Pour la troisième fois depuis 2021, des dizaines de pays se sont rassemblés du 31 octobre au 1er novembre à Washington pour échanger sur la lutte contre les rançongiciels. L’évènement de cet International Counter Ransomware Initiative (CRI) n’est peut-être pas là où il était attendu.

Ne pas payer les rançons. Enfin… le moins possible

Anne Neuberger, conseillère adjointe à la sécurité nationale américaine pour les questions de cybersécurité, s’est montrée très active en marge de cette réunion internationale avec un objectif&nbsp: l’adoption d’une première déclaration commune, avec un engagement ferme des États et des institutions participants, de ne pas payer de rançons lorsque l’une de leurs institutions est attaquée. L’idée est d’assécher les finances des assaillants.

Peu avant l’ouverture du sommet, elle confiait lors d’une conférence de presse qu’une quarantaine de pays était d’accord, un peu moins d’une dizaine restait à convaincre. La version finale s’est révélée relativement prudente dans la formulation. « Nous déconseillons fortement à quiconque de payer une demande de ransomware. Chacun de nous entend montrer l’exemple. Nous sommes parvenus à un consensus selon lequel les institutions compétentes sous l’autorité de notre gouvernement national ne devraient pas payer les demandes d’extorsion de ransomware », peut-on lire dans le communiqué de la Cyber Security Agency de Singapour qui copréside, avec le Royaume-Uni, le domaine politique du CRI.

Pour Rayna Stamboliyska, spécialiste des questions de diplomatie numérique et de cyber, ce n’est guère étonnant, « quand vous parlez à d’autres États, que ce soit des États membres de l’UE ou dans le cadre d’une coopération mondiale, il s’agit de mettre d’accord des gens qui ont une culture différente, des histoires, des maturités, des dépendances différentes ». Une telle déclaration nécessite d’être consensuelle.

Depuis ses débuts, le nombre de participants au CRI a considérablement augmenté, passant de 31 à 50 membres. La France y participe depuis 2021, et il est possible d’apercevoir Vincent Strubel, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), sur l’une des photos de cette édition.

Le Costa Rica et l’Albanie, victimes de rançongiciels massifs en 2022, font partie des nouveaux membres avec d’autres comme la Jordanie, la Papouasie Nouvelle-Guinée, l’Uruguay… « C’est très bien d’intégrer des pays dits « du Sud », car ils sont confrontés à d’autres problématiques. Et, parfois, même quand ils veulent agir, ils ne peuvent pas pour diverses raisons, » se réjouit Rayna Stamboliyska. Idem pour Interpol, deuxième institution avec l’UE à rejoindre la CRI, « c’est une façon pertinente de mobiliser d’autres pays ou entités qui ne seraient pas conviés directement » … à l’instar de la Russie et la Chine, exclus depuis le début de l’initiative lancée par les États-Unis.

La CRI 2023 apporte du concret

Plus que sur une déclaration de politique générale, ces États et institutions ont réussi à se mettre d’accord sur des actions concrètes. Une originalité vis-à-vis des précédentes rencontres.

Elles tournent autour d’un principe de solidarité entre les membres et d’une meilleure circulation de l’information. « Typiquement, sur la mise en place d’une plateforme portée par l’Australie et censée permettre un partage d’informations techniques entre les membres signataires. Elle servira aussi à demander de l’assistance » analyse Rayna Stamboliyska. Elle intégrera une plateforme issue de la collaboration d’Israël et des Émirats arabes unis, ainsi qu’une base sur les logiciels malveillants de la Lituanie.

Une semaine avant la tenue de la réunion à Washington, Anne Neuberger avait regretté devant le Council on Foreign Relations, un Think tank américain, « Croyez-le ou non, il est très difficile pour les pays de partager rapidement des informations concernant un incident, les éléments spécifiques qui ont été compromis, les adresses IP d’où ils proviennent, de manière à protéger le pays suivant ». Elle a également annoncé que le département du Trésor américain partagera sa liste noire de portefeuilles numériques où l’argent des rançons a circulé.

Cette série d’initiative ajoute un volet technique à une initiative qui était jusqu’à présent essentiellement politique. Un pas en avant pour lutter contre les rançongiciels, si les initiatives adoptées sont suivies par les États participants. Un pas qui peut paraître timide vu l’ampleur mondiale du phénomène et le niveau d’organisation de la cybercriminalité grâce à l’afflux de revenus, mais un pas tout de même.