Chasse aux voleurs de données : bonne ou mauvaise idée ?

Les primes et récompenses sont offertes pour l’arrestation de criminels, ou pour des informations menant à leur arrestation, depuis au moins le premier siècle de l’Empire romain, lorsqu’un tavernier de Pompéi a offert une récompense pour la restitution d’un pot en cuivre volé et pour des informations menant à l’appréhension du voleur.

Depuis 1950, le gouvernement américain offre des primes pour aider à appréhender les criminels figurant sur la liste des Dix personnes les plus recherchées du FBI. Depuis l’adoption de la loi de 1984 sur la lutte contre le terrorisme international (Act to Combat International Terrorism), le gouvernement américain a offert des récompenses en échange d’informations concernant le terrorisme, l’ingérence étrangère dans les élections et les cyberactivités malveillantes dans le cadre de son programme Rewards for Justice (RfJ).

En juin dernier, une récompense de 10 millions de dollars a été offerte dans le cadre du programme RfJ pour des informations menant à l’appréhension de Maxim Alexandrovich Rudometov et d’autres personnes soupçonnées d’être liées à la création et au déploiement du malware RedLine. 

La prime Coinbase

Fait inusité, Coinbase, une plateforme d’échange de cryptomonnaies victime de cyberextorsion, a récemment offert une récompense de 20 millions de dollars en échange d’informations permettant d’identifier et d’arrêter le ou les criminels ayant volé des données clients sensibles et exigé ce même montant en échange de la non-divulgation publique desdites données.

Voici ce qui s’est passé : une personne a soudoyé certains membres du personnel de l’assistance client de Coinbase pour voler et transmettre un tas de données : noms de clients, numéros de téléphone, adresses, adresses email, soldes de compte, numéros de compte partiels, etc. (mais aucun mot de passe ni clé privée). Le pirate a ensuite envoyé un email à Coinbase pour réclamer 20 millions de dollars en échange de la non-divulgation desdites données.

Ces données peuvent facilement être utilisées pour lancer des scams d’hameçonnage pour inciter les clients, par exemple, à réaliser des versements de leurs véritables comptes Coinbase vers d’autres comptes frauduleux. Nous ignorons pour le moment si des clients ont été touchés ou ont subi des pertes, mais Coinbase s’est engagée à couvrir ces pertes le cas échéant.

Coinbase a réagi en annonçant le vol et en refusant de payer la rançon. L’article de blog de l’entreprise a évoqué le sujet, notamment :

« Nous coopérons étroitement avec les forces de l’ordre pour appliquer les sanctions les plus sévères possibles et nous ne paierons pas la demande de rançon de 20 millions de dollars que nous avons reçue. En revanche, nous créons un fonds de récompense de 20 millions de dollars pour toute information conduisant à l’arrestation et à la condamnation des criminels responsables de cette attaque. » 

Coinbase estime que le coût total de la reprise après l’attaque pourrait atteindre 400 millions de dollars. La plateforme avertit également ses clients qu’ils doivent « s’attendre à des imposteurs » qui essaieront de leurs soutirer leurs avoirs en crypto.

Bon ou mauvais ?

Bravo à Coinbase de refuser de payer la rançon. C’est ce que les forces de l’ordre et les professionnels en cybersécurité demandent depuis longtemps aux victimes de ransomware de faire, et il en va de même pour l’extorsion de données qui, comme dans le cas présent, n’implique aucun malware. 

Mais il faut se poser la question des effets à long terme d’un précédent consistant à offrir une prime. Si cela devient une réponse courante aux tentatives d’extorsion, cela aura-t-il des effets positifs ou négatifs sur le paysage des cybermenaces ? 

Sur le plan positif, il est probable que cette prime facilitera l’appréhension de certains cybercriminels. Les voleurs n’ont pas d’honneur, et pour une personne qui connait l’auteur des méfaits, 20 millions de dollars, ce n’est pas négligeable.

Mais l’histoire nous apprend qu’offrir systématiquement des primes comporte des risques certains. L’émergence de la chasse à la prime en tant que profession n’est pas vu d’un bon œil. Il n’est pas nécessaire de regarder l’histoire de près pour comprendre que les systèmes de primes ont conduit à l’anarchie et à la violence au cours des siècles derniers. De plus, les escrocs ne se soucient pas de savoir si leur salaire de 20 millions de dollars est une rançon ou une récompense. Et je peux vous garantir qu’à l’heure actuelle, des cybercriminels complotent pour obtenir cet argent par tous les moyens nécessaires.

Ainsi, si les primes pour les hackers deviennent monnaie courante, il est tout à fait possible qu’elles marquent l’émergence d’une toute nouvelle catégorie de cyberfraude, ce qui augmentera finalement les niveaux de menace mondiaux au lieu de les réduire. 

Il n’existe aucun moyen de savoir si ce tavernier de Pompéi a fini par récupérer son pot ou même s’il a attrapé le voleur. Mais si tel est le cas, les chances sont grandes pour que sa récompense n’ait fait que le conduire à un nouveau vol de son pot.