Êtes-vous à même de parler avec votre voleur ? Et si oui, comment ? Voici la problématique à laquelle sont confrontées tous les jours des victimes de rançongiciels. Car les gangs de ransomware ne chiffrent pas les données de leurs cibles par amusement. Sitôt cette opération effectuée, ils contactent leurs victimes pour demander une rançon. Ce qui peut prendre des formes surprenantes: Egregor lançait par exemple automatiquement l’impression de la note de rançon sur des imprimantes ou des machines à ticket de caisse.
Il existe désormais de nombreuses entreprises qui proposent leurs services d’assistance à la négociation, une conséquence de l’explosion des activités criminelles liées aux rançongiciels. En France, ces sociétés spécialisées recrutent notamment des anciens policiers, comme Christophe Caupenne, ancien chef de la cellule de négociation du Raid, l’unité d’intervention de la police nationale, qui travaille avec l’Institut Nera. Mais on retrouve également sur le marché des négociateurs des profils très différents. Florent Curtet, le patron de Neo Cyber, est un ancien black hat désormais reconverti dans le hacking éthique.
Faire redescendre la pression
Le travail de ces négociateurs ? D’abord de gagner du temps et de rétablir un équilibre entre la victime et l’attaquant. Il faut en effet pouvoir évaluer l’ampleur des dégâts puis commencer à préparer une stratégie, en donnant de la marge aux informaticiens chargés de remettre d’aplomb le système d’information. « On aide les chefs d’entreprises à ne pas faire d’erreur irrémédiable », résume David Corona, un ancien du GIGN qui a fondé sa société de conseil, In_Cognita.
À ce titre, la négociation présente un intérêt. En faisant redescendre la pression, la victime peut vérifier que ses données sont bien chiffrées et voir s’il n’y aurait pas la possibilité de récupérer gratuitement la clé de déchiffrement. Ou encore vérifier qu’il n’existe pas tout simplement quelque part une sauvegarde qui permettra d’envoyer paître le cybercriminel. Ces échanges peuvent, en effet, être un moyen d’en savoir plus sur l’attaquant, voire même d’arriver à le piéger en le poussant à la faute.
À ce stade, il y a quelques erreurs à ne pas faire dans les échanges. Ne donnez pas de réponses négatives ou positives, pour reporter à plus tard la prise de décision. Kurtis Minder, le PDG de Groupsense, une firme américaine très active sur ce marché, conseillait également dans les colonnes du New Yorker d’essayer de manifester de l’empathie avec le pirate, par exemple en saluant ses compétences. Car même si l’attaque met en jeu la survie d’une organisation, s’énerver sur son clavier contre le cybercriminel ne risque pas de faire avancer les choses, au contraire.
Des échanges laconiques dans un anglais approximatif
Mais ne croyez pas pour autant que ces négociations soient une sorte de long confessionnal. Des experts décrivent plutôt des échanges laconiques de quelques mots, assez froids, où règne un anglais approximatif copié-collé depuis Google Translate. Il s’agit, en général, surtout d’évoquer le montant de la rançon. Un point où les négociateurs peuvent jouer un rôle, parvenant parfois à amener les cybercriminels à revoir leurs prétentions à la baisse, en présentant les réelles capacités financières de la victime.
L’ouverture même de la négociation suffit parfois à obtenir un premier rabais. Plutôt que d’acculer une entreprise à la faillite, certains cybercriminels se satisfont d’une somme moindre, surtout si elle est payée rapidement. Le hacker Florent Curtet indique avoir même pu obtenir le retrait de cinq attaquants contre des entités non lucratives et médicales françaises, qui n’étaient pas en mesure de payer une rançon. Mais dans d’autres cas, au contraire, comme le rapporte Tony Cook, interrogé par CNN, il va être très compliqué d’obtenir ne serait-ce qu’un rabais de 10 000 dollars.
« Un bénéfice malsain du paiement des rançons »
L’activité de négociation du montant de la rançon est cependant contestée par certaines entités. Il ne faut pas oublier en effet que le paiement d’une rançon permet in fine de financer une organisation criminelle. Le patron de l’Anssi, Guillaume Poupard, avait ainsi déploré le rôle néfaste de ces intermédiaires qui « tirent un bénéfice malsain du paiement des rançons ».
Dans une enquête très fouillée, Propublica avait également pointé le double jeu de certaines sociétés d’aide aux victimes de rançongiciel. Prétendant déchiffrer les fichiers volés, certaines d’entre elles négocient en réalité la rançon dans le dos des victimes, facturant au final des sommes « qui dépassent de loin le montant demandé par le pirate informatique », s’étranglait Bill Siegel, le P-DG de Coveware. « La plupart des sociétés d’assistance font cela », affirmait laconiquement l’un des opérateurs de Lockbit dans une interview récente.
Alors, que faut-il penser de l’intérêt de ce type de négociations avec des cybercriminels ? Si votre objectif est de gagner du temps, cela peut présenter certains avantages. Le négociateur peut également vous aider dans votre gestion de crise. Mais faites attention au prestataire que vous embauchez. Une société sérieuse vous facturera ainsi un taux journalier moyen pour sa prestation. Vous avez peur de ne pas faire le bon choix ? Surtout, ne restez pas seul face à l’attaquant. Allez porter plainte. C’est d’ailleurs ce qu’il faut faire dans tous les cas. Tournez-vous ensuite vers des juristes à même de vous épauler dans cette situation critique. Au final, gardez à l’esprit que ce sera à vous de décider de payer, ou non, une rançon. Rappelez-vous à ce sujet que les sommes extorquées peuvent encourager de nouvelles attaques. Et que le paiement de la rançon n’est jamais une garantie totale de retrouver les données volées.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !