Interdire tous les paiements par rançongiciel, en Bitcoin ou autrement

Nous savons tous qu'il est illégal d'enlever quelqu'un et de demander une rançon. Mais devrait-il également être illégal pour la victime de payer la rançon ?

Plus tôt ce mois-ci, le département du Trésor américain a fait exactement cela. Il a informé le monde entier que certains paiements de rançons étaient illégaux, notamment ceux effectués à des opérateurs de rançongiciels sanctionnés. Si une victime verse une rançon à une entité sanctionnée, elle s'expose à une lourde amende.

JP Koning, chroniqueur CoinDesk , a travaillé comme analyste actions dans une société de courtage canadienne et comme rédacteur financier dans une grande banque canadienne. Il anime le blog populaire Moneyness.

Punir les victimes de rançons semble cruel. Pourtant, c'est peut-être ONEun des meilleurs moyens de protéger le public des extorqueurs. Et s'il veut sérieusement DENT au marché croissant des rançongiciels, le Trésor devra aller bien plus loin que l'inscription de quelques entités sur sa liste de sanctions.

Le 1er octobre, le Bureau du contrôle des avoirs étrangers (OFAC) du Trésor américainpublié un avisrappelant à tous que plusieurs opérateurs de ransomware ont été inscrits sur la liste des entités sanctionnées par l'OFAC, autrement connue sous le nom deListe des ressortissants spécialement désignés (SDN)La lettre de l'agence précise que si une victime verse une rançon à un opérateur de ransomware sanctionné par l'OFAC, cette personne pourrait enfreindre la loi.

La vague de ransomwares

Un rançongiciel est un logiciel malveillant qui bloque l'accès à un système informatique en chiffrant les données. Une fois les données verrouillées, l'auteur du rançongiciel exige de la victime le paiement d'une rançon en échange d'une clé de déchiffrement.

L'émergence deBitcoin, un actif numérique non censuré, a permis aux opérateurs de rançongiciels de tirer profit de leurs attaques de manière particulièrement aisée. Les premières souches de rançongiciels Bitcoin consommateurs réguliers ciblésAvec des rançons de 300 ou 400 dollars. En 2019, des opérateurs comme Sodinokibi, Netwalker et REvil ont commencé à attaquer des entreprises, des administrations municipales, des commissions scolaires et des hôpitaux.

Voir aussi :JP Koning -Le problème des ransomwares de Bitcoin ne disparaîtra T

Les rançons sont devenues bien plus importantes. Cet été, l'Université de l'Utahpayé 457 059 $ en Bitcoinpour une clé de déchiffrement. CWT, une agence de voyages, a payé4,5 millions de dollarsaux opérateurs du rançongiciel Ragnar Locker en juillet. La liste des victimes s'allonge d'heure en heure.

Les dommages ne se limitent pas au paiement de la rançon. De nombreuses organisations refusent courageusement de céder aux exigences de l'opérateur du rançongiciel. Reconstruire leur réseau coûte souvent plus cher que le paiement de la rançon. Le système endommagé restera probablement hors service pendant des jours, voire des semaines. Le gouvernement du Nunavut, un territoire canadien,ne pouvait T servir les citoyenspendant près d'un mois après avoir refusé de payer les opérateurs du ransomware Dopplemayer.

Un problème d'action collective

La réaction de la société face aux rançongiciels est un exemple de problème d'action collective. La population gagnerait à ce que chacun coopère et refuse de payer les auteurs des rançongiciels. Sans revenus de rançon, le secteur des rançongiciels deviendrait non rentable, les attaques cesseraient et les dommages collatéraux cesseraient.

Malheureusement, la coopération spontanée entre des milliers d'entreprises, de gouvernements et d'organismes à but non lucratif est difficile à mettre en place. Toute tentative de boycotter le paiement des rançons doit s'appuyer sur des appels à la solidarité. Mais les organisations subiront la pression des actionnaires ou des citoyens pour se rétablir au plus vite, et elles paieront donc en secret. Si 10 % ou 20 % des victimes se dérobent au boycott et paient la rançon, alors l'industrie des rançongiciels sera rentable et tout le monde en souffrira.

Interdire les paiements par rançongiciel n’est peut-être pas l’option idéale pour stopper la vague croissante de rançongiciels, mais c’est peut-être la meilleure option dont nous disposons.

Une solution au problème de l'action collective serait que le gouvernement encourage la population à adopter la meilleure solution. Il pourrait y parvenir en déclarant illégaux les paiements de rançons et en prévoyant des sanctions pour les contrevenants. La sanction pour infraction serait une amende de 20 millions de dollars, environ.

Désormais, lorsqu'un opérateur de rançongiciel attaque, toutes les victimes coopèrent par défaut. « Non, nous ne pouvons T vous payer. Si nous le faisons, nous devrons verser une somme encore plus élevée au gouvernement. » Les paiements de rançon cesseront, les opérateurs de rançongiciels cesseront leurs attaques et les dommages cesseront.

Le marché des pots-de-vin comme analogie

Utiliser le gouvernement pour trouver la meilleure solution à un problème d'action collective n'est T sans précédent. Un autre type de paiement douteux, le versement de pots-de-vin, offre une analogie utile.

Si les entreprises doivent régulièrement corrompre des fonctionnaires étrangers pour obtenir des contrats, cela augmente les coûts d'exploitation. Le public gagnerait à ce que chacun refuse de verser des pots-de-vin. Mais la coopération est difficile.

Jusque dans les années 1970 et 1980, les pots-de-vin étrangers étaient déductibles d'impôt dans de nombreux pays. Mais des initiatives commeLoi américaine de 1977 sur les pratiques de corruption à l'étranger(FCAP) a rendu illégale la corruption d'agents publics étrangers. Les multinationales peuvent désormais s'opposer aux demandes de corruption en s'adressant au FCAP. Cela contribue à encourager la société à trouver une solution sans corruption.

La récente clarification du Trésor américain concernant l'illégalité de certains paiements de rançons ne va pas jusqu'au bout. Elle interdit les paiements à quelques acteurs malveillants, mais de nombreux opérateurs de rançongiciels ne figurent pas sur la liste SDN de l'OFAC. Pour contribuer à résoudre le problème de l'action collective, l'OFAC devrait se montrer plus proactif dans la désignation des opérateurs de rançongiciels.

Voir aussi :Le G7 met en garde contre la menace Crypto causée par une vague d'attaques de rançongiciels

Déterminer les noms et identités de tous les producteurs et distributeurs de rançongiciels semble pourtant une tâche impossible. Il serait bien plus simple de décréter une interdiction générale de tous les paiements de rançongiciels, à l'instar de la loi FCAP qui interdit la corruption. Les interdictions de rançon ne sont T sans précédent. En réponse à une vague d'enlèvements perpétrés par le crime organisé, l'Italie a paiements de rançon interdits En 1991, la Colombie et la Suisse ont également rendu illégal le paiement de rançons. Le Groupe des Sept a pour Juridique de longue date de refuser de payer des rançons pour les otages de groupes terroristes.

L'inconvénient de l'interdiction des pots-de-vin et des rançons est qu'elle rend le marché plus opaque. Si verser un pot-de-vin est légal, le corrupteur peut dénoncer le corrompu. Cela limite le marché des pots-de-vin. Interdire les pots-de-vin incite le corrupteur à coopérer avec le corrompu pour KEEP le Secret.

C'est pourquoi Kaushik Basu, l'ancien économiste en chef de la Banque mondiale, alongtemps préconisépour légaliser les paiements de pots-de-vin.

En ce qui concerne les rançongiciels, les victimes qui paient une rançon peuvent signaler l'attaque aux forces de l'ordre comme le FBI sans craindre d'amende. Cela permet au FBI d' Réseaux sociaux . Cependant, si le paiement d'une rançon est illégal, les victimes qui choisissent de payer KEEP leurs actions Secret. En l'absence de données précises, le FBI sera moins performant dans sa défense contre les rançongiciels.

L'autre critique à l'encontre de l'interdiction des paiements par rançongiciel est son caractère perçu comme inhumain. Imaginez dire à une mère ou à un père qu'il est illégal de payer une rançon pour libérer son enfant kidnappé. Il en va de même pour les rançongiciels. Une commission scolaire paralysée par un rançongiciel peut reprendre immédiatement les cours en payant une rançon de 20 000 dollars en Bitcoin . Mais en cas d'interdiction, les enfants pourraient être privés de cours pendant une semaine ou deux, le temps que la commission scolaire reconstruise ses systèmes.

Il existe également des préoccupations en matière de libertés civiles. Les entreprises argueront que l'interdiction des rançons porte atteinte à leur capacité à contrôler leurs biens.

Bitcoin n'est T un DOT vert

Lorsque les extorqueurs trouvent des moyens rentables d'escroquer le public, une solution consiste à modifier la plateforme de paiement utilisée. Au milieu des années 2010, les escrocs de l'Internal Revenue Service (IRS) ont adopté les cartes Green DOT MoneyPak comme moyen efficace d'extorquer des Américains innocents. La solution choisie n'a T consisté à informer les victimes que le paiement d'une rançon était illégal. Green DOT Bank a plutôt retiré le produit pendant un an. et je l'ai reprogramméEt ça a marché. Les criminels ont cessé d'utiliser les MoneyPaks pour commettre des escroqueries à l'IRS.

Contrairement aux MoneyPaks, le Bitcoin T inreprogrammable. La société se retrouve donc avec une option de moins pour se protéger des attaques de rançongiciels. La solution du « non-paiement » au problème de l'action collective s'impose donc. Interdire les paiements de rançongiciels n'est peut-être pas la solution idéale pour endiguer la vague croissante de rançongiciels, mais c'est peut-être la meilleure solution à notre disposition.