L’entreprise agroalimentaire américaine Mondelez, connue pour ses marques Oreo et Cadbury, poursuit en justice son assureur Zurich dans l’Illinois, pour refuser de payer 100 millions de dollars pour le sinistre causé par la cyberattaque NotPetya.

C’est la première fois qu’une dispute juridique majeure oppose un client exigeant la prestation d’assurance contre les risques cyber à son assureur, qui cherche à réduire sa responsabilité à zéro.

Lors de l’été 2017, plusieurs vagues d’attaques ont endommagé les infrastructures d’organisations et d’entreprises du monde entier. Le logiciel malveillant est un rançongiciel, qui chiffre les disques durs et exige de fortes sommes d’argent pour libérer les données.

C’est pourquoi on a cru qu’il s’agissait de Petya, avant de découvrir que les criminels n’étaient pas motivés par l’argent et qu’ils ne déchiffreraient jamais les supports de stockage : on a affaire à NotPetya.

NotPetya aurait été developpé par des pirates russes liés au gouvernement russe, d’après les autorités américaines et anglaises. Il a coûté des dizaines de milliards aux entreprises, comme Mondelez, Merck ou Maersk.

Dans son assignation, Mondelez révèle qu’elle a été touchée deux fois par NotPetya, rendant 1 700 serveurs et 24 000 ordinateurs portables « dysfonctionnels de manière permanente. »

Mondelez a alors demandé que son assureur la rembourse, sa police d’assurance de biens couvrant la perte physique ou les dégâts des données électroniques, des programmes ou logiciels, y compris la perte ou les dommages occasionnés par l’introduction malicieuse de code source ou de code machine.

Zurich aurait dans un premier temps œuvré pour régler la demande, proposant même un paiement intérimaire de 10 millions de dollars.

Il aurait plus tard refusé de payer quoi que ce soit, invoquant l’exception dans la police d’assurance pour « une action hostile ou de guerre » par un gouvernement ou un pouvoir souverain.

D’après Mondelez, un tel refus est sans précédent.

Ce procès va avoir des conséquences majeures pour les assurés et les assurances, d’une part en déterminant les limites des exceptions invoquées et de la preuve de leur bienfondé, et d’autre part en dévoilant l’étendue du risque cyber caché pour les assurances, c’est-à-dire les demandes basées non pas sur une police d’assurance spécifique contre les cyberattaques, mais au titre d’autres contrats plus larges, comme dans le cas de Mondelez.

 

Pour mémoire, la NSA est fortement responsable des attaques NotPetya.

Le service de renseignement américain continue à amasser en secret des vulnérabilités jour zéro, c’est-à-dire des vulnérabilités inconnues pour lesquelles personne n’a de remède au moment de leur exploitation, en contravention de la loi qui stipule qu’elle devrait les divulguer aux éditeurs de logiciels concernés. Pire encore, elle est incapable de protéger ces cyberarmes des criminels.

Les facteurs d’infection EternalBlue et EternalRomance ont été volés par les pirates à la NSA, et sont au cœur du logiciel malveillant NotPetya.