Rançongiciels: les négociateurs
Comment négocier avec un cybercriminel? Si un ‘non’ est en général la réponse, toute règle connaît ses exceptions. Pour envisager la meilleure approche, nous avons rencontré plusieurs négociateurs.
Les rançongiciels sont, depuis des années déjà, l’un des défis majeurs dans la sécurité à l’échelle mondiale. Ils peuvent rapporter beaucoup d’argent aux criminels, tandis que tant des PME que des hôpitaux ou de grandes entreprises peuvent en être la victime. D’autant que le modèle ‘commercial’ se professionnalise, impliquant notamment des infrastructures SaaS et un helpdesk offrant un service de meilleure qualité que celui de bon nombre de fournisseurs d’énergie belges.
C’est ce helpdesk avec lequel vous serez confronté si vous deviez être une victime. Car même si vous avez l’intention de payer la rançon, ce n’est pas une mauvaise idée que de le contacter, estime Steven De Munter, expert en cybersécurité chez Orange Cyberdefense qui a travaillé précédemment à la Police judiciaire. «En général, il faut se donner du temps lorsque l’on négocie avec des criminels, afin que vos équipes puissent investiguer la situation. Nier tout en bloc risque en général de les braquer.»
Premiers secours
À l’attention de ceux qui n’ont jamais été confrontés à un rançongiciel, voici la marche à suivre. Les messages relatifs au rançongiciel qui vous est envoyé contiennent une demande de rançon. Celle-ci renferme en général un lien vers le fameux ‘dark web’, un site accessible avec un navigateur Tor et donc difficilement traçable. En général, vous recevez également un code personnel (un numéro de client en somme) qui permet au collaborateur du helpdesk d’identifier le dossier en question. «Votre ‘compte de victime’ est associé à une campagne spécifique», précise Bjorn Svendsen qui travaillait pour Orange Cyberdefense Norvège lorsqu’il a été impliqué en 2021 dans ce type de négociations. «C’est un peu comme une conversation avec un centre d’appels qui essaie de vous aider. Dans une certaine campagne, ils voulaient la rançon en monero. Or nous avons des problèmes pour nous en procurer et nous avons demandé de payer en bitcoin. Ils ont accepté, mais avec un surcoût de 10%.»
Dans ce cas précis, les criminels étaient non seulement serviables parce qu’il y avait de l’argent en jeu, mais aussi pour soigner leur ‘image’. «Ils voulaient qu’on sache que si vous versiez la rançon, ils mettaient en œuvre les outils nécessaires», explique Svendsen. Mais d’ajouter d’emblée que la situation a désormais évolué. C’est ainsi qu’après l’invasion de l’Ukraine par la Russie, des groupes tels que Conti, avec lesquels il négociait, se sont disloqués ou se sont reformés. Aujourd’hui, les bandes criminelles encore actives essaient de rester le plus anonyme possible pour pouvoir continuer à toucher les rançons. «De nombreux pays ont à présent édicté des règles rendant illégal tout commerce avec des organisations russes», précise Svendsen.
Rien de personnel
Svendsen fut, un peu ad hoc, impliqué comme négociateur de par son rôle au sein de la société de sécurité, mais se limita à cette seule négociation. D’autres, comme Geert Baudewijns, CEO de l’entreprise belge de sécurité Secutec, ont mené ces dernières années des centaines de négociations. «Chaque criminel est différent et une telle négociation peut aller dans tous les sens. Plus l’organisation est professionnelle, plus les discussions sont âpres. Et courtes également. Les criminels de rue me prennent souvent pour moins que rien et je fais de même», sourit-il.
Mais qu’est-ce qui fait un bon négociateur? «Il existe des négociateurs certifiés, précise Baudewijns, mais on travaille souvent sur la base d’un réseau. En principe, tout le monde peut le faire, mais à mes yeux, il est important de le faire chaque semaine, afin de garder le contact.»
Un tel négociateur se contacte donc via un réseau ou un fournisseur spécialisé en sécurité. Si vous avez une assurance cyber, vous pourrez en général bénéficier d’une assistance en cas d’attaque. «Parfois, je suis accompagné d’une personne qui a un bagage juridique, relève De Munter, parce qu’il s’agit de quelqu’un qui a l’habitude de peser ses mots.»
Le conseil le plus important donné par nos interlocuteurs est que ce négociateur soit une personne extérieure. «Je ne suis pas lié émotionnellement à l’entreprise et je ne suis pas ami avec le CEO, insiste Baudewijns. Lorsque je négocie, je fais office d’intermédiaire et je m’engage à négocier le meilleur accord. Je n’offre aucune garantie au pirate ou au client: même si des millions sont en jeu, le risque existe toujours que les choses tournent mal. Il faut en tenir compte. Et souvent, la faute arrive lorsque les émotions prennent le dessus. Votre atout majeur est la rationalité.»
Poker menteur
D’ailleurs, cet aspect émotionnel ne se retrouve pas souvent chez l’autre partie, surtout s’il s’agit de professionnels. «C’est là toute la difficulté de négocier avec des criminels, fait remarquer De Munter. Rien ne les touche en effet. Ils savent qu’ils contrôlent la situation, même s’ils ne savent pas si vous avez des sauvegardes pour reprendre le contrôle. C’est un jeu de stratégie.»
«En tant que négociateur, il faut toujours essayer de tisser un lien avec le criminel», ajoute Baudewijns. Et de faire la comparaison avec les techniques utilisées notamment par les services de sécurité lors de prises d’otages. «Cette manière de procéder n’est guère différente. Vous devez essayer de voir où en est votre interlocuteur, ce qui est nettement plus difficile avec des professionnels qui font cela tous les jours. Souvent, je commence à parler de mes enfants ou du menu du repas du soir. ‘Je m’en occupe, mais je vais d’abord dîner’. Un criminel de rue va répondre ‘Bon appétit’, alors qu’un membre de Conti ne lâchera rien.»
«Il est impossible de recourir à l’empathie tactique, enchaîne Svendsen. En effet, c’est simplement une ‘chatroom’ avec deux personnes. Pour eux, c’est simplement faire du commerce. D’ailleurs, ils ne savent souvent même pas qui vous êtes.»
Payer ou ne pas payer?
Reste la question de savoir si au bout du compte, après avoir épuisé les différentes options, vous verserez la rançon. «Les services de police déconseillent fortement de négocier avec les pirates parce que cela peut alimenter leurs activités et que vous n’avez aucune garantie, fait remarquer De Munter. Il s’agit bien sûr aussi d’un dilemme moral puisque vous soutenez ainsi une organisation criminelle. Et en tant qu’administration publique, c’est encore plus délicat puisque vous utilisez l’argent du contribuable, tandis que le propriétaire d’une entreprise peut faire ce qu’il veut.»
“Pirater n’a vraiment rien de difficile”
Une position que confirme Svendsen qui a bel et bien négocié des rançons. «Le conseil selon lequel il ne faut pas payer est comme le conseil de ne pas cliquer sur un lien suspect. Parfois, on n’a pas de chance et si l’on se retrouve dans une situation où les sauvegardes ont été détruites et que tout est perdu, vous n’avez pas d’autre choix en tant qu’entreprise. Nous avons déjà rencontré des situations où le choix se situait entre payer pour restaurer l’activité ou fermer boutique.»
L’expérience de Baudewijns tend à montrer qu’environ 70% des victimes finissent par payer la rançon réclamée. «Parce que le client n’a pas d’autre choix, mais aussi pour des questions économiques. Combien de temps la restauration du système prend-elle et quel temps peut-on gagner avec les clés de décryptage? Très souvent, il apparaît que le premier jour qui suit le piratage, l’équipe ou le CEO refuse de payer, mais qu’après 3 jours, cette piste est envisagée.»
Mais même dans cette dernière éventualité, tout n’est pas fini pour autant, avertit-il. «Même une fois la somme versée, il faut des semaines de travail. Vous recevrez sans doute les clés, mais c’est alors que débute le vrai travail, car votre réseau a été compromis. L’avantage des clés est de permettre aux employés de se remettre rapidement au travail. L’entreprise devrait être en mesure de retravailler après quelques semaines, mais tout restaurer prend beaucoup plus de temps.»
Entre-temps sur le ‘dark web’
L’une des manières d’écouler rapidement le montant d’un rançongiciel est le ‘dark web monitoring’ qui permet de consulter les vulnérabilités et mots de passe disponibles, et de voir si votre organisation est ou non concernée. Nous sommes entre-temps familiarisés avec les bases de données de HavelBeenPwnd, qui permettent de vérifier si vos comptes ont été rendus publics à la suite d’un piratage. Mais certaines entreprises, comme la belge Secutec, surfent sur des sites spécialisés à la recherche d’informations qu’elles communiquent à leurs clients. « Nous agissons sur le ‘darknet’ comme une organisation de rançongiciel, confie Geert Baudewijns, CEO de Secutec, ce qui nous permet d’avoir accès à de très nombreux identifiants. Nous pouvons ainsi consulter les informations sur 40.000 à 50.000 victimes par semaine. » Il s’agit notamment de mots de passe de collaborateurs qui ont été dérobés grâce à des ‘password stealers’ et qui permettent d’hameçonner un employé négligent dans une organisation. Parfois, les informations ainsi récoltées peuvent permettre de se brancher directement sur le réseau interne.
« Pirater n’a vraiment rien de difficile, estime Baudewijns. « Bon nombre de gens le croient, mais avec les bons outils et les infos correctes, la tâche est simple. Tout qui accède à ces informations peut pirater un système. » Secutec travaille notamment pour la Police et la Justice belges. « Nous avons connaissance de milliers de victimes par semaine et nous sélectionnons par pays ce que nous pouvons trouver avant de transmettre les informations aux autorités », précise encore Baudewijns. Pour les entreprises, Secutec offre des services similaires qui peuvent servir en quelque sorte d’avertissement préalable. Ainsi, une entreprise peut savoir si des identifiants internes risquent d’être dérobés par des criminels.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici