L'appel est arrivé un samedi de juillet, livrant de sombres nouvelles :de nombreux systèmes informatiques au service du gouvernement du comté de LaPorte, Indiana, avait été pris en otage avec un ransomware. Les pirates ont exigé 250 $, 000.

Certainement pas, pensa le président de la Commission du comté, Vidya Kora. Mais moins d'une semaine plus tard, les fonctionnaires du comté au sud-est de Chicago ont accepté de payer 132 $, 000 rançon, partiellement couvert par 100 $, 000 de leur assureur.

"C'était essentiellement une décision économique, " dit Kora. " Combien de temps gardez-vous tous ces employés assis, Ne rien faire? Alors que si vous payez cela, nous pouvons être de nouveau opérationnels."

C'est précisément le calcul sur lequel les pirates informatiques comptent. Aujourd'hui, certains professionnels de la cybersécurité craignent que les polices d'assurance conçues pour limiter les dommages causés par les attaques de ransomware n'encouragent les pirates, qui voient les assureurs couvrir des rançons de plus en plus importantes et choisissent de cibler le type d'institutions susceptibles d'avoir une couverture.

"Une fois qu'un cybercriminel trouve une formule qui fonctionne pour lui, ils vont s'y tenir, " a déclaré Tyler Moore, professeur de cybersécurité à l'Université de Tulsa. « Si vous êtes une entreprise ou une ville qui a cette couverture, la décision de payer est assez claire. Cela devient plus difficile lorsque vous prenez du recul et regardez la vision de la société."

Rien que cette année, le paiement moyen de la rançon est passé de 12 $, 762 fin mars à 36 $, 295 à la fin du mois de juin, soit un bond de 184 %, selon Coveware, une entreprise qui négocie au nom des victimes de ransomware.

Des responsables ont cité l'aide des assureurs pour payer des rançons lors de récents piratages très médiatisés, y compris ceux de plusieurs villes de Floride qui ont payé des rançons à six chiffres. Les élus ont rassuré le public que les contribuables n'étaient responsables que d'une franchise.

Le maire de New Bedford, Massachusetts, reconnu ce mois-ci que les fonctionnaires de la ville ont offert de payer 400 $, 000 après que le ransomware ait verrouillé 158 ordinateurs de la ville en juillet. Les pirates avaient réclamé 5,3 millions de dollars.

Dans un communiqué publié deux mois plus tard, Le maire Jon Mitchell a déclaré qu'il était initialement réticent à négocier, mais il a finalement conclu qu'il serait "irresponsable" de rejeter "la possibilité d'obtenir la clé de déchiffrement si la couverture d'assurance pouvait couvrir le coût total du paiement de la rançon".

New Bedford n'a jamais reçu de contre-offre de ses pirates. La couverture d'assurance par le biais d'AIG devrait aider à couvrir les coûts de récupération des fichiers perdus et de mise à niveau de la sécurité, Mitchell a dit.

La première utilisation des ransomwares date de la fin des années 1980. Les attaquants lancent souvent leurs assauts via des e-mails contenant des liens ou des pièces jointes malveillants. Une fois qu'ils y ont accès, ils cryptent les fichiers, bases de données et des réseaux informatiques entiers jusqu'au paiement de la rançon.

Dans les années récentes, les ransomwares sont devenus beaucoup plus courants, alimenté par la crypto-monnaie qui permet aux pirates de recevoir et de dépenser plus facilement les paiements. Vingt-deux gouvernements locaux du Texas ont été touchés en août. Les entreprises visant à déjouer les pirates ou à réparer leurs dommages se sont développées rapidement en réponse, y compris les assureurs proposant des polices couvrant le paiement des rançons.

Les assureurs ne divulguent pas d'informations détaillées sur l'expérience des clients avec les ransomwares, il est donc difficile de savoir à quelle fréquence les victimes acceptent de payer. Une étude réalisée en 2016 par l'association à but non lucratif Cloud Security Alliance a révélé que les entreprises disposant d'une assurance étaient plus susceptibles de payer une rançon aux pirates informatiques menaçant de divulguer des informations sensibles :28 % contre 22 % pour les entreprises sans assurance.

Les responsables du comté de La Porte ont acheté une politique de cybersécurité en 2018, mois avant d'être touchés, dit Kora. La compagnie d'assurance, Voyageurs, a envoyé un cabinet d'avocats et une équipe de cybersécurité pour tenter de restaurer les systèmes informatiques et négocier simultanément avec les pirates. Le comté a également signalé le ransomware au FBI.

Personne n'a pu libérer les informations cryptées, dit Kora. Pendant des jours, les tribunaux pénaux et civils du comté sont bloqués sans accès aux dossiers, bases de données et systèmes de paiement. Les employés des autres bureaux de comté n'avaient pas accès aux courriels ou aux dossiers électroniques.

La police du comté de LaPorte couvrait jusqu'à 100 $, 000 vers un paiement de rançon. Se sentir piégé, les commissaires de comté ont décidé de couvrir les 32 $ restants, 000.

Les responsables du Texas ont publié peu d'informations sur le ransomware qui a frappé les gouvernements locaux, y compris les demandes spécifiques des pirates. Le Texas Department of Information Resources a déclaré dans un communiqué publié le 5 septembre qu'il n'était au courant d'aucune communauté payant une rançon.

Selon le FBI, plus de 1, 400 instances de ransomware ont été signalées l'année dernière, et les victimes ont déclaré avoir payé 3,6 millions de dollars. Mais d'anciens responsables ont déclaré que c'était sans aucun doute une fraction de la réalité, car de nombreuses victimes ne signalent pas, craignant de nuire aux actionnaires et de perdre la confiance des clients.

Les agences gouvernementales n'ont souvent pas la possibilité de se taire.

Cindy Pfeifer, greffier et trésorier du village de Nashotah dans le Wisconsin, était confronté à des délais de perception de la taxe foncière, la préparation du budget et l'achèvement des documents fiscaux des employés lorsqu'elle a commencé une journée de travail à la fin de novembre. Mais son ordinateur était inutile. Il avait été verrouillé par des pirates informatiques exigeant 10 $, 000.

"Mon estomac se serre encore quand j'y pense, " a déclaré Pfeifer.

Personnel technologique pour le village de 1, 357 résidents ont négocié les pirates à environ 2 $, 500. Fonctionnaires payés, craignant que reconstruire des dossiers coûterait beaucoup plus cher.

Joséphine Wolff, professeur de politique de cybersécurité à l'Université Tufts, craint que la couverture d'assurance des paiements de rançon ne éloigne les victimes de l'effet d'entraînement de leur décision.

"En disant, 'Oh, c'est juste quelque chose que mon assurance couvre, ' ils oublient que c'est apporter des ressources financières directes aux futures opérations criminelles, " a déclaré Wolff.

Cet effet a empêché certaines cibles de payer des rançons. Après que les pirates aient verrouillé les systèmes de paiement des fournisseurs et des employés au ministère des Transports du Colorado, les représentants de l'État ont décidé de ne pas céder. La restauration des systèmes a coûté jusqu'à 1,5 million de dollars.

"Nous ne savons pas ce que ce paiement de rançon va financer, " a déclaré Brandi Simmons, porte-parole du bureau du gouverneur de la technologie. « En tant que gouvernement d'État, nous ne voulons pas être en position de financer des cyberterroristes."

Les assureurs ont déclaré que la décision de payer une rançon appartient en fin de compte à la victime et n'est pas dictée par les termes d'une police, mais cela nécessite l'examen de questions pratiques, dit Michael Tanenbaum, chef de la division Cyber ​​Amérique du Nord pour Chubb Insurance.

Combien de temps peuvent-ils fonctionner sans accès aux données ? Ont-ils des sauvegardes fonctionnelles à utiliser pendant que les experts essaient de récupérer les données ? Que faire si les données volées ne peuvent pas être récupérées ?

Les dirigeants d'une entreprise multinationale qui gagne 10 millions de dollars par jour ne peuvent pas hésiter à payer 10 $, 000 pour récupérer les données. Une rançon de 10 millions de dollars, bien que, il faudrait plus de réflexion, dit Howard Marshall, un ancien directeur adjoint adjoint de la division cyber du FBI, qui dirige maintenant l'équipe de renseignement sur les cybermenaces du cabinet de conseil Accenture.

"Le temps de ce processus de réflexion est bien en avance, " il a dit, "pas quand l'horloge de l'attaquant tourne."

© 2019 La Presse Associée. Tous les droits sont réservés.