De nombreuses administrations ou entreprises sont victimes de ransomwares, certaines payent pour recouvrer leurs données. Mais est-ce légal ? Le chef d’entreprise ou d’établissement ne risque-t-il pas d’être poursuivi à son tour ?
Les attaques par rançongiciel se multiplient et touchent toutes les entreprises, quelle que soit leur taille, et de nombreux établissements publics ou collectivités.
Pour commencer, de quoi s’agit-il ? Le rançongiciel est un logiciel malveillant qui bloque l’accès à des serveurs ou à des données, par le biais du chiffrement. L’accès ne peut être rétabli qu’en payant à l’attaquant une somme d’argent, souvent en monnaie virtuelle, en contrepartie de laquelle le cybercriminel donne à sa victime une clé de déchiffrement. Ces demandes de rançons peuvent également être accompagnées d’une menace de divulgation publique de certains fichiers sensibles de la victime.
Il n’est jamais recommandé de payer la rançon. En effet, en plus de l’absence de garantie pour la victime de retrouver un accès à ses données, le paiement risquerait d’encourager la multiplication des demandes de rançons. Cela présente également une menace pour la sécurité nationale, l’argent collecté par les cybercriminels, issu des rançons, pouvant servir à financer des activités illicites.
En France, la gendarmerie nationale, la police nationale ainsi que l’Agence nationale de la sécurité des systèmes d’information (ANSSI), ont déjà eu l’occasion, à plusieurs reprises, d’alerter sur les risques liés au paiement d’une rançon. Ils recommandent plusieurs comportements à adopter, allant de la prévention (effectuer des mises à jour du système d’exploitation, des logiciels ou encore, faire des sauvegardes régulières de données) à l’action (déposer plainte auprès des forces de l’ordre (commissariat de police, gendarmerie ou directement auprès du Procureur de la République).
Aux États-Unis, le Service du contrôle des actifs étrangers rattaché au département du Trésor américain (Office of Foreign Assets Control (OFAC)) précise que les victimes de demandes de rançon doivent s’abstenir de payer les cybercriminels et contacter immédiatement les agences gouvernementales compétentes, notamment : le Service du contrôle des actifs étrangers rattaché au département du Trésor américain (OFAC) et le réseau de lutte contre la criminalité financière (Financial crimes Enforcement Network (FinCEN)). Lorsque l’attaque implique une institution financière américaine, elles doivent alerter l’Office de cybersécurité et de protection des infrastructures critiques du département du Trésor.
Le paiement de rançon est même formellement interdit aux ressortissants américains dans certains cas. En application de deux lois à portée extraterritoriale l’OFAC (l’International Emergency Economic Powers Act (IEEPA) du 28 octobre 1977 et la Trading with the Enemy Act (TWEA) du 6 octobre 1917), il est interdit aux ressortissants américains d’effectuer des transactions avec des personnes figurant sur une liste dressée par l’OFAC, intitulée « Specially Designated Nationals and Blocked Persons List » (SDN List), sur laquelle figurent, entre autres, des cybercriminels. Les transactions sont également interdites avec les « comprehensive country or region embargoes » dont une liste est dressée par l’OFAC et dans laquelle figurent notamment Cuba, l’Iran, la Corée du Nord, la Syrie. Ces transactions sont également interdites avec des personnes non américaines qui conduiraient un ressortissant américain à transgresser l’IEEPA.
En cas de manquements à ces règles, l’OFAC peut imposer des sanctions, sur le fondement de la responsabilité civile sans faute (strict liability). Cela signifie qu’une personne relevant de la juridiction américaine peut être reconnue civilement responsable même si elle ne savait pas ou n’avait pas de raison de savoir qu’elle effectuait une transaction interdite.
Quid de la responsabilité du payeur de rançon ?
Si les entreprises françaises victimes ne sont pas directement visées par les sanctions susceptibles d’être prononcées par l’OFAC, plusieurs questions se posent les concernant, lorsqu’elles payent les rançons.
S’agissant tout d’abord du chef d’entreprise, peut-on considérer qu’en utilisant les fonds de la société, il commet un « abus de bien social » ?
L’abus de bien social consiste à « faire, de mauvaise foi, des biens ou du crédit de la société, un usage qu’ils savent contraire à l’intérêt de celle-ci, à des fins personnelles ou pour favoriser une autre société ou entreprise dans laquelle ils sont intéressés directement ou indirectement » (C. com, art. L 241-3, 4° et L 242-6, 3°).
A priori, la réponse est négative, car dans une telle situation, le paiement réalisé n’est pas effectué pour un usage contraire à l’intérêt de la société. L’objectif est d’obtenir une clé de déchiffrement afin de récupérer l’accès aux serveurs de l’entreprise ou des éléments de son patrimoine informationnel.
Mais la réponse pourrait être différente si le dirigeant est visé personnellement par le cybercriminel. On pourrait alors considérer que le paiement effectué sur les fonds de la société est réalisé à des fins personnelles, donc pour un usage contraire à l’intérêt de sa société.
Quant à la mauvaise foi, elle pourrait être invoquée si le dirigeant a effectué, en toute connaissance de cause, une transaction interdite, l’exposant aux sanctions de l’OFAC.
S’agissant à présent des organismes qui aident une victime à payer une rançon, peuvent être elles poursuivies pour complicité d’extorsion de fonds ? Sont concernés les institutions financières, les assureurs de risque cyber et les prestataires de cybersécurité.
La réponse est négative.
On rappellera que l’extorsion de fonds consiste à « obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque. » (C. pén, art. 312-1). La jurisprudence définit l’élément intentionnel comme « la conscience d’obtenir par la force, la violence ou la contrainte ce qui n’aurait pu être obtenu par un accord librement consenti » (Cass. crim., 9 janv. 1991).
Dans le cadre d’une demande de rançon, le cyberattaquant commet bien un acte d’extorsion de fonds. Pour obtenir le paiement d’une somme d’argent, il restreint ou bloque l’accès à des serveurs ou à certaines données. Il peut menacer de détruire des fichiers ou révéler publiquement certaines informations. Ces agissements constituent des menaces qui peuvent conduire la victime à payer la rançon. Le lien de causalité est ainsi caractérisé.
S’agissant de la complicité, on rappellera qu’est considérée comme complice d’un délit ou d’un crime, « la personne qui sciemment, par aide ou assistance, en a facilité la préparation ou la consommation » (C. pén, article 121-7, alinéa 1er).
L’acte de paiement par un tiers ne facilite pas la commission de l’infraction par le cyberattaquant, mais aide la victime à retrouver l’accès à ses serveurs ou à ses données.
On observe ainsi deux approches différentes en France et aux États-Unis. Dans le premier cas, il est possible de faire appel à un cyber assureur, l’ANSSI recommandant même aux entreprises « d’évaluer l’opportunité de souscrire à une assurance cyber ». Dans le second cas, le dirigeant américain s’exposerait à une sanction pour paiement de rançon à des cybercriminels.