L’arrêt de la production après une cyberattaque peut provoquer des pertes quotidiennes de plusieurs millions d’euros. Pour les grands groupes qui se retrouvent dans l’impasse, des négociateurs sont appelés en urgence pour trouver une « solution » avec les cybercriminels.

15 millions de dollars. C’est la somme versée par le Caesar Palace, célèbre casino de Las Vegas, au groupe de hackers Scattered Spider, pour retrouver son réseau après une cyberattaque. Machines à sous éteintes, réservation des clients de l’hôtel en panne, les pertes quotidiennes sont colossales pour un tel établissement. Le casino MGM, également touché par une cyberattaque au même moment, aurait perdu 8,4 millions d’euros par jour de paralysie informatique.

Dans ces cas extrêmes où les dommages peuvent mener à la faillite de l’entreprise, la victime n’a d’autres choix que de payer la rançon aux cybercriminels. Comme dans les cas de kidnapping, les grands groupes font appel à des négociateurs pour s’en tirer au meilleur prix.

Mike travaille pour l’une des plus importantes sociétés de gestion de crise dans le monde. Dans son équipe, d’anciens militaires, policiers, expert des situations anxiogènes, des négociations d’otages et depuis 2016, des cyberattaques. Leurs services sont généralement proposés par des assurances aux sociétés victimes d’incident cyber.

« La première étape pour nous est de savoir à qui nous avons affaire : quel est leur mode opératoire, comment ont-ils procédé par le passé, ont-ils l’habitude de ces situations… Nous avons des équipes de recherche sur la menace, pour étudier régulièrement le milieu du cybercrime et calibrer nos futures stratégies », nous explique Mike.

La plupart des hackers agissent assez ouvertement sur des forums, parfois russophones, où ils interagissent avec d’autres cybercriminels. Ces plateformes permettent de comprendre les dynamiques dans les milieux frauduleux.

Les premiers gestes après un piratage

« La seconde étape consiste à faire un état des lieux. Rappelons que la règle est de ne pas payer les pirates, on doit donc s’assurer que tout soit mis en œuvre pour éviter cette finalité. Il faut à la fois être rapide, puisque le temps d’arrêt fait perdre de l’argent, et précautionneux, pour comprendre clairement ce que le pirate détient. Une fois que l’examen complet a été réalisé, on se pose l’ultime question : sommes-nous obligés de payer la rançon ? » raconte l’expert en situation de crise. Le secteur d’activité de l’entreprise influence énormément son choix, une manufacture à l’arrêt peut se trouve rapidement dans l’impasse, tout comme une startup qui a numérisé tous ses services. Les pirates comprennent l’état de détresse de leur victime.

« Nous recommandons de ne jamais répondre aux cybercriminels. Généralement, ces derniers laissent un message, des coordonnés pour les contacts. Se lancer dans une discussion avec eux est une première erreur. Elle donne un ascendant aux pirates qui pourront commencer à vous manipuler », avertit Mike.

« Lorsque nos experts se lancent dans une négociation avec eux, ils agissent comme avec n’importe quels kidnappeurs, comme si une vie était en jeu. Les échanges sont parfois très similaires à ceux d’un kidnapping. »

Depuis près de quatre ans, les plus importants gangs de hackers dans le monde ont adopté le modèle du ransomware-as-service. Concrètement, un groupe de pirates fait louer un logiciel malveillant, clé-en-main, à d’autres confrères qui se chargent de hackers des entreprises. S’ils réussissent leur mission, une plateforme est à disposition pour revendiquer l’attaque, négocier avec les victimes, et publier les données sensibles si celle-ci refuse de payer.

La revendication du piratage sur le site darknet de Lockbit. // Source : Numerama
La revendication de piratage de la marque Nuxe sur le site darknet de Lockbit, avec la rançon exigée. // Source : Numerama

Des gangs de plus en plus professionnels

« Les plus célèbres gangs de cybercriminels ont des milliers de victimes aujourd’hui. On peut réunir de nombreuses informations sur leur mode opératoire : les montants des rançons, la durée des échanges et leur prédisposition à négocier. Certains groupes sont bien plus ouverts que d’autres », continue-t-il.

Avec le temps, des collectifs cybercriminels tels que Lockbit, Conti ou ALPHV/BlackCat sont devenus des enseignes professionnels avec des employés dédiées à des tâches spécifiques. « Ils travaillent comme des entreprises, et dans les échanges, vous comprenez qu’ils ont une personne dédiée à la négociation en anglais par exemple », ajoute Mike.

« Ces gangs se doivent d’être assez prévisible. S’il n’y pas une certaine rigueur dans les discussions et les résultats que l’on peut en tirer, personne ne voudra payer, car on ne pourra leur faire confiance. Bien qu’on ne puisse jamais faire pleinement confiance à un criminel. Le dialogue reste néanmoins courtois et assez professionnel. Nous ne dévoilerons pas les arguments que nous avançons face aux hackers pour éviter qu’ils anticipent nos négociations. »

« La réputation de l’entreprise est en jeu à chaque message »

Les groupes comme Lockbit affichent parfois ouvertement les échanges avec la victime sur le site darknet. « Il faut savoir que la conversation peut être publique. La réputation de l’entreprise et sa relation avec les clients est en jeu à chaque message », précise l’expert.

Le gang ALPHV/BlackCat a d’ailleurs récemment dévoilé que des discussions avec un négociateur ont échoué, après une attaque contre VF Corporation, la maison-mère des marques North Face et Vans. « Ils ont proposé une somme nettement inférieure au prix demandé, et nettement inférieure à leur couverture. Ils espéraient ainsi préserver leur bilan. Cela montre la capacité de réflexion critique de leurs dirigeants », ont déclaré les pirates.

Les pirates se font ghoster par Continental. // Source : Numerama
Pour Continental, les hackers ont publié les messages envoyé à l’entreprise attaquée. // Source : Numerama

Un cadre strict en France

« Cette année, nous avons eu beaucoup de vol de données depuis des failles dans un logiciel. Les hackers se fatiguent moins à paralyser tout le réseau, et dérobent discrètement ce qu’il y a de plus sensible avant de commencer leur chantage.» Des vulnérabilités dans des logiciels tels que MoveIt ou Citrix ont provoqué les plus importantes attaques de 2023.

Les négociations varient-elles en fonction du pays où se situe la victime ? « Les cultures d’entreprises varient, en effet, selon les secteurs et le pays. La France impose un cadre assez strict avec de nombreuses règles. Nous sommes moins enclins à travailler dans ce cadre. »

Notons aussi que l’administration française a pour principe de ne jamais payer les pirates, puisque les fonds publics ne doivent pas financer les criminels. Sans compter que les hackers exigent le plus souvent des sommes lunaires. En mai dernier, la mairie de Mandeure, commune de 5 000 habitants dans le Doubs, avait reçu une demande de rançon de 5 millions de dollars (environ 4,5 millions d’euros) après une cyberattaque. Autant dire que le retour aux crayons et cahiers pour un temps sera privilégié par la mairie.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !