Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 219

doctrine

Cybercriminalité

Le ransomware est-il assurable ?
Analyse de cette nouvelle forme de cybercriminalité
et des pratiques assurancielles des premiers
contrats l'appréhendant spécifiquement.

L

a cause licite et morale des
garanties d'assurance de
sommes extorquée à une
entreprise par un pirate informatique divise les assureurs, avec une
appréciation différente selon que ces
assureurs sont continentaux ou anglosaxons. L'argument habituellement
opposé à l'assurabilité est celui qu'une
telle garantie inciterait la commission
d'une infraction que pourrait favoriser
la collusion frauduleuse entre l'assuré
et l'auteur de l'extorsion.

La réponse à cette question pourrait
procéder par analogie avec d'autres
garanties dont la licéité est également
controversée, particulièrement la
garantie des rançons consécutives à
un enlèvement. Il est donc utile de poser
le débat au regard de la réalité du
phénomène « ransomware » et d'analyser les pratiques assurancielles des
premiers contrats d'assurance qui
appréhendent spécifiquement cette
nouvelle cybercriminalité.

LA RÉALITÉ DU
PHÉNOMÈNE
« RANSOMWARE »
Un ransomware (virus d'extorsion)
est un dispositif logiciel utilisé par un
cybercriminel ou une organisation
criminelle issue du crime organisé
(mafias, triades, mouvements terroristes). L'attaque consiste à bloquer un
ordinateur et à demander une rançon
pour le débloquer. Les ransomwares peuvent se présenter sous deux
formes. Les ransomwares, d'une part,
sont fondés sur la peur qui relèvent de

l'ingénierie sociale. Appelés « virus
gendarmerie », ils font croire à la
découverte d'activités illicites dans
l'ordinateur bloqué et imposent le
paiement d'une amende. D'autre part,
les ransomwares, appelés cryptowares, cryptent la totalité des fichiers de
données de l'utilisateur.
Ces attaques, utilisant un chiffrement
de haut niveau, peuvent s'avérer
irréversibles.
Sans entrer dans un débat technique,
l'ordinateur est infecté en exploitant
une faille de sécurité pouvant exister au sein d'une application ou en
ouvrant une pièce jointe d'un courriel.
D'autres attaques avec demande de
rançon consistent à bloquer l'accès
d'un site marchand, par exemple
en utilisant un botnet et en submergeant le serveur de requêtes afin qu'il
ne puisse plus en satisfaire aucune
(attaques en DDoS - Déni de service
distribué).
En juin 2015, le FBI a lancé un avertissement à propos de Cryptowall 4.0,
le décrivant comme le ransomware
le plus « actif et menaçant, visant
les particuliers et entreprises américaines ». L'étude de Bitdefender a mis
en évidence que 61,8% des attaques de
malwares via e-mails aux Etats-Unis
ont diffusé du ransomware (la plupart
du temps Cryptowall et Cryptolocker).
Ces chiffres montrent que les donneurs
d'ordre de ces ransomwares ont fait
des Etats-Unis leur priorité parce que
ce pays représente un marché hautement profitable pour ce type d'attaque. En effet, en 2015, les créateurs

EXPERTISES JUIN 2016

du ransomware CryptoWall ont extorqué plus de 325 millions de dollars aux
victimes américaines, selon diverses
études.
En France, en avril 2016, l'AMRAE a
relayé les informations de plusieurs
entreprises et de la gendarmerie nationale concernant trois ransomwares
particulièrement virulents (Locky,
Crysis et Ke.Ranger ou Keyranger).
Enfin, l'inquiétude grandit dans
les milieux de la sécurité face au
développement du modèle RaaS
(Ransomware as a Service) qui est un
concept émergent consistant, pour les
auteurs de ransomware, à proposer à
des « diffuseurs » des versions personnalisées à la demande. La rançon est
alors perçue par l'auteur du malware,
qui la partage avec le diffuseur.
Dans
le
modèle
RaaS,
l'auteur du ransomware ne perçoit
qu'une petite partie des fonds (5 à
25%) tandis que le reste va au diffuseur (l'affilié). L'auteur reçoit la rançon
de la victime en bitcoins. Le diffuseur
a la promesse de toucher sa part
via l'adresse bitcoin anonyme avec
laquelle il s'est enregistré. Ce modèle,
qui repose sur le réseau TOR et les
bitcoins, est conçu pour masquer
l'identité de l'auteur et du diffuseur
aux autorités.

LA CAUSE LICITE ET
MORALE DU CONTRAT
D'ASSURANCE
En droit des assurances comme en
droit des contrats, la cause est un outil
permettant de contrôler la licéité du

219



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414

Couverture
Editorial & Sommaire
MAGAZINE
VOITURES AUTONOMES : UBER REFUSE LA SUBORDINATION Par Sylvie ROZENFELD
INTERVIEW ISABELLE GAVANON : LE NOUVEAU DROIT DES CONTRATS Par Sylvie ROZENFELD
DOCTRINE
REGULATION DE LA BLOCKCHAIN IL EST URGENT D’ATTENDRE Par Isabelle RENARD
CYBERCRIMINALITÉ LE RANSOMWARE EST-IL ASSURABLE ? Par Jean-Laurent SANTONI
CONCURRENCE : ABSENCE D’UN MARCHÉ PERTINENT DU DÉSTOCKAGE EN LIGNE Par Lucia PEREIRA et Elise CADORET
ACCÈS AU DROIT : DES START-UPS ET UN PORTAIL NUMÉRIQUE PLACE VENDÔME Par Myriam QUÉMÉNER
JURISPRUDENCE
BRANDALLEY, SHOWROOMPRIVÉ.COM / VENTE-PRIVÉE.COM
MAQUINAY / MAPAYE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - VOITURES AUTONOMES : UBER REFUSE LA SUBORDINATION Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 200
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 201
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 202
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 203
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 204
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 205
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 206
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 207
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 208
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - INTERVIEW ISABELLE GAVANON : LE NOUVEAU DROIT DES CONTRATS Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 210
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 211
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 212
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 213
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 214
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - REGULATION DE LA BLOCKCHAIN IL EST URGENT D’ATTENDRE Par Isabelle RENARD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 216
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 217
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 218
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - CYBERCRIMINALITÉ LE RANSOMWARE EST-IL ASSURABLE ? Par Jean-Laurent SANTONI
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 220
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 221
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - CONCURRENCE : ABSENCE D’UN MARCHÉ PERTINENT DU DÉSTOCKAGE EN LIGNE Par Lucia PEREIRA et Elise CADORET
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 223
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - ACCÈS AU DROIT : DES START-UPS ET UN PORTAIL NUMÉRIQUE PLACE VENDÔME Par Myriam QUÉMÉNER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 225
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - BRANDALLEY, SHOWROOMPRIVÉ.COM / VENTE-PRIVÉE.COM
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 227
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 228
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 229
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 230
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 231
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 232
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 233
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - MAQUINAY / MAPAYE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 235
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juin 2016 - n°414 - 236
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com