Cybersécurité : Une ordonnance de dédommagement prometteuse

Un incident de cybersécurité ou une intrusion informatique entraîne généralement des répercussions importantes sur les finances, les opérations et la réputation des organisations victimes.

Compte tenu de leur sophistication croissante et de leur nombre fulgurant, ces incidents sont également de plus en plus coûteux pour les cyber assureurs, les dépenses telles que les coûts de restauration et les demandes de rançons n’ayant cessé d’augmenter au cours des dernières années.

En outre, la complexité grandissante des attaques en plusieurs étapes menées dans plusieurs juridictions peut créer de sérieuses difficultés d’attribution. Même lorsqu’ils sont identifiés avec confiance, les auteurs de menaces responsables de ces attaques peuvent opérer en dehors de nos frontières, parfois dans des environnements permissifs. À ce jour, ils ont rarement été traduits en justice; cependant, une décision récente incite à l’optimisme pour les victimes et leurs assureurs.

Le 1^er février 2022, dans l’un des premiers jugements du genre (et probablement le premier de cette envergure) au Canada, la Cour de justice de l’Ontario a ordonné (jugement en anglais seulement) à un citoyen canadien résidant dans la région de la Capitale nationale de dédommager les victimes.

Le défendeur, Sébastien Vachon-Desjardins, était un affilié prolifique du groupe cybercriminel créant des rançongiciels NetWalker. Comme l’a décrit le tribunal, « NetWalker était un groupe dédié à la création de rançongiciels et de stratégies d’attaque qui partageait ses capacités avec les auteurs de cybermenaces sur une base de frais partagés. Les affiliés étaient des individus qui effectuaient ces vols de données, extorquaient leurs victimes et partageaient jusqu’à 20 % des rançons payées avec les concepteurs de NetWalker ». Un rançongiciel est une forme de logiciel malveillant conçu pour crypter les dossiers dans l’appareil d’une victime, permettant aux attaquants d’exiger le paiement d’une rançon, généralement en monnaie virtuelle, en échange d’un décryptage. Des groupes de cybercrimels organisés tels que NetWalker, qui fonctionnent sur un modèle de « rançongiciel en tant que service », franchisent leurs capacités à des attaquants intéressés qui deviennent ainsi leurs affiliés, ce qui permet à ces derniers de mener plus facilement des attaques de rançongiciel sophistiquées sans avoir à développer leur propre variante de rançongiciel. De plus, l’utilisation du vol de données conjointement avec le cryptage est une méthode à « double extorsion ». Même lorsqu’une organisation dispose de sauvegardes viables pour récupérer ses données, elle est également confrontée à la menace de voir ses informations divulguées ou vendues en ligne.

Le défendeur a été arrêté en janvier 2021 grâce aux efforts conjoints de la GRC et du FBI. Les autorités canadiennes, alertées par le FBI, ont finalement pu l’identifier « sur la base d’adresses de protocole Internet, de données glanées lors d’enquêtes américaines sur divers comptes Apple, Google, Microsoft et Mega.nz, d’alias, d’adresses courriel et d’informations personnelles révélées sur les médias sociaux ».

Après son arrestation, le défendeur a coopéré avec la GRC et a fait une déclaration détaillant ses activités criminelles impliquant des victimes canadiennes. Il a admis avoir été impliqué dans 17 attaques de rançongiciels qui ont causé des millions de dollars de dommages au Canada, sans même tenir compte des pertes non quantifiables en matière commerciale, concurrentielle et de réputation pour les victimes. La GRC a été en mesure de saisir plus d’un million de dollars en espèces au domicile du défendeur et dans ses comptes bancaires, en plus de 720 bitcoins (d’une valeur de plus de 34,5 millions de dollars au moment du prononcé de la peine). Le défendeur a plaidé coupable à cinq chefs d’accusation, dont méfait et vol de données informatiques, extorsion, paiement de rançons en cryptomonnaie, et participation aux activités d’une organisation criminelle; il a été condamné à sept ans de prison.

Le tribunal a ordonné que les sommes saisies au défendeur soient utilisées comme dédommagement aux organisations victimes de ses agissements. Certains des assureurs des victimes seront également dédommagées pour les indemnisations versées à leurs assurés.

Bien que seules quelques-unes des milliers de victimes de rançongiciels au Canada soient dédommagées, ce cas représente néanmoins une bonne nouvelle pour les organisations et leurs assureurs, car les forces de l’ordre ont prouvé leur capacité à identifier l’auteur responsable de la menace, rendant ainsi possibles l’obtention d’une condamnation pénale et un dédommagement. Jusqu’à ces dernières années, les forces de l’ordre étaient généralement moins impliquées dans les cyber incidents.Ce cas illustre les progrès accomplis dans ce domaine et à quel point les efforts des forces de l’ordre sont de première nécessité pour les victimes et leurs assureurs. Bien qu’elles demeurent l’exception à l’heure actuelle, il y a de plus en plus de réussites pour les forces de l’ordre, telles que le traçage et la saisie du paiement de rançon (lien en anglais seulement) en cryptomonnaie lors d’une récente attaque très médiatisée contre des infrastructures essentielles.

La décision illustre l’importance de la coopération internationale et de l’échange d’informations dans l’application des lois contre la menace de rançongiciels. Les cyberattaques ne connaissent pas de frontières, c’est pourquoi les efforts des forces de l’ordre au niveau international sont cruciaux pour identifier et appréhender les cybercriminels, saisir leurs profits et les tenir responsables, ce qui a pour résultat de perturber l’écosystème de la cybercriminalité.

Les cyber assureurs sont de plus en plus en mesure d’éduquer les assurés, d’inciter à l’amélioration des pratiques de cybersécurité, d’encourager la coopération avec les forces de l’ordre et d’améliorer leurs propres efforts de partage d’informations avec les forces de l’ordre, ce qui devrait conduire à davantage de réussites.

Enfin, il est important de noter que le Centre canadien pour la cybersécurité a récemment averti la communauté canadienne de cybersécurité, et en particulier les défenseurs des réseaux d’infrastructures essentielles, de renforcer leur sensibilisation et leur protection contre les cybermenaces parrainées par la Russie. Compte tenu de l’évolution rapide de la situation en ce qui concerne les mesures de sanctions mondiales (lien en anglais seulement) contre la Russie, les organisations confrontées à un éventuel paiement de rançon à un auteur de menace et leurs assureurs doivent être d’autant plus vigilants dans leur diligence raisonnable et leurs contrôles des sanctions.