Déployer un ransomware est désormais un crime en Californie
Et est considéré comme une extorsion de fonds passible de quatre ans d'emprisonnement
Le 2017-01-04 09:42:06, par Stéphane le calme, Chroniqueur Actualités
Le 27 septembre dernier, le gouverneur de Californie Jerry Brown a signé la proposition de loi S.B. 1137 du sénateur Bob Hertzberg qui vise à aider à la protection des utilisateurs d'ordinateurs en précisant que l'infection d’un ordinateur par un ransomware est une forme d'extorsion et est donc punissable en tant que telle. En vertu de ce projet de loi, qui est entré en application depuis le 1er janvier 2017, une personne engagée dans ce genre d’activité pourrait être reconnue coupable d'un crime et emprisonnée jusqu'à quatre ans.
« Cette loi donne aux procureurs la clarté dont ils ont besoin pour inculper et condamner les auteurs de ransomware », a estimé le sénateur Hertzberg. « Malheureusement, nous avons vu une augmentation spectaculaire de l'utilisation de ransomware. Ce projet de loi traite ce crime, qui est essentiellement un échec électronique, avec la gravité qu'il mérite ».
Le spécialiste en sécurité Herjavec Group avait indiqué en septembre dernier que la montée en puissance des ransomware pourrait se traduire en 2016 par des dommages faits aux entreprises et au particulier de l’ordre du milliard de dollars. Le FBI avait déjà indiqué que, durant le premier trimestre de 2016, les ransomware ont coûté 209 millions de dollars aux victimes. D’ailleurs, plusieurs rapports ont indiqué que les ransomware pourraient devenir l’outil préféré des pirates en 2016, soulignant ainsi l’intérêt porté aux ransomwares par les pirates.
Une tendance que semble confirmer Check Point qui a indiqué en octobre dernier qu’un ransomware est arrivé dans le top 3 de son classement des logiciels malveillants les plus répandus. Il s’agissait plus précisément de Locky, un ransomware qui a été repéré en février 2016 qui chiffre les fichiers des victimes et dont l’algorithme n’a pas encore pu être déchiffré. Locky se déploie principalement via des kits d’exploit et des courriels auxquels sont attachés des fichiers vérolés World ou Zip. Locky a été utilisé sur 6 % des attaques de 2016.
Et pour souligner encore plus l’intérêt des cybercriminels pour ce type d’outil, durant le même mois d’octobre 2016 des chercheurs ont découvert Trojan.Encoder.6491, le premier ransomware écrit en Go, le langage de programmation développé par Google.
Sénateur Robert HertzbergL'ampleur des attaques des ransomwares reste toujours difficile à évaluer étant donné que les victimes sont parfois réticentes à en parler et les entreprises qui ont une incitation financière à protéger leur crédibilité et leur réputation ne veulent pas que le public sache si leur cybersécurité a été violée .
Sans compter que les ransomware peuvent souvent aller bien au-delà de la simple extorsion d'argent. Il peut permettre aux pirates de voler des mots de passe et d'accéder à des comptes bancaires ou d'autres informations privées ou sensibles qui peuvent être utilisés pour le vol d'identité. Il n’est pas rare non plus de voir que, même si la rançon est payée, les attaquants ne déverrouillent pas les fichiers de la victime.
Jackie Lacey, un avocat de Los Angeles qui a co-sponsorisé SB 1137, a déclaré que « l'extorsion par ransomware est immensément coûteuse et terrifiante pour les victimes dont les données sont prises en otage ». Il a poursuivi en disant que « lorsque les pirates criminels ciblent les hôpitaux, les pompiers et les sauveteurs, alors ils menacent la sécurité du public. SB 1137 a clarifié la loi californienne pour s'assurer qu'un criminel qui infecte des ordinateurs ou des réseaux avec des logiciels de type ransomware puisse être poursuivi pour extorsion ».
Mais la potentielle efficacité de cette mesure ne fait pas l’unanimité. Certains comme le LSPC (Legal Services for Prisoners with Children), un organisme californien dont le but est entre autres de « d’organiser des collectivités touchées par le système de justice pénale et préconiser de libérer les personnes incarcérées, de rétablir les droits humains et civils et de réunifier les familles et les communautés. De sensibiliser le public au racisme structurel dans la police, les tribunaux et le système carcéral et de faire avancer la justice raciale et de genre dans tous ses travaux » s’y sont opposé.
Selon lui, « [les ransomware] sont déjà abordés dans la loi actuelle ». Et de préciser que « parce que ces actions sont déjà interdites, ajouter un nouveau crime et donc une nouvelle peine n’est ni nécessaire ni prudent. Cela va simplement créer des peines plus longues pour les individus reconnus coupables d’avoir violé ces dispositions, ce qui, au final, ne protège pas mieux la vie privée de l'individu ».
Source : déclaration de presse du sénateur Robert Hertzberg, réticences du LSPC
Voir aussi :
« Cette loi donne aux procureurs la clarté dont ils ont besoin pour inculper et condamner les auteurs de ransomware », a estimé le sénateur Hertzberg. « Malheureusement, nous avons vu une augmentation spectaculaire de l'utilisation de ransomware. Ce projet de loi traite ce crime, qui est essentiellement un échec électronique, avec la gravité qu'il mérite ».
Le spécialiste en sécurité Herjavec Group avait indiqué en septembre dernier que la montée en puissance des ransomware pourrait se traduire en 2016 par des dommages faits aux entreprises et au particulier de l’ordre du milliard de dollars. Le FBI avait déjà indiqué que, durant le premier trimestre de 2016, les ransomware ont coûté 209 millions de dollars aux victimes. D’ailleurs, plusieurs rapports ont indiqué que les ransomware pourraient devenir l’outil préféré des pirates en 2016, soulignant ainsi l’intérêt porté aux ransomwares par les pirates.
Une tendance que semble confirmer Check Point qui a indiqué en octobre dernier qu’un ransomware est arrivé dans le top 3 de son classement des logiciels malveillants les plus répandus. Il s’agissait plus précisément de Locky, un ransomware qui a été repéré en février 2016 qui chiffre les fichiers des victimes et dont l’algorithme n’a pas encore pu être déchiffré. Locky se déploie principalement via des kits d’exploit et des courriels auxquels sont attachés des fichiers vérolés World ou Zip. Locky a été utilisé sur 6 % des attaques de 2016.
Et pour souligner encore plus l’intérêt des cybercriminels pour ce type d’outil, durant le même mois d’octobre 2016 des chercheurs ont découvert Trojan.Encoder.6491, le premier ransomware écrit en Go, le langage de programmation développé par Google.
Sénateur Robert Hertzberg
Sans compter que les ransomware peuvent souvent aller bien au-delà de la simple extorsion d'argent. Il peut permettre aux pirates de voler des mots de passe et d'accéder à des comptes bancaires ou d'autres informations privées ou sensibles qui peuvent être utilisés pour le vol d'identité. Il n’est pas rare non plus de voir que, même si la rançon est payée, les attaquants ne déverrouillent pas les fichiers de la victime.
Jackie Lacey, un avocat de Los Angeles qui a co-sponsorisé SB 1137, a déclaré que « l'extorsion par ransomware est immensément coûteuse et terrifiante pour les victimes dont les données sont prises en otage ». Il a poursuivi en disant que « lorsque les pirates criminels ciblent les hôpitaux, les pompiers et les sauveteurs, alors ils menacent la sécurité du public. SB 1137 a clarifié la loi californienne pour s'assurer qu'un criminel qui infecte des ordinateurs ou des réseaux avec des logiciels de type ransomware puisse être poursuivi pour extorsion ».
Mais la potentielle efficacité de cette mesure ne fait pas l’unanimité. Certains comme le LSPC (Legal Services for Prisoners with Children), un organisme californien dont le but est entre autres de « d’organiser des collectivités touchées par le système de justice pénale et préconiser de libérer les personnes incarcérées, de rétablir les droits humains et civils et de réunifier les familles et les communautés. De sensibiliser le public au racisme structurel dans la police, les tribunaux et le système carcéral et de faire avancer la justice raciale et de genre dans tous ses travaux » s’y sont opposé.
Selon lui, « [les ransomware] sont déjà abordés dans la loi actuelle ». Et de préciser que « parce que ces actions sont déjà interdites, ajouter un nouveau crime et donc une nouvelle peine n’est ni nécessaire ni prudent. Cela va simplement créer des peines plus longues pour les individus reconnus coupables d’avoir violé ces dispositions, ce qui, au final, ne protège pas mieux la vie privée de l'individu ».
Source : déclaration de presse du sénateur Robert Hertzberg, réticences du LSPC
Voir aussi :
-
Traroth2Membre émériteParce que ce n'était pas le cas jusqu'à présent ?le 04/01/2017 à 9:48
-
sbeexMembre actifC'est exactement ce que je me suis dit haha. Enfin non pas tout à fait en fait c'est ca que je me suis dit : Si c'est légal dans d'autres pays alors faut que je m'y mette tout de suite ça a l'air de rapporter grosle 04/01/2017 à 10:55
-
hotcryxMembre extrêmement actifSeulement un crime en Californie, il en reste des états...le 04/01/2017 à 12:35
-
joublieMembre confirméLa qualification d'extortion de fonds en Californie semble bien correspondre à celle du droit français (même si je ne suis pas spécialiste). L'article 312-1 du code pénal dispose que :
" l'extorsion est le fait d'obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque.
L'extorsion est punie de sept ans d'emprisonnement et de 100 000 euros d'amende. "
Je trouve que 4 ans d'emprisonnement en Californie n'est pas si terrible, vu les dégâts que peut faire ce genre d'attaque sur des hôpitaux ou des entreprises mal préparées. Maintenant, le législateur pourrait décider de 400 ans de prison, de toute façon si les coupables ne se font pas prendre...le 04/01/2017 à 16:13 -
CoderInTheDarkMembre émériteJustement, les juges et les avocats savent interpréter la loi.
Donc le fait que l'extorsion soit numérique ne change rien, ils peuvent s'appuyer sur les textes existants, comme rappelé ci-dessus.
C'est de la gesticulation de politicien, sa rajoute de la complexité pour rien.
En France aussi nos députés pondent des textes qui de toute façon n’ont pas de décret d’application.le 06/01/2017 à 4:54 -
marsupialExpert éminentPlus qu'une loi qui sanctionne, des solutions techniques seraient appropriées pour protéger.
A l'heure actuelle, aucun acteur américain se trouve en mesure d'offrir une qualité suffisante pour éviter la sanction. Peut-être Apple et IBM et c'est loin d'être certain. Au cas où, qu'ils n'oublient pas les royalties.le 07/01/2017 à 6:36