Alors que les autorités n'ont de cesse de répéter qu'il ne faut pas payer de rançons, Associated Press a découvert que les victimes de ransomware peuvent les déduire de leurs impôts.
Plusieurs experts fiscaux américains interrogés par AP expliquent en effet que les déductions « sont généralement autorisées en vertu de la loi », dès lors qu'elles sont « considérées comme ordinaires et nécessaires » au bon fonctionnement de l'entreprise.
C'est d'ailleurs ce pourquoi elles sont aussi, et depuis longtemps, en mesure de déduire les pertes relevant de délits plus traditionnels, tels que le vol ou le détournement de fonds.
« Plus nous faisons payer ces rançons à moindre coût, plus nous incitons les entreprises à payer,[...] et plus nous incitons les criminels à continuer », déplore Josephine Wolff, professeur de politique de cybersécurité à la Fletcher School of Tufts University.
Il y aurait des limites à la déduction, relève AP : « si la perte subie par l'entreprise est couverte par une cyber-assurance, ce qui est également de plus en plus courant, l'entreprise ne peut pas déduire le paiement effectué par l'assureur ».
« L'IRS est conscient de cela et examine la situation », a déclaré la porte-parole du fisc américain, Robyn Walker.
AP relève, a contrario, qu'une loi britannique de 2015 interdit aux compagnies d'assurance basées au Royaume-Uni de rembourser les entreprises pour le paiement de rançons liées au terrorisme, « un modèle qui, selon certains, devrait être appliqué universellement aux paiements de rançongiciels ».
Alors qu'aux États-Unis, environ 60 % des victimes de ransomware préfèrent payer la rançon que de risquer de perdre du temps et de l'argent, le temps de désinfecter leurs systèmes d'information et d'y réinstaller leurs données – quand elles le peuvent. 80 % de celles qui paient subissent une seconde attaque de ransomware.
De plus, souligne AP, payer ne garantit pas le fait de complètement récupérer ses données : « en moyenne, les payeurs de rançon n'ont récupéré que 65 % des données chiffrées, laissant plus d'un tiers inaccessibles, tandis que 29 % ont déclaré n'avoir récupéré que la moitié des données », a constaté la société de cybersécurité Sophos dans une enquête menée auprès de 5 400 décideurs informatiques de 30 pays.
Commentaires (9)
#1
Le logiciel lance (virtuellement) une pièce pour chaque fichier pour savoir s’il va le décrypter ?
#2
J’imagine la fraude fiscale qui consiste à verser une rançon à un pirate de ses connaissances, déduire la rançon des impôts et se partager les gains
#2.1
#2.2
Mais tellement !
#3
A partir du moment où 80% de ceux qui paient subissent une seconde attaque et qu’en plus en payant on est pas certain de pouvoir récupérer ses données, ne faudrait-il pas rendre illégal le paiement d’une rançon ?
Au minimum ils ne pourront pas demander de remboursement à une assurance et ils ne pourront pas justifier la dépense dans la comptabilité.
Par ce que … ceux qui paient la rançon financent quand même un système qui nuit à tous. On pourrait même imaginer que les états mettent en place un groupe spécialisé qui serait chargé d’aider les victimes à se débarrasser des ransomware …
Mettre quelque chose en place face à un fléau qui (de ce que j’ai compris) ne fait qu’augmenter
#4
Même pas besoin d’un tiers : j’ai chiffré mes données et paumé le mot de passe. C’est une cyber-attaque !!! (© Adrexo)
#4.1
#5
Pratique pour le blanchiment
1- tu gagnes de l’argent avec une activité illégale
2- tu payes un hacker pour introduire un ransomware dans ta boîte
3- tu lui payes la rançon
4- l’IRS te rembourse
5- argent propre in da house !
Même si tu récupères pas tout, c’est quand même blanchi
#5.1
Soit j’ai mal compris soit ça ne peut pas fonctionner.
En fait c’est forcément du noircissement d’argent. L’IRS ne rembourse rien, il est juste possible de déduire de son revenu l’argent dépensé pour payer la rançon.
C’est un peu comme si tu avais beaucoup d’argent en caisse et que tu demandais à ton pote de te braquer. En portant plainte je suppose que tu peux déduire la perte de tes revenus, mais si tu te fais choper …
Le seul “plus” de ce système c’est que ça passe par de la crypto-monaie, donc plus difficilement traquable