Les ransomwares à l’honneur : inculture numérique au Parlement

Amendements à la LOPMI
Amendements à la LOPMI, mauvaise version

Cet article est à lire en complément de celui à paraître dans le magazine Linux Pratique n° 136.

De Bercy à Beauvau

Dans une note issue du Trésor, un groupe de travail est arrivé à une curieuse conclusion : le marché assurantiel des risques informatiques ne serait pas assez développé et pour résoudre cette difficulté, il est demandé au législateur d’autoriser explicitement le paiement des rançons dans le cas des attaques par ransomwares. Les ransomwares sont des logiciels malveillants, injectés dans des systèmes informatiques. Pour débloquer le système, une rançon est demandée, généralement en cryptomonnaie. Nous renvoyons les lecteurs vers Linux Pratique pour plus de détails sur ce sujet. 

Pour une raison inconnue, cette suggestion se retrouve dans le projet de loi de programmation et d’orientation du ministère de l’Intérieur. Au moment où cette note est rendue publique, de nombreux experts informatiques s’inquiètent à juste titre. 

En effet, différentes études ont été menées, notamment aux États-Unis. Sur le plan opérationnel, le paiement de la rançon n’est pas une bonne option. Sur le plan légal, c’est contre-productif, voire dangereux. Quant à la réputation, elle n’en sort pas sans tache. Par ailleurs, les assurances ont arrêté de proposer spécifiquement cette option, ayant été accusées de participer à l’essor des ransomwares. Faisant fi de ces recommandations, le ministère de l’Intérieur impose cet article 4. 

Les bourdes du Sénat 

Dans le domaine de l’informatique, il est avéré qu’on ne peut pas compter sur le Sénat pour légiférer intelligemment. Adopté sans modification par la commission des lois du Sénat, les sénateurs ont réussi l’exploit d’empirer un texte, à la rédaction déjà bien bancale. 

La version originale prévoyait un délai de 48 h pour que la victime d’un ransomware dépose une plainte et puisse prétendre auprès de son assurance au remboursement de la rançon dont elle se serait acquittée. Les sénateurs ont ramené ce délai à 24 h pour le dépôt d’une préplainte.   

Mieux encore « dans les 24 heures suivant l’attaque et avant tout paiement de cette rançon. ». Or et les experts en informatique le savent très bien, une infection ou une injection peut survenir à un instant T et n’être activée que bien plus tard. En écrivant « suivant l’attaque », le point de départ n’est pas la découverte, mais la commission. Autant le dire : la rédaction de l’article 4, telle qu’issue du Sénat rendait le remboursement des rançons par les assurances, tout simplement inopérant pour les victimes. 

Amélioration de l’Assemblée nationale 

Dans un bel ensemble, les députés de la majorité et de l’opposition de la commission des lois ont intégralement réécrit l’article 4. « Le versement d’une somme en application d’une clause assurantielle visant à l’indemniser de tout dommage causé par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323‑1 à 323‑3‑1 du Code pénal est subordonné à la justification du dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard quarante-huit heures après la constatation de l’infraction. ».

Les références aux ransomwares ont été supprimées et c’est l’ensemble des dommages qui sont désormais couverts, sous réserve de déposer une plainte, dans les 48 h, au moment de la contestation de l’infraction. 

En ouvrant très largement le domaine susceptible d’être couvert, les députés ont tout simplement calqué ce qui existe déjà dans le monde physique, en ce qui concerne les assurances. Si l’idée initiale, telle qu’issue du Trésor était à contre-courant des recommandations des experts en sécurité informatique, la rédaction actuelle est on ne peut plus classique. On aurait donc dû avoir un débat très apaisé et très consensuel en séance publique sur l’article 4. Il n’en a rien été. 

Amateurisme ou nonchalance ?

À écouter les inscrits sur l’article 4 ainsi que le ministre de l’Intérieur, on aurait pu croire qu’on en était toujours à la rédaction du Sénat. C’est ainsi qu’Ugo Bernalicis, Élisa Martin et Aurélien Lopez-Liguori ont basé tout leur argumentaire sur le remboursement des rançons en cas de ransomware. Or, en évacuant le terme et en écrivant « tout dommage », il n’est nulle part fait mention des rançons. Une victime sera indemnisée – sous couvert de dépôt de plainte – qu’elle ait subi un DDOS, une injection dans une base de données, une défiguration de site, etc. Mieux encore, le ministre n’avait pas consulté ses fiches, puisqu’il a persisté à parler des ransomwares. 

Article 4 LOPMI

La découverte des amendements déposés a aussi été un grand moment d’amateurisme. Il faut savoir que les députés ont un délai relativement court pour déposer leurs amendements. Néanmoins, si le dépôt doit se faire dans un délai précis, on peut parfaitement corriger un amendement déjà déposé. Mélody Mock-Gruet et Hortense de Padirac, dans « le petit guide de l’amendement » l’expliquent en page 71 à 73. C’est donc avec consternation que l’on découvre l’exposé des motifs des amendements 517, 626, 777, 720, 893 et 723.

Amendement sur les rançons

Déposés par le groupe de la France Insoumise ou d’Europe Écologie Les Verts, ils font tous référence à une ancienne version du texte dans leur exposé des motifs. Soit, ils parlent du délai de 24 h, voté au Sénat, soit ils font référence aux ransomwares alors que la mention a été supprimée, quand ce ne sont pas les deux écueils. 

Amendement sur les rançons

Amendements sur les rançons

Il est vrai que l’exposé des motifs n’est pas filtré ou examiné avec la même attention que le dispositif d’un amendement, sa portée n’étant pas la même. On pouvait même s’attendre à ce que cette bourde soit corrigée, soit par une rédaction ad hoc, soit par une expression en séance publique, qui montrait qu’il s’agissait d’une bourde. La discussion sur les amendements à l’article 4 a montré qu’il était évident que des députés avaient amendé un texte qu’ils n’avaient manifestement pas lu. 

Payer ou ne pas payer ?

Il y a un autre amateur dans cet hémicycle, mais, au banc des ministres, incarné par Gérald Darmanin. On pouvait excuser sa méconnaissance de la législation du numérique. On pouvait comprendre son inculture du numérique. On a du mal à comprendre qu’il ne connaisse pas les textes relevant du pénal. 

En séance publique, il a asséné qu’il n’était pas interdit – pour une victime de payer la rançon en cas de ransomware – ni pour l’assurance de rembourser la rançon. Le rapporteur a également indiqué que les pays de l’OCDE n’interdisaient pas le paiement des rançons. En réalité, le Trésor américain, en 2020, a expliqué que payer les rançons revenait à soutenir des groupements terroristes ou des entités étrangères, en violation avec la loi américaine. Au Royaume-Uni, le NCSC a rappelé que le paiement de la rançon n’était pas à proprement parler illégal, mais, qu’en raison du contexte international, l’action était susceptible de tomber sous le coup de la loi, en raison des sanctions infligées à la Russie. Enfin, en Australie, la ministre de l’Intérieur a sobrement déclaré « l’idée qu’on puisse croire que ces gens [les attaquants] vont effacer les données qu’ils ont dérobées et qu’ils ont pu copier un million de fois est juste franchement stupide ». Souhaitant assécher cette manne financière, la ministre plancherait sur un projet de loi visant à interdire purement et simplement tout paiement de rançon dans le cadre d’une attaque informatique. 

Il y a donc un mouvement assez général pour décourager le paiement des rançons, éléments qui étaient facilement accessibles en quelques recherches. Tout comme il était facile de constater que ce n’est pas l’absence d’assurances qui ont permis la prolifération des attaques informatiques, contrairement à ce qu’a asséné le ministre de l’Intérieur. On rappellera ici de manière explicite qu'on ne paie jamais une rançon.

Le point faible du texte 

L’article 4 va-t-il participer à l’explosion des attaques informatiques ? Si AXA s’est courageusement caché derrière le paravent du flou juridique, pour cesser les remboursements en cas de ransomwares, les anglo-saxons ne pratiquent pas la langue de bois sur ce sujet. En 2019, les assurances ont proposé des offres couvrant les dommages numériques, qui incluaient les rançons. En 2021, elles ont cessé de le faire. Motif ? Elles ont perdu beaucoup trop d’argent, au point que les gains n’ont pas couvert les pertes. La tendance qui se dégage est celle de la prévention. 

Le point faible du texte n’est finalement pas le dépôt de plainte, ni même le délai durant lequel la plainte va être déposée, mais bien l’après. Qui accompagnera les victimes d’attaques informatiques ? Qui procédera aux investigations ? S’il existe des dispositifs spécifiques pour certains types d’entreprises et de structures, dans le cas des PME, il faut naviguer dans une forêt d’informations, qui ne dit rien de la marche à suivre. 

Si on peut se féliciter, que la loi autorise la prise en charge par les assurances des dommages survenus lors d’un incident informatique, on ne peut que déplorer qu’il y ait encore de tels trous dans la raquette. Manifestement, la numérisation à marche forcée ne permet pas de masquer l’amateurisme sur ce sujet.