Gérard HAAS et Victoria ZAZA
L’inventivité des cybercriminels ne cessera jamais de grandir. Huit mois après l’entrée en vigueur du Règlement Européen sur la Protection des Données (RGPD), les détournements de la réglementation font rage.
Après l’avertissement de la CNIL, suite aux pratiques abusives et nouvelles escroqueries de « Mise en conformité RGPD », voici née une nouvelle forme d’extorsion via un système informatique : le ransomhack.
1. Une multiplication des arnaques à la non-conformité
Les cybercriminels aiment jouer sur la peur de leur victime : peur de perdre ses données, peur du vol d’informations et du chantage exercé pour les récupérer, peur des sanctions pour non-conformité au RGPD… C’est cette dernière qui inspire un nouveau comportement d’escroquerie : les arnaques à la non-conformité.
Par un mécanisme simple, ils envoient un formulaire de « dernier appel » pour une mise en conformité RGPD, avec les apparences d’un prospectus institutionnel, et notamment par la reproduction du logo de la CNIL. Par ces manœuvres, le cybercriminel propose une vraie facturation pour une fausse mise en conformité.
Inspiré du plus traditionnel « phishing » ou « hameçonage »[1], les arnaques à la mise en conformité RGPD sont particulièrement innovantes, en ce qu’elles se servent d’un outil nouveau et encore méconnu pour balayer la méfiance des victimes.
Dans deux communiqués, la CNIL a appelé à la plus grande vigilance face à ces attaques informatiques. Elle a ainsi formulé des recommandations visant à :
- Ne pas se fier à l’identité apparente des entreprises démarcheuses. Notamment s’il s’agit d’un mail, il conviendra de vérifier l’adresse expéditrice ;
- Vérifier la nature des services proposés. Depuis l’entrée en vigueur du RGPD, la mise en conformité au RGPD suppose plus qu’un échange d’information ou l’envoi de documents mais nécessite un réel accompagnement par un professionnel qualifié.
- Ne payer aucune somme d’argent, même si l’on promet l’extinction d’une action contentieuse.
2. Le ransomhack: un logiciel de chantage à la non-conformité
Inspiré du ransomware[2], le ransomhack est un programme informatique permettant de s’introduire dans un système de traitement automatisé de données (STAD). Cependant, et à la différence du ransomware, le ransomhack ne chiffre pas les données pour en bloquer l’accès, mais menace de les rendre publiques si la victime ne paie pas la rançon imposée par le cybercriminel.
Or, nombreuses sont les entreprises en non-conformité avec la réglementation européenne sur la protection des données. Les rançons demandées s’évaluant entre 1000 et 20 000 dollars, la tentation peut être, alors, forte pour les entreprises victimes de payer une telle somme, en échange du silence de leur bourreau.
Les sanctions imposées par le RGPD en cas de manquements (jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros) sont telles que la victime pourrait penser qu’il serait plus rentable de payer que de se faire condamner par la CNIL.
En outre, les dispositions de l’article 33 du RGPD imposent aux entreprises victimes d’une violation de leur STAD de déclarer l’incident dans les 72 heures. Mais la victime d’une attaque informatique ne sera pas nécessairement sanctionnée par la CNIL. Elle devra, ainsi, démontrer aux autorités de contrôle qu’elle a pris les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque avant d’être attaquée.
Cependant, si l’entreprise victime a payé la rançon demandée par le cybercriminel, elle ne pourra plus se prévaloir de cette excuse auprès de la CNIL.
En France, les attaques informatiques par ransomware ne cessent d’augmenter. En 2017, 420 procédures ont été initiées, mais ce chiffre est encore très éloigné de la réalité numéraire de ces attaques.
Les infractions de cybercriminalités sont donc aussi nombreuses qu’il existe de cybercriminels. Autant de comportements que d’acteurs, les services de lutte contre la cybercriminalité n’ont de cesse que de mener des campagnes de prévention et d‘orientation à destination des entreprises.
Victime d’une attaque cybercriminelle ? Spécialisé en cybercriminalité, le cabinet HAAS Avocats vous accompagne dans vos démarches et procédures contentieuses. Pour en savoir plus sur la cyber-sécurité, cliquez ici.
[1] Technique par laquelle l’escroc se faire remettre par les victimes contactées par des courriels non sollicités, par des faux sites internet ou encore une usurpation d’adresse IP, leurs données de carte bancaire en vue de leur utilisation frauduleuse.
[2] Un ransomware, ou rançongiciel (logiciel de rançon) est un logiciel malveillant qui chiffre les données des données personnelles contenues sur un système informatique, puis demande de l’argent en échange d’une clé permettant de les déchiffrer. Les infections par ransomware s’initient principalement par email (spam). Ayant l’apparence d’un email de publicité, il va pénétrer le système informatique tel un Cheval de Troie, et bloquer les données contenues de façon à ce que l’utilisateur ne puisse plus y avoir accès, sous couvert qu’il paie une certaine somme d’argent.