Le Trésor américain vise à décourager les paiements de ransomware

La décision prise par le département du Trésor américain de sanctionner les plateformes d'échange de cryptomonnaies qui facilitent les paiements liés aux ransomwares vise clairement à dissuader les entreprises de payer les rançons des cybercriminels qui lancent ces attaques. Cependant, il se peut qu'elle ne serve finalement qu'à déplacer les paiements vers des plateformes blockchain décentralisées, délibérément créées pour rendre le suivi des paiements plus difficile.

En plus d'émettre des sanctions qui empêchent les citoyens américains d'utiliser des plateformes d'échange de cryptomonnaies comme SUEX, qui sont soupçonnées de faciliter les transactions illicites, l'Office of Foreign Assets Control (OFAC) a également mis à jour un avis pour souligner qu'il est désormais fortement déconseillé aux entreprises d'effectuer des paiements pour les ransomwares.

En vertu de la loi IEEPA sur les pouvoirs économiques en cas d'urgence internationale (International Emergency Economic Powers Act) ou de la loi TWEA sur le commerce avec l'ennemi (Trading with the Enemy Act), il est généralement interdit aux citoyens américains d'effectuer des transactions, directement ou indirectement, avec des personnes ou des entités figurant sur une liste de ressortissants spécialement désignés et de personnes bloquées (Specially Designated Nationals and Blocked Persons List), certains individus spécifiques, ainsi que certains pays tels que Cuba et la Corée du Nord.  Toute transaction qui enfreint l'IEEPA, y compris une transaction effectuée par un ressortissant d'un pays autre que les États-Unis qui amène un ressortissant des États-Unis à l'enfreindre, est également interdite. Il est aussi généralement interdit aux citoyens américains, où qu'ils se trouvent, de faciliter les actions des ressortissants d'autres pays.

L'OFAC peut imposer des pénalités civiles pour les infractions aux sanctions fondées sur une responsabilité stricte, ce qui signifie qu'une personne soumise à la juridiction américaine peut être tenue responsable civilement même si cette personne ne savait pas ou n'avait aucune raison de savoir qu'elle participait à une transaction interdite en vertu des lois et réglementations relatives aux sanctions. L'OFAC encourage fortement les victimes et les entreprises associées à signaler ces incidents et à coopérer pleinement avec les autorités chargées de l'application de la loi dès que possible afin d'avoir l'assurance que leur déclaration volontaire sera prise en compte au cas où une violation des sanctions serait découverte par la suite.

La première série de sanctions contre une plateforme d'échange est appliquée contre SUEX. Le département du Trésor estime que 40 % de toutes les transactions effectuées sur cette plateforme d'échange de cryptomonnaies sanctionnée qui exerce ses activités en Russie sont liées à des activités illicites. Le siège de SUEX proprement dit se trouve en République tchèque. Le département du Trésor a également noté qu'en 2019, le Groupe d'action financière (GAFI) créé par les pays du G7 a modifié ses normes pour exiger de tous les pays qu'ils réglementent et supervisent les prestataires de services d'actifs virtuels (VASP), y compris les plateformes d'échange, et qu'ils atténuent les risques lorsqu'ils participent à des transactions d'actifs virtuels. Les pays sont censés imposer des obligations de vigilance à l'égard de la clientèle (CDD) et de signalement des transactions suspectes pour les VASP.

Aussi bien intentionnées que ces mesures puissent paraître, il y a cependant un cheveu dans la soupe. Une plateforme d'échange décentralisée (DEX) utilise un registre distribué pour faciliter les transactions, elle ne stocke ni les fonds des utilisateurs ni leurs données personnelles sur ses serveurs. En réalité, ce type de plateforme d'échange se contente de mettre en correspondance les ordres d'achat et de vente des actifs. Les cybercriminels vont sans aucun doute faire basculer leurs demandes de rançon sur ce type de plateforme d'échange de cryptomonnaies. Même si l'utilisation de ces plateformes d'échange finit par devenir illégale à mesure que la liste des sanctions continue de s'allonger, il sera extrêmement difficile de déterminer si un paiement a été effectué.

Néanmoins, il est évident que les risques associés à l'exécution de ces paiements augmentent, si bien que les victimes de ransomware doivent se demander quelle valeur ont réellement leurs données dans l'éventualité où quelqu'un du Trésor américain commencerait un jour à poser des questions très pointues susceptibles de s'avérer beaucoup plus coûteuses que le paiement lié au ransomware proprement dit.