Négocier permet de gagner du temps, mais le paiement de la rançon soulèvent des questions, notamment sur le plan éthique.

Êtes-vous à même de parler avec votre voleur ? Et si oui, comment ? Voici la problématique à laquelle sont confrontées tous les jours des victimes de rançongiciels. Car les gangs de ransomware ne chiffrent pas les données de leurs cibles par amusement. Sitôt cette opération effectuée, ils contactent leurs victimes pour demander une rançon. Ce qui peut prendre des formes surprenantes : Egregor lançait par exemple automatiquement l’impression de la note de rançon sur des imprimantes ou des machines à ticket de caisse.

Il existe désormais de nombreuses entreprises qui proposent leurs services d’assistance à la négociation, une conséquence de l’explosion des activités criminelles liées aux rançongiciels. En France, ces sociétés spécialisées recrutent notamment des anciens policiers, comme Christophe Caupenne, ancien chef de la cellule de négociation du Raid, l’unité d’intervention de la police nationale, qui travaille avec l’Institut Nera. Mais on retrouve également sur le marché des négociateurs des profils très différents. Florent Curtet, le patron de Neo Cyber, est un ancien black hat désormais reconverti dans le hacking éthique.

Source : Louise Audry pour Numerama

Faire redescendre la pression

Le travail de ces négociateurs ? D’abord de gagner du temps et de rétablir un équilibre entre la victime et l’attaquant. Il faut en effet pouvoir évaluer l’ampleur des dégâts puis commencer à préparer une stratégie, en donnant de la marge aux informaticiens chargés de remettre d’aplomb le système d’information. « On aide les chefs d’entreprises à ne pas faire d’erreur irrémédiable  », résume David Corona, un ancien du GIGN qui a fondé sa société de conseil, In_Cognita.

À ce titre, la négociation présente un intérêt. En faisant redescendre la pression, la victime peut vérifier que ses données sont bien chiffrées et voir s’il n’y aurait pas la possibilité de récupérer gratuitement la clé de déchiffrement. Ou encore vérifier qu’il n’existe pas tout simplement quelque part une sauvegarde qui permettra d’envoyer paître le cybercriminel. Ces échanges peuvent, en effet, être un moyen d’en savoir plus sur l’attaquant, voire même d’arriver à le piéger en le poussant à la faute.

À ce stade, il y a quelques erreurs à ne pas faire dans les échanges. Ne donnez pas de réponses négatives ou positives, pour reporter à plus tard la prise de décision. Kurtis Minder, le PDG de Groupsense, une firme américaine très active sur ce marché, conseillait également dans les colonnes du New Yorker d’essayer de manifester de l’empathie avec le pirate, par exemple en saluant ses compétences. Car même si l’attaque met en jeu la survie d’une organisation, s’énerver sur son clavier contre le cybercriminel ne risque pas de faire avancer les choses, au contraire.

Des échanges laconiques dans un anglais approximatif

Mais ne croyez pas pour autant que ces négociations soient une sorte de long confessionnal. Des experts décrivent plutôt des échanges laconiques de quelques mots, assez froids, où règne un anglais approximatif copié-collé depuis Google Translate. Il s’agit, en général, surtout d’évoquer le montant de la rançon. Un point où les négociateurs peuvent jouer un rôle, parvenant parfois à amener les cybercriminels à revoir leurs prétentions à la baisse, en présentant les réelles capacités financières de la victime.

L’ouverture même de la négociation suffit parfois à obtenir un premier rabais. Plutôt que d’acculer une entreprise à la faillite, certains cybercriminels se satisfont d’une somme moindre, surtout si elle est payée rapidement. Le hacker Florent Curtet indique avoir même pu obtenir le retrait de cinq attaquants contre des entités non lucratives et médicales françaises, qui n’étaient pas en mesure de payer une rançon. Mais dans d’autres cas, au contraire, comme le rapporte Tony Cook, interrogé par CNN, il va être très compliqué d’obtenir ne serait-ce qu’un rabais de 10 000 dollars.

« Un bénéfice malsain du paiement des rançons »

L’activité de négociation du montant de la rançon est cependant contestée par certaines entités. Il ne faut pas oublier en effet que le paiement d’une rançon permet in fine de financer une organisation criminelle. Le patron de l’Anssi, Guillaume Poupard, avait ainsi déploré le rôle néfaste de ces intermédiaires qui « tirent un bénéfice malsain du paiement des rançons ».

Dans une enquête très fouillée, Propublica avait également pointé le double jeu de certaines sociétés d’aide aux victimes de rançongiciel. Prétendant déchiffrer les fichiers volés, certaines d’entre elles négocient en réalité la rançon dans le dos des victimes, facturant au final des sommes « qui dépassent de loin le montant demandé par le pirate informatique », s’étranglait Bill Siegel, le P-DG de Coveware. « La plupart des sociétés d’assistance font cela », affirmait laconiquement l’un des opérateurs de Lockbit dans une interview récente.

Alors, que faut-il penser de l’intérêt de ce type de négociations avec des cybercriminels ? Si votre objectif est de gagner du temps, cela peut présenter certains avantages. Le négociateur peut également vous aider dans votre gestion de crise. Mais faites attention au prestataire que vous embauchez. Une société sérieuse vous facturera ainsi un taux journalier moyen pour sa prestation. Vous avez peur de ne pas faire le bon choix ? Surtout, ne restez pas seul face à l’attaquant. Allez porter plainte. C’est d’ailleurs ce qu’il faut faire dans tous les cas. Tournez-vous ensuite vers des juristes à même de vous épauler dans cette situation critique. Au final, gardez à l’esprit que ce sera à vous de décider de payer, ou non, une rançon. Rappelez-vous à ce sujet que les sommes extorquées peuvent encourager de nouvelles attaques. Et que le paiement de la rançon n’est jamais une garantie totale de retrouver les données volées.

Crédit photo de la une : Louise Audry pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux