rançon pour récupérer leurs données, souvent parce que le coût en apparaît modéré, « suffisamment bas pour être absorbé dans les coûts d’exploitation ».
Fin septembre dernier, Sasha Romanosky, de la RAND Corporation, avait publié une étude tendant à expliquer le phénomène en soulignant que les coûts induits par les incidents de sécurité apparaissent en définitive « relativement modestes » à beaucoup d’entreprise, par rapport à d’autres pertes.
Début 2015, Benjamin Dean, de l’université de Columbia, ne disait pas autre chose : « les dépenses liées aux brèches récentes chez Sony, Target et Home Depot ne comptent que pour moins de 1 % de leurs chiffres d’affaires annuels. Après remboursement par les assurances et les déductions fiscales, les pertes sont encore plus faibles ».