Il y a environ 2 000 ans, pendant sa dynastie Han, la Chine a fait la paix avec certains des peuples nomades d’Asie centrale qui ont continuellement saccagé les commerçants de la route de la soie pour un salaire facile. Il l’a fait afin d’établir pleinement la route commerciale de la route de la soie, qui s’étendait de la Chine à l’Europe, et de s’assurer une grande source de richesse du commerce des produits de luxe.

Aujourd’hui, alors que le commerce s’est de plus en plus déplacé vers le domaine numérique pendant la pandémie mondiale de COVID-19, les cyberattaquants profitent des mesures de cybersécurité laxistes des organisations. Ils utilisent un ransomware pour verrouiller les données de ces organisations avec un cryptage jusqu’à ce qu’un paiement de rançon en crypto-monnaie soit effectué. En 2019, 98% des paiements de ransomware étaient effectués en Bitcoin (BTC).

En rapport: Pas comme avant : les monnaies numériques font leurs débuts au milieu de COVID-19

Anne Neuberger, conseillère adjointe à la sécurité nationale des États-Unis pour la cybersécurité et les technologies émergentes, expliqué:

« Le nombre et la taille des incidents de ransomware ont considérablement augmenté. […] Le gouvernement américain travaille avec des pays du monde entier pour tenir les acteurs des ransomwares et les pays qui les hébergent responsables, mais nous ne pouvons pas lutter seuls contre la menace posée par les ransomwares. Le secteur privé a une responsabilité distincte et essentielle.

L’administration du président Joe Biden s’apprête à traiter les cyberattaques – qui sont estimé coûter 1 000 milliards de dollars par an et prendre souvent la forme de ransomware – en tant que menace pour la sécurité nationale. Les agences de renseignement ont conclu qu’elles représentaient une menace élevée pour le pays, avec de l’essence, des vivres et des systèmes hospitaliers à risque.

Récemment, le ministère américain de la Justice saisi 63,7 BTC (d’une valeur d’environ 2,3 millions de dollars à l’époque) représentant le produit d’un paiement de rançon effectué par Colonial Pipeline au groupe connu sous le nom de « DarkSide ». Il l’a fait via un effort coordonné avec le groupe de travail du DoJ sur les ransomwares et l’extorsion numérique, qui collabore avec des agences gouvernementales nationales et étrangères ainsi qu’avec des partenaires du secteur privé pour lutter contre cette menace criminelle importante.

En rapport: Groupe de travail sur la cybercriminalité surveillant le système financier numérique mondial

Lisa Monaco, la procureure générale adjointe du DoJ, a déclaré : « Suivre l’argent reste l’un des outils les plus basiques mais les plus puissants dont nous disposons. » Elle a continué:

« Les paiements de rançon sont le carburant qui propulse le moteur d’extorsion numérique, et [..] les États-Unis utiliseront tous les outils disponibles pour rendre ces attaques plus coûteuses et moins rentables pour les entreprises criminelles. »

Paul Abbate, directeur adjoint du Federal Bureau of Investigation, a ajouté :

« Nous continuerons à utiliser toutes nos ressources disponibles et à tirer parti de nos partenariats nationaux et internationaux pour perturber les attaques de ransomware et protéger nos partenaires du secteur privé et le public américain. »

Implications fiscales américaines des paiements de rançon en crypto-monnaies

Une question est de savoir si les paiements de ransomware peuvent être considérés comme un coût « ordinaire et nécessaire » pour faire des affaires et être déduits du revenu imposable en tant que perte de vol en vertu des sections 162(a) et 165(a) de l’Internal Revenue Code, qui donne le pouvoir de déduire toute perte qui n’a pas été couverte par une assurance ou d’autres moyens. Il existe plusieurs définitions judiciaires et administratives du vol, et la définition de l’Internal Revenue Service semble suffisamment large pour englober une cyberattaque et permettre la déduction des paiements de ransomware effectués en crypto-monnaie en tant que dépense d’entreprise à des fins fiscales fédérales.

Cependant, en vertu de l’article 162c), si le paiement de la rançon en crypto-monnaie constitue un pot-de-vin illégal, un pot-de-vin illégal, un paiement par chantage ou tout autre paiement illégal – comme celui effectué à un groupe classé comme organisation terroriste en vertu de toute loi américaine – il ne serait pas déductible d’impôt. Ainsi, un contribuable doit distinguer les paiements illicites des paiements par ransomware en crypto-monnaie en mettant en évidence le vol de propriété. Des questions d’illégalité peuvent survenir lors du paiement d’une demande de ransomware en crypto-monnaie à un cybercriminel ayant une connexion connue à un gouvernement étranger sanctionné ou boycotté.

En rapport: Le respect des sanctions pour les transactions en fiat et crypto-monnaies est le même : avis d’expert

Voici un exemple, fourni par le co-fondateur et scientifique en chef d’Elliptic, Tom Robinson : « Elliptic a été le premier à identifier le portefeuille Bitcoin utilisé par le groupe de ransomware DarkSide pour recevoir un paiement de rançon de 75 Bitcoin de Colonial Pipeline. […] Côté obscur [which is believed to be based in Eastern Europe] est un exemple de « Ransomware en tant que service » (RaaS). Dans ce modèle d’exploitation, le malware est créé par le développeur du rançongiciel, tandis que l’affilié du rançongiciel est chargé d’infecter le système informatique cible et de négocier le paiement de la rançon avec l’organisation victime. Ce nouveau modèle commercial a révolutionné les ransomwares, en les ouvrant à ceux qui n’ont pas la capacité technique de créer des logiciels malveillants, mais qui sont prêts et capables d’infiltrer une organisation cible.

Les attaquants de ransomware peuvent même offrir une remise à une entreprise victime si elle transmet l’infection à d’autres entreprises. Ces paiements de rançon en BTC sont ensuite blanchis sur les marchés du dark web, selon un rapport Publié par Flashpoint et Chainalysis.

Tout paiement de rançon effectué en crypto-monnaie est taxé comme propriété plutôt que comme devise. Par conséquent, les contribuables sont tenus de conserver des registres détaillés de ces transactions de crypto-monnaie de paiement de rançon, de déclarer tout gain et de déclarer la juste valeur marchande de toute crypto-monnaie extraite dans leurs déclarations de revenus.

En outre, le Financial Crimes Enforcement Network, ou FinCEN, réglemente également les transactions liées à la crypto-monnaie conformément à la Loi sur le secret bancaire (BSA) par déclarant que « Un administrateur ou un échangeur qui (1) accepte et transmet une devise virtuelle convertible ou (2) achète ou vend une devise virtuelle convertible pour quelque raison que ce soit est un transmetteur de fonds ».

Ainsi, en vertu de la BSA, un émetteur de crypto-monnaie est tenu d’effectuer une évaluation des risques, d’élaborer un programme écrit pour éviter le blanchiment d’argent, de désigner un responsable de la conformité et d’effectuer d’autres mesures.

En rapport: Les États-Unis mettent à jour leur crypto Lois LAB/CFT

Il convient de noter que d’autres participants lucratifs et coupables d’un programme de paiement de rançon Bitcoin pourraient se retrouver confrontés à des sanctions pénales et fiscales pour fraude/évasion. Par exemple, John McAfee, fondateur de la société antivirus qui porte son nom, avait récemment été accusé avec divers délits fiscaux aux États-Unis concernant les transactions de crypto-monnaie détenues par des prête-noms et risquait de nombreuses années de prison s’il était reconnu coupable. Cela a peut-être été un facteur dans sa décision de se suicider dans une prison espagnole après que le tribunal a décidé qu’il pouvait être extradé vers les États-Unis.

En rapport: Les rapports de suicide de John McAfee suscitent l’incrédulité et suscitent des théories du complot

Conclusion

Dans des remarques au comité des crédits du Sénat américain, le directeur du FBI, Christopher Wray, a conseillé aux victimes de ransomware de ne pas payer de rançon pour récupérer les données piratées ou retrouver l’accès au réseau. Il mentionné que « En général, nous découragerions le paiement de la rançon car cela encourage davantage ces attaques, et franchement, rien ne garantit que vous récupérerez vos données », ajouter: « Nous devons rendre plus difficile et plus douloureux pour les pirates informatiques et les criminels de faire ce qu’ils font. » Et il continua :

« Nous avons pris plus de 1 100 actions contre des cyber-adversaires l’année dernière, y compris des arrestations, des accusations criminelles, des condamnations, des démantèlements et des perturbations, et avons permis de nombreuses autres actions grâce à nos partenariats dédiés avec le secteur privé, des partenaires étrangers et au niveau fédéral, étatique, et les entités locales.

Les points de vue, pensées et opinions exprimés ici n’engagent que l’auteur et ne reflètent ou ne représentent pas nécessairement les points de vue et opinions de Cointelegraph.

Selva Ozelli, Esq., CPA, est un avocat fiscaliste international et un expert-comptable agréé qui écrit fréquemment sur des questions fiscales, juridiques et comptables pour Tax Notes, Bloomberg BNA, d’autres publications et l’OCDE.