400 000 dollars soit 363 000 francs. Voilà le montant estimé de la rançon payée par Comparis pour récupérer ses données suite au piratage dont l'entreprise a été victime début juillet. Si la société n'a pas confirmé le chiffre, elle a, en revanche, reconnu avoir «trouvé un accord avec les rançonneurs».
En effet, déjà la semaine passée, la plateforme helvétique n'apparaissait plus sur le site Internet servant de tableau de chasse au groupe de pirate Grief et auquel watson a pu accéder.
Payer la rançon, c'est la bonne solution?
Paul Such, fondateur d'Hacknowledge: Evidemment pas mais c'est la solution la plus simple quand on n'a pas d'autres choix parce qu'on n'a pas de backs-up (réd: sauvegarde régulière des fichiers). Le problème en payant, c'est que vous encouragez les pirates à recommencer et vous incitez d'autres à le faire parce qu'ils voient que c'est de l'argent facile. Vous financez aussi le crime organisé puisque ces hackers travaillent très souvent pour des mafias qui ont d'autres activités encore moins louables. Après, c'est facile de dire qu'il ne faudrait pas mais c'est compréhensible quand on risque de fermer son entreprise si on ne récupère pas ses données.
Dans le cas de Comparis, la rançon est estimée à 400 000 francs. C'est beaucoup?
On voit couramment des rançons beaucoup plus grosses, parfois cela se chiffre en millions. Souvent, c'est adapté à la taille de l'entreprise. Le but, c'est de ne pas vous laisser réfléchir. Plus vous attendez, plus vous cherchez d'autres solutions, plus le montant augmente.
Mais c'est possible de négocier avec les hackers?
Je n'ai pas les détails concernant le cas de Comparis, donc je ne peux pas vous répondre. Mais oui, c'est déjà arrivé même s'il faut avoir conscience que c'est vraiment du cas par cas. Par exemple, il n'est pas toujours possible de discuter directement avec les pirates.
Sur 400 000 francs, c'est quoi le bénéfice pour les pirates? Pour le dire autrement, cela leur coûte quoi de mener une telle attaque?
Ça leur a coûté du temps et un peu d'infrastructures. Mais ce qui est sûr, c'est qu'ils ont de très très belles marges. Ce qu'on ne sait pas, c'est combien de temps il leur a fallu pour trouver leur victime. Si l'attaque était vraiment ciblée contre Comparis, cela leur a sans doute coûté plus cher parce qu'il faut parfois plusieurs semaines pour entrer dans le système. Mais, le plus fréquent, parce que c'est le plus rentable, c'est de chercher toutes les entreprises qui ont la même faille exploitable et de les attaquer sans distinction.
Il y a des assurances pour se prémunir contre ces attaques?
Oui, ça existe. Mais les assurances qui couvrent ce genre de risques ont souvent énormément de clauses d'exclusion. Les assureurs commencent à réfléchir à prendre en charge ces situations parce que ces dernières années, elles ont perdu plus d'argent qu'elles n'en ont gagné. Le problème, c'est que le risque cyber est très difficile à quantifier, cela demande beaucoup de compétences techniques pour analyser les infrastructures parce que de petits détails peuvent conduire à de gros problèmes.
Si on ne veut pas payer, quelles sont les autres solutions?
Il faut anticiper, une fois que vous êtes devant le fait accompli, c'est trop tard. Si vous avez des backs-up réguliers de vos données, vous devez trancher entre payer la rançon ou accepter de perdre les x dernières heures de travail. C'est un choix qui est beaucoup plus acceptable que de tout perdre. Parfois, les entreprises nous appellent au secours mais, malheureusement, même pour les experts, il n'y a pas toujours de solutions. C'est extrêmement rare que le pirate ait mal fait son travail et qu'on puisse décrypter les fichiers.