« Pourquoi est-ce aussi cher ? Bonjour ? ». Les deux messages ont été envoyés le 17 avril 2025 à une vingtaine de minutes d’intervalle. Quelques minutes plus tard, la réponse du cybercriminel affilié au dangereux groupe Lockbit fuse, à la fois ironique et menaçante. « Nous connaissons le chiffre d’affaires de votre entreprise. C’est la société qui paie, pas le département de l’informatique ». Après avoir demandé l’équivalent de 100 000 dollars américains, le cybercriminel va tenter d’extorquer 70 000 dollars à sa cible, victime d’une attaque par rançongiciel, ces programmes malveillants qui verrouillent vos données pour extorquer une rançon contre leur libération.
Bienvenue dans le monde interlope de la négociation de rançon. De manière ironique, l’ancien leader de l’industrie criminelle du rançongiciel, déjà déstabilisé depuis février dernier par l’opération policière Cronos, vient d’être lui-même victime d’une fuite de données. Le 7 mai dernier, un mystérieux hacker a réussi à prendre le contrôle du site de Lockbit sur le dark web et en a profité pour divulguer une base de données interne. C’est une véritable mine d’or pour tous ceux qui veulent mieux comprendre la façon dont opèrent ces cybercriminels.
« Ne me dites pas un prix qui va me donner une crise cardiaque »
On retrouve en effet dans ce fichier SQL un mélange d’adresses de portefeuilles de cryptomonnaie Bitcoin et Monero. Plus de 60 000, selon les différents décomptes, des identifiants d’affiliés et une masse considérable de messages entre les cybercriminels et leurs victimes, datés de décembre 2024 à avril 2025. Numerama s’est plongé dans ces milliers de messages.
La plupart du temps, les échanges se déroulent en anglais. « Hello boy », demande toutefois l’une des victimes, le 8 janvier. « C’est combien pour respirer », ajoute-t-elle le lendemain en français. « C’EST 100 MILLE », lui répond le cybercriminel. Un montant qui donne le vertige.
Premier enseignement : très peu d’organisations victimes passent en réalité à la caisse, avec des rançons généralement assez basses, parfois de seulement quelques milliers de dollars. « J’ai assez de clients, certains paient, d’autres non », observe l’un des cybercriminels, le 15 février.
Pour l’entreprise de cybersécurité Analyst1, c’est aussi la preuve qu’il s’agit d’affiliés sans « grande expérience » au « comportement douteux ». Exemple avec cet échange qui commence le 5 janvier : le cybercriminel demande une rançon de 40 000 dollars. Une somme, assure la victime, totalement disproportionnée par rapport à ses moyens.
« Ne me dites pas un prix qui va me donner une crise cardiaque, s’insurge-t-elle. C’est mon salaire pendant six ans, je ne peux pas gérer une telle somme ». Et de proposer une rançon bien plus modique, 1 000 dollars. « Vous pouvez faire mieux », répond laconiquement le cybercriminel.
Des remises parfois importantes
Reste que d’autres affiliés repérés sont eux bien plus « professionnels ». Comme Christopher, le cybercriminel le plus actif en volume dans les échanges qui ont fuité, note l’entreprise de traçage crypto TRM Labs. « Bien qu’il soit intransigeant sur les délais, il évite l’agressivité manifeste et s’appuie plutôt sur un langage de confiance, le professionnalisme et un suivi méthodique », souligne l’entreprise.
Dans cet autre échange daté de la fin décembre 2024, la rançon est fixée initialement à 80 000 dollars. Deux heures plus tard, le cybercriminel propose une « remise » de 20 %. Merci, lui répond-on trente minutes plus tard, mais « nous sommes encore très loin de ce que nous pouvons réellement payer ». Quinze minutes plus tard, l’organisation victime envoie un nouveau message pour préciser les choses. Non, elle ne veut pas manquer de respect, elle souhaite simplement trouver une solution « compte-tenu de nos limites de trésorerie en fin d’année. ».
« Je sais que vous vous en fichez de nous, c’est juste un business pour vous, certains paient », ajoute-t-elle. Le lendemain, le 24 décembre, le cybercriminel descend à 50 000 dollars. Une somme finalement versée, après avoir proposé 30 000 dollars, le 27 décembre.
« Vous me proposez 10 000 ? »
Mais d’autres victimes arrivent à obtenir un rabais encore plus important. Cette organisation visée au début du mois de mars est sommée de payer une rançon de 90 000 dollars pour déchiffrer ses fichiers. « Nous sommes une petite entreprise, pas une grosse entreprise », signale la victime. « J’essaie de vous proposer un prix adéquat et vous me proposez 10 000 ? », s’étonne le cybercriminel.
« Notre part de marché diminue d’année en année, et nous sommes toujours dans des difficultés », explique l’organisation victime. Elle va tenter de jouer la carte de l’humour pour amadouer la personne qui essaye de l’extorquer. « Je peux vous appeler Robin des bois ? ». La conversation va se poursuivre sur plusieurs jours. Le cybercriminel, après avoir proposé 30 000 dollars, se plaint de perdre son temps dans des échanges inutiles. La rançon sera finalement payée le 17 mars.
Un autre affilié, Swan, va être derrière la plus grosse demande de rançon repérée dans le leak. Ce cybercriminel « exploite stratégiquement l’urgence, les menaces à la réputation et l’implication des victimes en aval pour contraindre au paiement », remarque TRM Labs. Le 22 avril 2025, ce dernier exige le paiement d’une rançon de 2 millions de dollars.
Un possible négociateur dans la boucle
Réponse de l’organisation victime ? Elle a réussi à rassembler 1,281 million de francs suisses, soit l’équivalent d’environ 1,5 million de dollars. Une somme importante difficile à changer en bitcoin, rappelle-t-elle. « Si vous pouvez baisser un peu le prix — probablement à 1,6 ou 1,7 million — ils pourraient probablement payer d’ici mardi ou mercredi, c’est ce que nous pouvons offrir pour le moment », indique l’interlocuteur des cybercriminels, sans doute un négociateur au vu des montants évoqués.
Mieux vaut, en effet, passer par des pros, en témoigne cet échange surréaliste débuté le 3 février 2025. Au fil des messages, le représentant de la victime, sommée de payer une rançon de 30 000 dollars, finit par suggérer une nouvelle cible. « Ils sont très riches, si vous réussissez [à les pirater], n’hésitez pas à demander davantage », suggère-t-il. Avant de mettre ensuite les pieds dans le plat en proposant ses services. « Bro, j’aimerais te demander conseil. Si je veux gagner un peu d’argent de côté, mais en toute sécurité, comme toi, as-tu des conseils à me donner ? »
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !
