Une belle (uh hum) histoire de services de recouvrement de données et de rançongiciel

Une amie m’envoyait ce matin un lien vers un article discutant d’un fait divers inhabituel impliquant un rançongiciel (ransomware, en anglais), l’une des plaies de notre époque. Petite lecture intéressante de cinq minutes pour vous.

Comme chacun le sait, un tel logiciel infecte un ordinateur, le verrouille (cf. ses données) et exige alors que l’usager paie une rançon pour recouvrer l’accès à ses données.

L’histoire dont il est ici question à ce sujet implique des firmes offrant des services de récupération de données. Ce genre de service spécialisé peut s’avérer nécessaire si, par exemple, on refuse de payer la rançon exigée suite à une infection de notre ordinateur. Quand on choisit d’en faire usage, ce genre de service peut s’avérer passablement cher.

Démontrant ce que certains décriraient comme de la créativité, certains des fournisseurs de ce type de services auraient compris qu’il est parfois inutile de faire le travail demandé, si on peut autrement livrer le résultat escompté plus rapidement, avec moins d’effort.

Dans les faits, le devis d’un fournisseur pour décrypter des données pourra souvent excéder le prix de la rançon demandée. Certaines victimes paient, certaines s’y refusent.

La situation d’intérêt ici touche les cas où la victime refuse de payer la rançon, retenant plutôt les services d’un fournisseur de services de recouvrement de données. Dans une partie des cas, on constate que certains fournisseurs choisissent de minimiser leurs efforts en préférant payer les criminels. S’ils sont chanceux, une fois la rançon demandée, ils obtiennent la clé et tout peut rentrer dans l’ordre.

Ces fournisseurs récupéreront ainsi l’accès aux données (grâce à des efforts, disons… minimes), qu’ils pourront alors livrer au client, comme demandé. Leur prix est alors en tout point conforme à l’entente, tout comme le résultat auquel ils sont parvenus.

Alors… de quoi se plaint-on? Je suppose que la réponse juridique à cette question reposera sur l’entente intervenue entre la victime et le fournisseur de services de recouvrement de données. En pratique, comme on parle de situations d’urgence où la panique règne souvent, je parierais fort que les véritables contrats en bonne et due forme sont rares. Au plus, la trame de fait typique implique peut-être le formulaire standard du fournisseur, signé, sans relecture, « sur le coin de la table ». Une fois une telle entente signée (dans laquelle le fournisseur s’arrogera souvent le droit de prendre tous les moyens nécessaires pour parvenir aux données), il sera difficile pour quiconque de se plaindre.

En cas de survenance d’un tel problème, la question la plus pertinente sera donc de parvenir à comprendre l’intention commune des parties. À défaut d’un document écrit dans lequel le fournisseur s’engage à faire X et à ne pas faire Y, le simple fait de viser un résultat (qui, lui, a bien été livré) pourrait bien jouer contre les clients.

Évidemment, je vous laisse contempler à votre gré la légalité ou la moralité de telles pratiques commerciales. Disons que j’ai mon opinion sur le sujet, laquelle serait difficile à exprimer sans utiliser les mots « fraude » ou « extorsion ». Cela dit, qu’on se le tienne pour dit, il semble que ce genre d’histoire fait partie du paysage des services liés à la sécurité informatique. Dans mon expérience, on ne parle pas d’une tendance (au contraire), mais c’est bien pour démontrer la créativité et la flexibilité de la fibre morale de certains!