(par Francesco Pagano, directeur d'Aidr et responsable des services informatiques chez Ales spa et Scuderie del Quirinale) Une législation enfin organique pour réglementer le traitement des données personnelles. Le RGPD, entré en vigueur en mai 2018, a sans aucun doute conduit à une amélioration du paysage global de la cybersécurité. Grâce à la fourniture d'obligations spécifiques et, enfin et surtout, à un système de sanctions pour ceux qui n'adaptent pas les procédures et les politiques aux dispositions, le nouveau règlement européen sur la protection des données a obligé de nombreux sujets à s'adapter aux bonnes pratiques qui vous permettent de protéger la confidentialité. données et confidentialité des utilisateurs.
Ces derniers mois, cependant, les experts en sécurité ont sonné l'alarme concernant un «effet secondaire» du régime de sanctions introduit avec le RGPD. Pour exploiter la législation à leur avantage, les cyber-pirates spécialisés dans les attaques contre les entreprises qui utilisent normalement des crypto-ransomwares pour leurs opérations. Ce type de logiciel malveillant est conçu pour agir comme une extorsion contre la victime, en chiffrant et en chiffrant toutes les données et tous les documents sur les ordinateurs infectés.
Quiconque subit une attaque de ce type se trouve dans une situation paradoxale: toutes les données sont présentes sur ses systèmes, mais il ne peut y accéder sans la clé cryptographique qui est en possession des pirates. Le schéma, désormais adopté par de nombreux cybercriminels, prévoit alors la demande d'une «rançon» (parfois millionnaire) pour obtenir la clé de décryptage et restaurer les données prises «en otage». Il va sans dire que le mécanisme cache de nombreux écueils et qu'emprunter la voie du paiement de la rançon est extrêmement risqué. La nouvelle, en fait, a enregistré de nombreux cas dans lesquels les cyber-pirates n'ont pas fourni la clé cryptographique malgré le paiement ou, même, ont répété l'extorsion. La bonne réaction à une telle attaque, confirmée par les forces de l'ordre et les experts en cybersécurité, consiste à signaler la violation de données et à restaurer les données via des outils spécialisés ou, en l'absence d'alternatives, des sauvegardes du système.
Ces derniers mois, cependant, les pirates ont changé leur modus operandi pour pouvoir mettre plus de pression sur leurs victimes. En plus de crypter les données, les rendant indisponibles pour le propriétaire légitime, ils exfiltrent une copie de tous les documents. Dans le document demandant le paiement de la rançon, à ce stade, la menace de publier toutes les données en ligne est également diffusée, déclenchant un mécanisme par lequel l'entreprise victime de l'attaque risquerait également de subir les sanctions (très élevées) prévues par le RGPD.
Un groupe comme Sodinokibi a lancé cette stratégie en décembre 2019, suivi de près par d'autres gangs de cybercriminels spécialisés dans les attaques de ransomwares. L'un d'eux, appelé Maze, a même créé un site sur le Dark Web où les données volées sont systématiquement publiées aux victimes qui ne cèdent pas au chantage. L'invitation, en pratique, est de payer la rançon afin de garder l'incident en silence et d'éviter les enquêtes sur la violation de données par le garant. Il va sans dire que, même dans ce cas, le fait que les cybercriminels respectent les accords est loin d'être garanti. Il existe de nombreux cas dans lesquels, malgré le paiement, les informations volées ont néanmoins été divulguées, mettant les victimes dans une situation encore plus compliquée devant les autorités. Toute l'histoire confirme la surprenante créativité des cyber pirates et, en même temps, comment la ligne pour contrer leur activité ne peut passer que d'une exécution rigoureuse et ponctuelle des procédures. En fait, tout «raccourci» risque de se transformer en véritable désastre.