Bilan

Profession: négociateur de cyber-rançons

Leur mission: traiter avec les hackers lors de cyberextorsion. Deux professionnels racontent leurs stratégies, à la fois technique et psychologique.

Dans 30 à 60% des cas, les entreprises décident de négocier le paiement de la rançon, affirme Steven Meyer, CEO de Zendata.

Crédits: DR

Menaces, bluff, rupture des discussions, reprise des pourparlers: sur le chat qui maintient le contact avec les cybercriminels, l’échange est psychologiquement éprouvant. Les cybernégociateurs Steven Meyer, CEO de Zendata (Genève) et Tobias Ellenberger, COO de OneConsult (Zurich) savent que dans ces instants critiques se joue la survie de leurs clients victimes d’une attaque au «rançongiciel». Sans accès à leurs données, aux mains des assaillants, l’activité est paralysée. En jeu: trouver un accord et limiter l’onde de choc, comme celle qu’a subie la commune de Rolle en août dernier. Face au refus de céder à leur chantage, les hackers avaient inondé le darknet de quantité d’informations sensibles, y compris fiscales, plongeant l’administration communale dans une crise sans précédent.

Loin d’être anecdotique, ce cas de figure s’ancre désormais dans le quotidien de Steven Meyer et Tobias Ellenberger, qui disent recevoir «2 ou 3 appels par semaine» de dirigeants d’entreprises désemparés. Tout commence en général à l’arrivée du premier employé qui tente de se connecter. En lieu et place de l’interface habituelle, une page d’accueil, parfois assez professionnelle, indique que les données sont encryptées et propose une marche à suivre pour payer une rançon et en recouvrer l’accès. La direction est prévenue, qui choisit soit d’appeler la police, soit directement un prestataire en cybersécurité.

Tobias Ellenberger, COO de Oneconsult, parle de «crime organisé et structuré». (DR)

«Tous types d’entreprises nous contactent, mais surtout des TPE et PME qui n’ont pas forcément de cellule spécialisée dans l’entreprise», note Steven Meyer. Tobias Ellenberger précise que «les attaquants scannent les entreprises à la recherche d’une faille, type un patch non installé sur un VPN ou un firewall», puis calibrent le montant demandé, en cryptomonnaies, en fonction des informations financières publiques ou trouvées lors de l’intrusion. De quelques milliers de francs à près de 10 millions pour des entreprises de plus de 1000 employés. Face au risque réputationnel et humain (dépôt de bilan, licenciements), les entreprises décident souvent de négocier le paiement de la rançon. «Entre 30 et 60% des cas», selon Steven Meyer.

Une course contre la montre s’engage alors entre des hackers qui poussent à payer rapidement et les spécialistes en cybersécurité qui cherchent à gagner du temps. Dans beaucoup de cas, les back-up ont été effacés, mais il faut sécuriser l’infrastructure dans laquelle les pirates sont encore présents. «On doit tenter de résoudre le problème, échafauder les coûts selon les différents scénarios, comme payer ou non, si oui combien, et tenter d’identifier à qui on a affaire en face», relève Tobias Ellenberger.

Un compte à rebours s’enclenche, avec date et heure limites

S’il reste difficile de connaître l’origine géographique d’assaillants cachés derrière des VPN, certaines allusions semblent claires. «Récemment, on m’a donné rendez-vous sur le chat pour discuter de la rançon le lendemain à 10 h, heure de Moscou», souligne Steven Meyer. L’expert remarque par ailleurs que ses interlocuteurs disposent de maigres connaissances techniques, suggérant ainsi qu’il s’agit de négociateurs professionnels. Un sentiment que partage Tobias Ellenberger: «Il s’agit de crime organisé, structuré, avec des «bureaux» distribués partout dans le monde.» Très professionnelles, les compagnies de hackers offrent un service support, qui fournit une aide rapide et précise pour acquérir la cryptomonnaie nécessaire au paiement de la rançon. «Plus diligent qu’un service télécom», s’amuse Tobias Ellenberger, tandis que Steven Meyer note l’empressement des hackers: «Un compte à rebours est enclenché avec date et heure limites. Ils proposent des discounts importants si on paie tout de suite, également souvent 25% si on choisit le monero, une crypto intraçable, plutôt que le bitcoin.»

Exemple d’interface indiquant l’encryptage des données et la marche à suivre pour les récupérer. (DR)

Gagner du temps et de l’argent est un exercice périlleux auquel se livrent les négociateurs, face à de véritables entreprises extrêmement organisées. Parmi les argument les plus souvent mis en avant, le fait de devoir «passer par le comité de direction au-delà de 100 000 francs, ce qui peut prendre une semaine». Ou encore le fait de ne rien connaître à la crypto, ou d’avoir des limitations de sa banque vers les exchanges cryptos. Certains négociateurs développent une approche psychologique rationnalisée où l’on incarne un personnage de chef d’entreprise, avec des caractéristiques précises favorables à la négociation, ainsi qu’une situation d’entreprise (voulue délicate). Des montants cibles et maximaux acceptables de payer par le client sont définis, en accord avec lui. «L’idée est d’être cohérent dans la discussion et de créer un climat avec le hacker, tout en restant rivé sur les objectifs», relève Tobias Ellenberger.

Quels résultats à la clé? «Dans 90% des cas on peut faire baisser la rançon», estime Tobias Ellenberger, tandis que Steven Meyer évalue à «50% en moyenne, mais très variable», l’ampleur du discount obtenu. Reste le risque que l’attaquant revienne. Si les criminels les plus pros offrent le décryptage d’un fichier pour preuve qu’ils ont la clé, aucune certitude en la matière selon Tobias Ellenberger: «Il arrive qu’après paiement de 100 000 francs, seule la moitié des données soit décryptée et qu’ils exigent un deuxième paiement pour l’autre moitié. Ils peuvent aussi parfois revenir. C’est aussi pour cela qu’il faut gagner le plus de temps possible, pour identifier qui on a en face, et ainsi évaluer leur sérieux avant de payer.»


Cyberextorsion «as a service»

Preuve de la professionnalisation croissante du cybercrime, le «ransomware as a service» offre aux non-initiés la possibilité de se lancer dans la cyberextorsion, pour un abonnement mensuel à partir de 40 dollars. Communauté, chat, service de support, les attaques Revil ou encore Lockbit fleurissent. Ce dernier est encore impliqué dans le hacking d’Accenture en août, pourtant parmi les leaders mondiaux de l’IT.

Joan Plancade
Joan Plancade

JOURNALISTE

Lui écrire

Journaliste économique et d’investigation pour Bilan, observateur critique de la scène tech suisse et internationale, Joan Plancade s’intéresse aux tendances de fonds qui redessinent l’économie et la société. Parmi les premiers journalistes romands à écrire sur la blockchain -Ethereum en particulier- ses sujets de prédilection portent en outre sur l'impact de la digitalisation, les enjeux de la transition énergétique et le marché du travail.

Du même auteur:

Les sociétés de conseil rivalisent avec l’IMD
Comment la sécurité se déploie aux frontières entre la France et la Suisse

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info


Merci de votre inscription
Ups, l'inscription n'a pas fonctionné
Image Footer

"Tout ce qui compte.
Pour vous."