La collecte et le traitement de l’information ont été un thème majeur de l’audition de la commission sénatoriale de la sécurité intérieure et des affaires gouvernementales (HSGAC) des États-Unis intitulée « Rising Threats: Ransomware Attacks and Ransom Payments Enabled by Cryptocurrency », ce mardi. La commission a accueilli un panel d’experts du secteur privé qui ont discuté du problème des attaques par ransomware et des défis que représentent la collecte et l’utilisation des informations nécessaires pour les combattre.
Le président de la commission, Gary Peters (Michigan), qui a présenté la loi sur le renforcement de la cybersécurité américaine en février, a déclaré que le gouvernement ne dispose pas de données suffisantes, ne serait-ce que pour comprendre l’ampleur de la menace que représentent les attaques par ransomware. Les pirates demandent presque exclusivement un paiement en cryptomonnaie, a-t-il ajouté.
Plusieurs chiffres ont été avancés pour évaluer le problème. Jackie Burns Koven, responsable du renseignement sur les menaces informatiques chez Chainalysis, a déclaré que son entreprise avait identifié un montant record de 712 millions de dollars versés à des pirates en 2021, 74 % de cet argent allant à des acteurs basés en Russie ou ayant des liens avec la Russie. Le paiement moyen était de 121 000 dollars, et le paiement médian de 6 000 dollars. Les pirates utilisent souvent un modèle économique de type Ransomware-as-a-Service.
À lire également : Rendre la cryptomonnaie conventionnelle en améliorant les enquêtes sur les crimes de cryptomonnaie dans le monde entier
Le ransomware est une forme d’extorsion, et il existait avant les cryptomonnaies, ont déclaré Megan Stifel, responsable de la stratégie de l’Institute for Security and Technology, et Bill Siegel, PDG de Coveware. Savoir quelles informations recueillir lorsqu’une attaque se produit et comment organiser ces informations est un défi majeur pour les forces de l’ordre, a ajouté M. Siegel.
La collecte d’informations est souvent « un désordre alambiqué au pire moment », a déclaré James Lankford (Oklahoma), membre de la commission. De multiples organismes exigent des données qui se chevauchent, mais qui ne sont pas identiques, de la part des victimes d’un attentat dans ses suites, et ensuite, la poursuite de l’affaire peut prendre des années. Ces facteurs, ainsi que la crainte que les pirates ne divulguent pas la clé de chiffrement si les forces de l’ordre sont impliquées, expliquent en grande partie l’hésitation des victimes à signaler les attaques.
Stifel a suggéré que la désignation d’une seule agence pour recevoir et trier les données après une attaque améliorerait la collecte d’informations, surtout si les entreprises ont établi une relation avec cette agence avant l’attaque.
Koven a déclaré que l’analyse de la blockchain peut fournir « un aperçu immédiat du réseau d’adresses de portefeuilles et de services (par exemple, les exchanges, les mixeurs, etc.) qui facilitent la tâche du pirate », par rapport aux longs processus des enquêtes financières traditionnelles.
Les sanctions imposées par le gouvernement américain aux personnes responsables des ransomware et à leurs facilitateurs sont très efficaces, a poursuivi Mme Koven. Elle a cité en exemple les sanctions contre l’exchange de cryptomonnaies Garantex et le trader Suex, basés en Russie. Les flux d’argent « tombent à presque zéro » après les sanctions, a-t-elle dit. En outre, l’analyse de la blockchain peut suivre le changement de marque des pirates, et Chainalysis a développé une technologie permettant de suivre les fonds par le biais de mixeurs de cryptomonnaies.