Ce n’est un secret pour personne, les acteurs économiques font face à une menace de plus en plus grandissante : les ransomwares.
Qu’est ce qu’un ransomware ?
Cette technique de cyber-criminalité consiste, pour le cybercriminel, à envoyer un logiciel malveillant à la victime qui chiffre ses données et lui demande une rançon, souvent exigée en crypto-actif, en échange du mot de passe de déchiffrement. Parfois, le cyber-criminel peut mettre la pression sur la victime en la menaçant de divulguer des données sensibles ou des informations confidentielles.
Ransomware et crypto-actifs
L’un des principaux risques associés aux rançongiciels réside dans l’opacité entourant le paiement de la rançon qui peut être renforcée par le recours aux crypto-actifs de nature à réduire la traçabilité du circuit financier emprunté par la rançon.
Actions à prendre en cas de détection d’un ransomware
A ce titre, les PSAN (Prestataires de services sur actifs numériques) peuvent être eux-mêmes victimes de ransomware ou détecter un client victime de ransomware (au titre de leur dispositif de surveillance des opérations). Dans ses Principes d’Application Sectoriels relatifs aux PSAN, l’ACPR indique que lorsque les PSAN détectent un cas potentiel de ransomware, ces derniers doivent :
- Effectuer un examen renforcé ;
- Effectuer une déclaration de soupçon (DS) à TRACFIN si l’examen renforcé n’a pas permis de lever le doute.
Mais un PSAN qui détecte un client victime de ransomware peut-il (ou doit-il) tout de même payer la rançon ?
Ransomware & TRACFIN
Selon l’ACPR, les PSAN doivent procéder à la réalisation de l’opération de ransomware si TRACFIN n’a pas notifié d’opposition.
TRACFIN peut en effet s’opposer à la réalisation de la transaction si elle n’a pas encore été exécutée afin de permettre à l’autorité judiciaire d’apprécier l’opportunité de prendre une ordonnance de saisie pénale des sommes en cause.
De ce fait, si TRACFIN s’oppose à l’opération, le délai de suspension de cette dernière peut durer jusqu’à 10 jours ouvrables et peut être prorogé par le président du Tribunal judiciaire de Paris sur requête de TRACFIN ou du Procureur de la République.
Des difficultés opérationnelles subsistent
En pratique, les choses sont plus complexes car ce délai peut être jugé comme trop long. Quid si le cybercriminel s’impatiente et menace de divulguer, durant ce délai, les données sensibles/confidentielles de la victime (le client du PSAN) s’il n’obtient pas son dû ? Cela pourrait constituer un préjudice pour la victime puisque cette dernière ne peut rien faire tant que l’opération est bloquée. Quid si le cyber-criminel ne transmet pas la clé permettant de déchiffrer les données ? Le PSAN pourrait-il être considéré comme « complice » du cybercriminel pour avoir facilité l’opération illicite ? Le PSAN pourrait même se transformer en un mixeur si le transfert de crypto se fait vers un wallet privé…
Des interrogations demeurent
De nombreuses questions restent en suspens. Que peut-on préconiser à un PSAN dans une telle situation ? Apporter son soutien à la victime du ransomware ? Fournir au client des conseils sur les mesures de sécurité afin de minimiser les dommages ? Inviter le client à prendre contact avec les autorités compétentes (ANSSI, CNIL, gendarmerie, etc.) ? Faire appel immédiatement à des spécialistes de la cybersécurité ?
Il serait donc bienvenu que les autorités clarifient les modalités opérationnelles de gestion d’un ransomware à la lumière de la réglementation LCB-FT.
