Développement des attaques par « ransomware ». L’Office of Foreign Assets Control (OFAC) du département du Trésor américain a émis le 1er octobre 2020 un avis sur les attaques par « ransomware » et le paiement des rançons exigées contre déblocage des données cryptées. Ce document s’inscrit dans un contexte tendu. L’OFAC cite des statistiques recueillies par le Federal Bureau of Investigation Internet Crime Reports, faisant état d’une augmentation de 37 % des cas de logiciels rançonnés signalés et de 147 % des pertes associées entre 2018 et 2019.
En France, 52 % des entreprises ont indiqué avoir subi un rançongiciel « majeur » dans les 12 derniers mois. Elles étaient 48 % en 2019. Le coût moyen d’une attaque par rançongiciel est de 420 000 euros, en dehors de la rançon exigée. Ce montant prend en compte les temps d’arrêt, la perte de chiffre d’affaires et les coûts opérationnels. En cas de paiement de la rançon, cette somme double[1]. Une décision récente, prononcée par le tribunal correctionnel de Paris fin 2020, qui a sanctionné l’auteur d’une série de rançon en bitcoins sur le fondement du blanchiment, atteste d’ailleurs de l’importance du phénomène en France et de la volonté des autorisés pénales de le sanctionner fermement[2].
Nouveau risque réglementaire. Si cet avis ne constitue pas, en tant que tel du « droit dur », il fixe toutefois la doctrine de l’administration américaine sur ce sujet et doit être pris en considération comme un élément de risque réglementaire, ce d’autant qu’il concerne aussi bien les US persons et non US persons (cf. infra). Le document de l’OFAC ne comporte pas de « date d’entrée en vigueur » et pourrait potentiellement concerner des paiements de rançons effectués antérieurement à sa date de publication, soit le 1er octobre 2020.
I. Contenu de l’avis de l’OFAC
Les victimes concernées par cet avis. L’OFAC vise les personnes qui paient ou qui facilitent le paiement de rançons au nom des victimes, « y compris les institutions financières, les compagnies d’assurance … […] et qui de ce fait, « non seulement encouragent les demandes de rançon à l’avenir, mais risquent également de violer les règlements de l’OFAC »[3]. Les banques sont donc doublement concernées, d’une part en tant que victimes potentielles payant une rançon, mais également en qualité de « facilitatrices » d’un tel paiement (encore que ceux-ci se fassent généralement en dehors des circuits traditionnels, via des crypto-monnaies favorisant l’anonymat des transactions).
L’identification des auteurs des attaques… et de ceux qui les soutiennent. L’OFAC rappelle l’existence d’une liste de personnes (Designated Nationals and Blocked Persons List - liste SDN) dans le cadre de ses programmes de sanctions visant les auteurs et facilitateurs d’attaques par rançongiciel. Les pays sous embargo total sont visés dans l’avis (par exemple, Cuba, la région de Crimée en Ukraine, l’Iran, la Corée du Nord et la Syrie)[4].
Au niveau européen, une telle liste existe également. Le Règlement 2019/796 du 17 mai 2019 concerne spécifiquement les mesures restrictives contre les cyberattaques qui menacent l’Union ou ses États membres. Ce règlement fait lui-même référence à une décision de Politique étrangère et de sécurité commune (PESC) 2019/797 dont l’article 4 dresse une liste de personnes objets de diverses mesures, dont le gel des fonds et des ressources économiques ou le refus d’en autoriser la mise à disposition. L’article 3 de la décision PESC établit les critères permettant de déterminer si une cyberattaque a un effet important. Bien entendu, les listes US et européennes sont susceptibles de diverger dans leur contenu. En Europe, la dernière liste publiée a fait l’objet du Règlement d’exécution 2020/1536 du Conseil du 22 octobre 2020 pris en application du règlement 2019/796.
Dans son avis[5], l’OFAC exprime « son intention de continuer à imposer des sanctions » à ceux qui « aident matériellement, parrainent ou fournissent un soutien financier, matériel ou technologique à ces activités ». Et de préciser : « Les paiements de rançon versés aux auteurs d’attaques par rançon préoccupent l’OFAC car ils peuvent permettre aux entités criminelles sanctionnées et aux adversaires, ou aux entités ayant un lien avec l’entité sanctionnée, d’obtenir des fonds pour soutenir leurs activités illégales ». La victime payant une rançon pourrait donc figurer sur cette liste.
Cet avis concerne-t-il les non US persons ? L’OFAC précise qu’en vertu de l’International Emergency Economic Powers Act (IEEPA) ou du Trading with the Enemy Act (TWEA)[6], il est interdit aux ressortissants américains d’effectuer des transactions, directement ou indirectement, avec des personnes ou des entités figurant sur la liste des ressortissants spécialement désignés et des personnes bloquées (SDN List de l’OFAC)[7]. L’avis mentionne, à titre d’exemple, une « non-US person engageant une transaction qui violerait les lois et règlements américains en matière de sanctions et qui a un lien avec les États-Unis (par exemple, implication des US persons ou utilisation de dollars américains compensés par des institutions financières américaines). » Les critères d’ « américanité » peuvent ainsi être très largement compris par l’OFAC.
On notera que les personnes non américaines, même sans lien avec les États-Unis, peuvent se voir imposer des sanctions à raison d’activités « sanctionnables » définies dans des décrets ou des lois spécifiques, telle que l’Iran Sanctions Act[8] ou le Countering America’s Adversaries Through Sanctions Act [9].
L’OFAC a le pouvoir d’inscrire toute personne sur la liste Designated Nationals and Blocked Persons List si elle estime que celle-ci a aidé, parrainé ou fourni un soutien financier, matériel ou technologique, ou des biens ou services à l’appui de toute personne objet de mesures de rétorsions par les USA.
Quelles sanctions ? Outre le fait d’un fichage OFAC, l’avis mentionne la possibilité de « civil penalties », applicable aux personnes « subject to U.S. jurisdiction », responsabilité qui est encourue « même si elle ne savait pas ou n’avait pas de raison de savoir qu’elle effectuait une transaction avec une personne qui est interdite en vertu des lois et règlements de sanctions administrés par l’OFAC »[10]. On soulignera que sont ainsi sanctionnables des comportements non intentionnels, les manquements aux règles OFAC relevant ainsi, pour les autorités US, des infractions purement matérielles.
II. Comportement attendu et risques associés
Directives sur l’application des sanctions économiques. L’OFAC mentionne ses directives quant à l’application des sanctions économiques (Enforcement Guidelines)[11]. Sont notamment mentionnés les facteurs qu’il prend généralement en considération, à savoir :
– l’existence, la nature et l’adéquation d’un programme de conformité aux sanctions au titre des facteurs que l’OFAC peut prendre en considération pour déterminer une réponse appropriée en matière de sanctions[12] ;
– le fait que le programme de conformité devrait tenir compte du risque qu’un paiement de rançon puisse impliquer une personne fichée, ou une juridiction soumise à un embargo complet ;
– un guide d’élaboration d’un programme d’engagements efficaces afin de respecter les sanctions « Framework for OFAC Compliance Commitments » publié en 2019[13] ;
– le fait qu’une entreprise ait signalé de sa propre initiative, en temps voulu et de manière complète, une attaque par rançongiciel aux autorités de police. Cette réactivité constitue un facteur atténuant important pour déterminer une sanction ;
– la coopération totale et en temps utile d’une entreprise, tant pendant qu’après une attaque de rançongiciel, « comme un facteur atténuant important lors de l’évaluation d’un résultat possible en matière d’application de la loi »… « to be a significant mitigating factor when evaluating a possible enforcement outcome »)[14]. Ceci est un appel à l’application strict des notifications en cas de faille sécuritaire, notamment auprès de l’ANSSI, de la CNIL, et de la BCE.
L’avis de l’OFAC est aussi un rappel à la nécessité d’adopter des politiques rigoureuses de prévention du risque cyber. Trois projets de textes européens abordent cette question. Tout d’abord le projet de règlement européen DORA (Digital Operational Resilience Act[15]) souligne notamment, au titre des exigences en matière de gestion des risques liés aux TIC[16], quelques principes généraux dont notamment le signalement des incidents majeurs liés aux TIC à l’autorité compétente, dans les délais prescrits.
Se sont récemment ajoutées deux propositions de textes s’inscrivant dans le cadre de la nouvelle stratégie de cybersécurité de la Commission, présentée le 16 décembre 2020[17], laquelle repose notamment sur les principes de résilience et de souveraineté technologique. Cette stratégie s’incarne dans deux réformes. D’une part, une révision de la Directive NIS[18] qui comportera un renforcement des exigences de sécurité imposées aux entreprises, un traitement de la sécurité des chaînes d’approvisionnement et des relations avec les fournisseurs en ce compris une rationalisation des obligations de déclaration et enfin, l’introduction de mesures de surveillance plus strictes pour les autorités nationales. Le deuxième texte est une proposition de directive sur la « résilience des entités critiques » [19].
Cette directive, comportera une extension du champ d’application de la directive 2008/11 du 8 décembre 2008 sur les infrastructures critiques européennes. Elle couvrira dix secteurs[20] et portera des dispositions spécifiques en matière de surveillance applicables aux entités critiques d’importance européenne.
Pour terminer, on soulignera la recommandation de l’ANSSI dans son « guide des attaques par rançongiciels[21] ». Elle est simple : ne pas payer. Le paiement n’est en effet pas une garantie de récupération des données, ni même, en cas d’une hypothétique récupération, de leur exhaustivité.
Conformité – Sanctions économiques – Sanctions américaines – OFAC – Rançon – Cybercriminalité – Blanchiment.
[1] . Étude réalisée par le cabinet Vanson Bourne, en janvier et février 2020. https://www.usine-digitale.fr/article/etude-payer-la-rancon-multiplie-par-deux-le-cout-total-d-un-ransomware.N963736.
[2] . https://www.usine-digitale.fr/article/condamnation-pour-blanchiment-d-argent-via-une-plateforme-d-echange-de-cryptomonnaies.N1040719.
[3] . Avis de l’OFAC, § 1.
[4] . Avis de l’OFAC, p. 3.
[5] . Avis de l’OFAC, bas de la page 2.
[6] . Loi fédérale du 28 octobre 1977 autorisant le Président à réglementer le commerce après avoir déclaré une situation d’urgence nationale en réponse à une menace inhabituelle et extraordinaire pour les États-Unis et de source étrangère.
[7] . Avis de l’OFAC, p. 3.
[8] . https://fas.org/sgp/crs/row/RS20871.pdf.
[9] . https://www.congress.gov/bill/115th-congress/house-bill/3364/text.
[10] . « … may be held civilly liable even if it did not know or have reason to know it was engaging in a transaction with a person that is prohibited under sanctions laws and regulations administered by OFAC ». Avis de l’OFAC, p. 3.
[11] . https://www.sec.gov/about/offices/ocie/aml/enf_guide_09082008.pdf.
[12] . Avis de l’OFAC, p. 3, avant dernier §.
[13] . https://home.treasury.gov/system/files/126/framework_ofac_cc.pdf.
[14] . Avis de l’OFAC, p. 4.
[15] . https://ec.europa.eu/transparency/regdoc/rep/1/2020/EN/COM-2020-595-F1-EN-MAIN-PART-1.PDF
[16] . Projet DORA, art. 5 à 14.
[17] . Joint communication to the European Parliament and the Council - The EU’s Cybersecurity Strategy for the Digital Decade – Join (2020) 18 final .
[18] . Proposal for a directive ot the European Parliament and the Council on measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148 - COM(2020) 823 final
[19] . Proposal for a directive ot the European Parliament and the Council on the resilience of critical entities - COM(2020) 829 final.
[20] . Energie, transports, services bancaires, marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, administration publique et espace.
[21] . https://www.interieur.gouv.fr/A-votre-service/Ma-securite/Conseils-pratiques/Sur-internet/Les-rancongiciels
