Nous savons déjà que les rançons ne doivent pas être payées. Elle ne doit pas être livrée à l’extorsion. En juillet, la confédération des maires américains a recommandé cette solution lors de sa réunion annuelle. Il était composé de 1 400 maires de villes de plus de 30 000 habitants. Les organisations publiques se sont unies dans un discours commun dans lequel elles ont convenu de ne pas nourrir les agresseurs. S’ils sont payés, ils sont encouragés à continuer à attaquer. En 2019, il y a eu au moins 113 cas aux États-Unis.

Cette déclaration n’allait pas au-delà de la pure position « morale », car elle n’était pas contraignante. C’était un message aux agresseurs, un signe d’unité des victimes face à un ennemi commun. Mais ils sont allés plus loin. Il est maintenant possible qu’il soit illégal de payer des rançons avec l’argent public. Deux propositions de deux sénateurs (un démocrate et un républicain) demandent l’interdiction de dépenser l’argent public pour ces rançons. Le sénateur républicain propose également la création d’un fonds pour aider les organisations à améliorer leur cybersécurité.

Seulement s’ils parviennent effectivement à étrangler l’attaquant en enchaînant les attaques sans « succès » de leur part (sans en tirer profit), mais même dans ce cas, il est peu probable qu’ils cessent d’essayer d’attaquer et de détourner des fichiers. Du point de vue des attaquants, les attaques ne sont pas trop coûteuses pour eux. Ils ont une industrie grasse où le bris de sécurité est un coût abordable, même si la victime ne paie pas la rançon. Mais d’un autre côté, aussi convaincue que soit la victime de son refus de payer, les dommages causés à leurs systèmes resteront et ils seront en fait confrontés à des pertes se chiffrant en millions alors que l’agresseur n’aura perdu qu’un certain temps. Face à ce déséquilibre dans la balance des coûts et des bénéfices, il ne semble pas que les conseils locaux soient en position de force, ni que leur détermination avec le message envoyé aux attaquants puisse avoir beaucoup d’effet. Néanmoins, c’est une bonne chose (qui, sans l’application de mesures de sécurité plus nombreuses et plus efficaces, n’aura aucun sens) pour mettre un terme à cette industrie des logiciels contre rançon.

Plus d’information:
https://threatpost.com/bezos-whatsapp-cyberattacks-mobile-sophisticated/152357/