On ne le dira jamais assez mais payer les pirates pour récupérer des données hackées est une très mauvaise idée. C'est pourtant ce qu'a décidé de faire le laboratoire d'analyse médicale canadien LifeLabs après avoir été victime d'une cyberattaque en novembre dernier ayant permis le vol de données de 15 millions de patients comprenant des noms, adresses, e-mails, identifiants, dates de naissance et numéros de sécurité sociale. Mais également des résultats d'analyse de 85 000 clients remontant jusqu'à 2016 ou plus.

Mis au pied du mur, l'établissement a tenté le tout pour le tout et a préféré payer les hackers pour récupérer les données plutôt que de les voir s'envoler. Aucune précision n'a été apportée sur le fait de savoir si une rançon avait bien été demandée, ni le montant finalement versé aux attaquants. En revanche, il est certain qu'accepter de payer pour retrouver des informations volées et plus qu'hasardeux, sans aucune garantie de succès mais également d'être sûr que ces dernières ne soient pas finalement exposées ou vendues par la suite.

Un paiement effectué avec la bénédiction de spécialistes en négociation cybercriminelle

« LifeLabs assure que les données ne semblent pas avoir été partagées en ligne, y compris sur le dark web, et semble extrêmement optimiste », a indiqué Ray Walsh, responsable en protection des données personnelles chez ProPrivacy. « Payer des pirates pour des données rançonnées est une situation extrêmement douteuse et le risque que ces données soient stockées sur le disque dur du pirate en attendant d'être vendues en ligne à un moment donné dans le futur est extrêmement problématique, car cela pourrait arriver demain, la semaine prochaine ou dans un an ».

L'établissement a-t-il été réellement bien conseillé ? Cela pourrait ne pas être le cas : dans un communiqué, le laboratoire indique que le paiement effectué auprès des cybercriminels s'est inscrit dans le cadre d'une « collaboration avec des experts connaissant bien les cyberattaques et les négociations avec les cybercriminels ». « Nous avons corrigé les problèmes du système liés à l'activité criminelle et avons travaillé 24 heures sur 24 pour mettre en place des garanties supplémentaires pour protéger vos informations. Dans un souci de transparence et conformément aux réglementations en matière de confidentialité, nous faisons cette annonce pour informer tous les clients », a par ailleurs indiqué LifeLabs. Informer sans aucun doute, rassurer c'est moins sûr.