J'avais bien ce type de scénario en tête, mais du coup il y a beaucoup d'espoir que le hackeur va te donner les clés de déchiffrement.
Mais c'est sûr que c'est le "dernier espoir". La dernière chose à faire, mais si on ne fait rien, c'est certain qu'on va tout perdre...
"Beaucoup" d'espoir, non ; un espoir limité, faible, pour peu que l'acteur soit lucide! Mais bon, si je suis empoisonné et que quelqu'un me dit : "contre toutes tes économies, je te donne cette pilule qui a 10% de chances de te sauver ; c'est soit ça, ou la mort", ben ces faibles chances sont mieux que pas de chance du tout! ;-)
Le
14/05/2024 à
19h
27
Imagine que tu développes un produit/service sur lequel toute ton activité repose ; imagine que tu n'as pas eu de vraie stratégie de cybersécurité, et que tu n'as pas fait de sauvegardes (ou alors ces dernières étant en ligne ont également été chiffrées par l'attaquant) ; ou bien encore, imagine que de la continuité de ton activité, ou de sa reprise, dépendent des vies (au sens figuré, peut-être, parfois au sens littéral, dans les cas d'hôpitaux) ; en ce cas, que ferais-tu?
Et même si je comprends ton point de vue, tu tournes mal la réflexion de ces acteurs : ils ne paient pas parce qu'ils font confiance à l'attaquant ; ils paient car, pour eux, ils n'ont pas le choix, et que même le risque de se faire avoir ne contrebalance pas la faible possibilité que l'attaquant rende les données chiffrées.
Attention, hein, je ne les défends pas ; au contraire! "Ne jamais payer la rançon", c'est un excellent conseil, certes, mais c'est aussi un état à atteindre ; que faire pour se rendre en position de pouvoir respecter ce conseil? En répondant à cette question, et en prenant les mesures appropriées, on se protège des effets les plus néfastes de ces groupes d'attaquants. :-)
Le
13/05/2024 à
09h
12
J'ai mis un peu de temps à comprendre ces chiffres. Il faut les mettre en lien avec le nombre de cyberattaques préparées dans le pays. Pas exemple, aux USA, sur les 1299 cyberattaques préparées, 495 cyberattaques ont mené à des négociations (soit 38%). Formulé autrement, 38% des victimes ciblées aux USA ont entrepris des négociations.
Pour rejoindre la remarque au-dessus, je trouve que cela fait beaucoup. Y a-t-il des raisons pour que les cibles continuent à vouloir négocier malgré les expériences identiques reportées par les autorités ? L'espoir de récupérer les données sans payer après le décryptage ?
Ah, bien vu! C'est la présence de "avaient tenté de négocier" à la fin qui perturbe la compréhension de la phrase ; merci!
En ce qui concerne les raisons : non, ce n'est pas la volonté de récupérer les données sans payer ; la plupart des attaquants, aujourd'hui, non seulement exfiltrent d'abord et menacent de rendre public, et chiffrent les données ; évidemment, ils ne donnent la clé qu'après avoir reçu le paiement. Après, beaucoup d'attaquants, même après paiement, ne donnent pas la clé, ou bien celle-ci ne fonctionne pas (et on n'évoque même pas le fait qu'un attaquant, après avoir été payé, ne s'est pas engagé à se barrer du système d'information de la victime, et a donc la possibilité de revenir pour la faire payer à nouveau ; ben oui, elle a déjà payé une fois! Certains font même des discounts!).
A mon avis, les causes de ces paiements sont plutôt : méconnaissance de l'écosystème et des modes opératoires des attaquants (et donc naïveté de victimes qui pensent sincèrement recevoir la clé de déchiffrement), et inquiétude quant au caractère critique des données exfiltrées (qu'elles le soient réellement, ou qu'une publication des données exfiltrées et la médiatisation d'une telle cyberattaque seraient de nature à nuire tout particulièrement à la victime (contrat en cours? publication de données financières? etc.).
Après, il faut distinguer "paiement de la rançon" et "discussions avec l'attaquant" ; dans ce dernier cas, il peut tout à fait y avoir une volonté du défenseur de gagner du temps et de recueillir des informations, en faisant croire que l'on est prêt à payer. ;-)
Le
12/05/2024 à
12h
42
Si on additionne les pourcentages des nationalités des entreprises ciblées, cela donne (bien) plus que 100% ; une erreur dans les calculs, ou bien ces entreprises sont-elles pour beaucoup multinationales? Super article sinon!
4 commentaires
Le créateur du rançongiciel LockBit serait un Russe de 31 ans
Le 15/05/2024 à 09h 29
Le 14/05/2024 à 19h 27
Imagine que tu développes un produit/service sur lequel toute ton activité repose ; imagine que tu n'as pas eu de vraie stratégie de cybersécurité, et que tu n'as pas fait de sauvegardes (ou alors ces dernières étant en ligne ont également été chiffrées par l'attaquant) ; ou bien encore, imagine que de la continuité de ton activité, ou de sa reprise, dépendent des vies (au sens figuré, peut-être, parfois au sens littéral, dans les cas d'hôpitaux) ; en ce cas, que ferais-tu?Et même si je comprends ton point de vue, tu tournes mal la réflexion de ces acteurs : ils ne paient pas parce qu'ils font confiance à l'attaquant ; ils paient car, pour eux, ils n'ont pas le choix, et que même le risque de se faire avoir ne contrebalance pas la faible possibilité que l'attaquant rende les données chiffrées.
Attention, hein, je ne les défends pas ; au contraire! "Ne jamais payer la rançon", c'est un excellent conseil, certes, mais c'est aussi un état à atteindre ; que faire pour se rendre en position de pouvoir respecter ce conseil? En répondant à cette question, et en prenant les mesures appropriées, on se protège des effets les plus néfastes de ces groupes d'attaquants. :-)
Le 13/05/2024 à 09h 12
En ce qui concerne les raisons : non, ce n'est pas la volonté de récupérer les données sans payer ; la plupart des attaquants, aujourd'hui, non seulement exfiltrent d'abord et menacent de rendre public, et chiffrent les données ; évidemment, ils ne donnent la clé qu'après avoir reçu le paiement. Après, beaucoup d'attaquants, même après paiement, ne donnent pas la clé, ou bien celle-ci ne fonctionne pas (et on n'évoque même pas le fait qu'un attaquant, après avoir été payé, ne s'est pas engagé à se barrer du système d'information de la victime, et a donc la possibilité de revenir pour la faire payer à nouveau ; ben oui, elle a déjà payé une fois! Certains font même des discounts!).
A mon avis, les causes de ces paiements sont plutôt : méconnaissance de l'écosystème et des modes opératoires des attaquants (et donc naïveté de victimes qui pensent sincèrement recevoir la clé de déchiffrement), et inquiétude quant au caractère critique des données exfiltrées (qu'elles le soient réellement, ou qu'une publication des données exfiltrées et la médiatisation d'une telle cyberattaque seraient de nature à nuire tout particulièrement à la victime (contrat en cours? publication de données financières? etc.).
Après, il faut distinguer "paiement de la rançon" et "discussions avec l'attaquant" ; dans ce dernier cas, il peut tout à fait y avoir une volonté du défenseur de gagner du temps et de recueillir des informations, en faisant croire que l'on est prêt à payer. ;-)
Le 12/05/2024 à 12h 42
Si on additionne les pourcentages des nationalités des entreprises ciblées, cela donne (bien) plus que 100% ; une erreur dans les calculs, ou bien ces entreprises sont-elles pour beaucoup multinationales? Super article sinon!