La fréquence des attaques de ransomwares a augmenté en 2020, y compris dans le sillage de la pandémie de COVID-19. En outre, les attaques de ransomware sont devenues plus sophistiquées à mesure que leurs auteurs cherchent à tirer parti des technologies nouvelles et émergentes. Ces efforts comprennent la sélection de nouvelles formes de rançon, les actifs numériques et les crypto-monnaies devenant la nouvelle rançon de choix pour de nombreux pirates et extorsionnistes.
Malgré l’omniprésence des demandes de crypto-monnaie dans les attaques de ransomware, peu de tribunaux ont pris en compte les nuances du recouvrement d’actifs numériques. À cet égard, la récente décision de la Haute Cour d’Anglais dans l’affaire AA v Persons Unknown, [2019] EWHC 3556 (Comm), offre l’occasion d’examiner les implications du droit canadien pour l’utilisation des procédures civiles afin d’empêcher la dissipation d’actifs numériques et de faciliter leur recouvrement final.
Dans l’affaire AA c. Personnes inconnues, une compagnie d’assurance canadienne (le « client assuré ») a fait l’objet d’une attaque de rançongiciel qui a réussi à contourner le pare-feu et le logiciel antivirus du client assuré pour chiffrer ses systèmes informatiques. Peu de temps après avoir chiffré les systèmes informatiques du client assuré, les pirates ont exigé qu’une rançon soit payée. Dans ce cas, le client assuré avait acheté une couverture auprès d’une compagnie d’assurance basée au Royaume-Uni (l'« assureur ») contre les cyberattaques et avait informé l’assureur de l’incident. L’assureur a communiqué avec une société d’intervention en cas d’incident pour négocier le paiement de la rançon et la réception du logiciel de déchiffrement pertinent. En fin de compte, l’assureur a accepté de payer 950 000 $ US en Bitcoin (109,25 Bitcoins) aux pirates en échange du logiciel nécessaire pour déchiffrer les 20 serveurs et environ 1 000 ordinateurs de bureau du client assuré.
Après avoir payé la rançon demandée, l’assureur a retenu les services d’un consultant de l’industrie pour faciliter le traçage du Bitcoin transféré aux pirates. Cette enquête a révélé qu’un nombre important de Bitcoins transférés aux pirates avaient été envoyés à une adresse liée à un échange d’actifs numériques et de crypto-monnaie. Dans un effort pour récupérer les actifs numériques, l’assureur a demandé une injonction de propriété et / ou de gel à l’égard du Bitcoin détenu dans des comptes avec l’échange de crypto-monnaie.
Pour déterminer que l’injonction exclusive demandée par l’assureur devrait être accordée, la Haute Cour d’Anglais a examiné si:
À la suite d’une ligne de compétence en développement, la Cour a conclu que les cryptomonnaies telles que Bitcoin sont une forme de propriété susceptible de faire l’objet d’une injonction de propriété. La Cour a ensuite examiné les éléments restants pour déterminer que le critère était satisfait, concluant qu’il y avait une question sérieuse à juger et, compte tenu du risque de dissipation du Bitcoin restant, la prépondérance des inconvénients favorisait l’octroi de la réparation demandée, car les dommages-intérêts ne constitueraient pas une réparation adéquate.
Bien que l’anonymat de Bitcoin puisse créer d’autres obstacles dans la poursuite du recouvrement, la décision dans l’affaire AA v Unknown Persons démontre que dans des circonstances appropriées, la Cour appliquera les principes juridiques existants pour permettre le traçage des paiements effectués en Bitcoin, tout comme elle le ferait dans le traitement des tentatives de récupérer d’autres formes de propriété ou de monnaie.
Les tribunaux canadiens n’ont pas encore tenu compte des questions soulevées dans l’affaire AA c. Personnes inconnues dans les décisions rendues. Par conséquent, AA v Unknown Persons peut être instructif pour les plaideurs canadiens qui cherchent à retracer et à récupérer les cryptomonnaies transférées à des pirates informatiques ou à des extorsionnistes. Plus précisément, AA v Unknown Persons démontre l’impact que les efforts opportuns pour retracer les crypto-monnaies peuvent avoir sur la préservation et la récupération des actifs, et l’importance de faire appel à des conseillers juridiques et experts expérimentés. La décision illustre également que les tribunaux sont conscients de la facilité et de l’anonymat avec lesquels la crypto-monnaie peut être transférée et dissipée. Il s’agit d’un facteur qui peut être important pour les parties qui cherchent à persuader les tribunaux canadiens d’accorder une injonction de propriété ou Mareva (c.-à-d. une « ordonnance de gel ») ou une ordonnance provisoire de protection de biens en vertu de la règle 45.01 des Règles de procédure civile de l’Ontario dans des circonstances semblables à celles de l’affaire AA c. Personnes inconnues. Entre autres choses, une partie qui demande une injonction Mareva doit établir une solide preuve prima facie de fraude et un risque réel de dissipation (Chitel v Rothbart, [1982] O.J. no 3540 (CA)). Comme l’indique clairement AA v Unknown Persons, ce dernier facteur devrait être facilement apparent lorsqu’il s’agit d’une rançon payée en crypto-monnaie ou d’autres actifs numériques.
AA v Unknown Persons, considéré de justesse, est une décision anglaise importante dans la mesure où elle affirme que les crypto-monnaies sont en fait des biens auxquels les principes juridiques régissant le traçage peuvent être appliqués. De plus, cela témoigne de la vitesse à laquelle les actifs numériques peuvent être transférés et dissipés pour empêcher la récupération, et de la nécessité d’agir rapidement et parfois de manière créative pour poursuivre le recouvrement du paiement de la rançon, même s’ils sont effectués en crypto-monnaie. La nature publique unique des transactions Bitcoin (enregistrées dans la blockchain publique, même si les parties à la transaction sont anonymes) rend l’implication de conseillers ayant une expertise spécialisée à un stade précoce encore plus importante.
Vu d’un point de vue général cependant, AA v Unknown Persons offre un certain nombre de leçons pratiques pour la protection pragmatique des actifs informatiques, et la poursuite et la récupération de la crypto-monnaie. La décision souligne l’importance d’élaborer un plan d’action et de formation pour prévenir de telles attaques dès le départ et pour enquêter et répondre aux cas d’attaques potentielles de ransomware lorsqu’elles surviennent.
Les auteurs remercient Joshua Foster pour son aide dans la préparation de cet article.