Suite à son annonce concernant l’obtention d’une clé de décryptage universelle la semaine dernière, l’éditeur floridien du logiciel VSA publie une nouvelle déclaration en ce début de semaine pour mettre fin aux rumeurs selon lesquelles il aurait payé une rançon au groupe REvil.

« Nous confirmons sans ambiguïté que Kaseya n’a pas payé de rançon – que ce soit directement ou indirectement par l’intermédiaire d’un tiers – pour obtenir le décrypteur », précise le communiqué. « Bien qu’il appartienne à chaque entreprise de prendre ses décisions quant au paiement d’une rançon, Kaseya a décidé, après consultation d’experts, de ne pas négocier avec les criminels qui ont perpétré cette attaque. Nous n’avons pas dérogé à cet engagement. »

Kaseya précise que ses équipes de support ont travaillé tout le week-end dernier avec la société spécialisée en cybersécurité Emsisoft pour partager cette clé de déchiffrement avec une partie de ses 1.500 clients touchés par l’attaque.

Certaines victimes ont par ailleurs confié à la chaine d’information américaine CNN qu’elles avaient dû signer un accord de non-divulgation (NDA) à la demande de Kaseya en échange du décrypteur. L’éditeur de VSA a refusé tout commentaire à ce sujet, nimbant de mystère le contenu de l’accord, ce qui pourrait encore prolonger « l’Affaire Kaseya ».

Interrogée par notre confrère de ZDnet sur cette pratique de NDA, l’experte en cybersécurité Theresa Payton répond en ces termes : « Lorsqu’un cyberincident touche plusieurs victimes dans le cadre d’une attaque de la chaîne d’approvisionnement, il arrive que le conseiller juridique demande aux victimes de signer un accord de non-divulgation. Si la raison derrière l’accord est de s’assurer que la tierce partie qui a fourni la clé n’est pas divulguée et que la manière dont le décryptage est rendu disponible n’est pas divulguée, alors cela a du sens ».