alfa27 - stock.adobe.com

Conseil

Ransomware : faut-il négocier avec les cybercriminels ?

Certains préfèrent ignorer les sollicitations – parfois insistantes – des assaillants et travailler à restauration de leurs systèmes chiffrés en silence. D’autres préfèrent négocier, ou du moins discuter. Pourquoi ?

Valéry Rieß-Marchive
par
Publié le: 12 déc. 2024

« Il n’y a pas eu de demande de rançon ». Cette phrase est un classique des déclarations publiques de victimes de cyberattaque avec rançongiciel. Elle n’implique pas que les assaillants ne cherchent pas à extorquer leur victime.

De fait, si certains cybercriminels affichent leurs prétentions directement dans une note déposée – notamment – à l’occasion du déclenchement de leur ransomware – et donc du chiffrement des données des systèmes affectés – c’est loin d’être toujours le cas. 

Ladite « note de rançon » est ainsi particulièrement mal nommée : elle ne contient bien souvent que des instructions pour entrer en contact avec les attaquants. 

Car les acteurs affiliés aux enseignes ayant pignon sur rue – celles disposant d’une vitrine où elles exposent leurs victimes, et généralement leurs données – sont prêts à négocier. Certains de ces acteurs, à commencer par l’opérateur de la célèbre franchise mafieuse LockBit 3.0, ont même la réputation d’être particuliers doués à cela. 

Dès lors, « il n’y a pas eu de demande de rançon » signifie qu’aucun contact n’a été établi avec les attaquants et que ceux-ci n’ont pas ainsi eu l’occasion de poser leurs exigences.

Ces négociations peuvent se dérouler dans des interfaces Web dédiées, par e-mail, sur la messagerie chiffrée Tox ou encore Session, voire même Telegram. Mais faut-il les engager ?

Choisir de ne pas discuter

Certaines victimes préfèrent ne pas entamer la conversation avec les assaillants. Elles évoquent notamment la crainte de les « provoquer » et de les encourager à révéler la cyberattaque au public ou d’accélérer la divulgation de données volées. 

Sans accompagnement par un professionnel, il est possible qu’il n’y ait pas grand-chose à attendre d’une discussion directe avec les cybercriminels. Mais espérer que ces derniers ne revendiquent finalement pas leurs méfaits ni ne divulguent les données qu’ils ont volées apparaît peu réaliste. Ce n’est pas impossible ; cela a été constaté, mais miser dessus n’est peut-être pas la meilleure option en termes de communication de crise

Accessoirement, le silence peut entraîner l’effet contraire à celui souhaité. Des cybercriminels ont déjà appelé clients et partenaires de leur victime pour la pousser à la discussion – dans l’espoir de se faire payer en définitive. Tout récemment, un affidé de l’enseigne Nitrogen a publiquement fait état de son attaque en commentant une publication sur la page Facebook de sa victime.

David Corona est un ancien négociateur de crise au GIGN devenu négociateur de crises cyber au sein de la société qu’il a cofondée, In Cognita. Pour lui, ne pas entrer en contact avec les cybercriminels, c’est potentiellement contribuer à « faire s’éteindre de manière systémique ce mode de criminalité ». Car, explique-t-il, « pas discussion et pas paiement ; c’est l’arrêt d’un mode opératoire devenu non-lucratif ».

Engager une négociation n’implique pas de vouloir payer

Pragmatique, il reconnaît toutefois un intérêt à discuter avec les assaillants, et cela tout d’abord pour « prendre de l’info ». Là, les constatations lui donnent raison. 

L’une des premières demandes de victimes dans les négociations porte sur la liste des données volées. Pour beaucoup d’entreprises, l’établir à la découverte du chiffrement s’avère difficile, sinon impossible. Certains acteurs malveillants l’ont bien compris et semblent en jouer, comme en gage de bonne foi : les équipes de l’enseigne Conti avaient pour habitude de fournir une liste de 30 % des données volées. Celles qui ont poursuivi leurs activités sous la bannière d’Akira n’hésitent pas à fournir d’emblée et sans demande spécifique une liste présentée comme complète.

Une telle approche a également été constatée avec Hunters International. Quant au plus récent Safepay, il met fréquemment une telle liste en libre accès, directement sur son site vitrine, dès la publication de la revendication. Là, n’importe qui peut se faire une idée de ce qui a été volé, et quand, à partir des noms de dossiers et de fichiers figurant dans la liste.

David Corona voit un autre intérêt à la discussion : « gagner du temps sur une vente ou divulgation de données ». Là encore, des constatations lui donnent raison. Par exemple, Hoya a été attaqué par un acteur affilié à l’enseigne Hunters International début avril 2024. Il voulait 10 millions de dollars de rançon. Une conversation a été engagée. L’attaque n’a pas été revendiquée et les données n’ont pas été divulguées avant… la mi-juillet. Plus de trois mois plus tard.

Se prémunir d’un piège dans le piège

Mais il y a plus, pour David Corona : « vérifier que ceux avec qui on est en communication sont bien les attaquants et qu’il n’y a pas une arnaque dans l’arnaque ». 

De fait, les canaux de communications fournis par les cybercriminels ne sont pas fortement sécurisés : n’importe qui ayant accès à la note de rançon peut fréquemment venir observer la négociation ou s’y mêler à l’insu des parties concernées, dès lors que celle-ci se déroule dans une interface Web dédiée. 

Les enseignes Fog et Trinity sont aujourd’hui particulièrement vulnérables à ce type de risque, mais Akira n’est pas nécessairement mieux placé. Et que dire de celles dont les affidés vont jusqu’à imprimer la note de rançon sur toutes les imprimantes connectées aux postes chiffrés… lorsque certaines d’entre elles sont plus ou moins directement accessibles au public ? Une telle situation a été observée, par exemple, dans une chaîne de supermarchés en Afrique du Sud. 

Un tel tiers non invité pourrait aisément se positionner en faux négociateur, entre les attaquants et leur victime, pour son propre intérêt, au détriment des deux. Rien ne permet d’être certain que cela ne s’est jamais produit et certaines négociations passées, partagées publiquement après anonymisation, suggèrent que cela a déjà été soupçonné sinon avéré.

Et contribuer à une judiciarisation

Menée par un professionnel et avec l’accompagnement des forces de l’ordre, une négociation peut aussi être l’occasion de… « faire du piégeage ou de la rétro-ingénierie ». L’idée est là que discuter avec l’assaillant permet d’en apprendre plus sur lui, d’obtenir des informations susceptibles d’être utiles à des procédures judiciaires. 

Car les négociations sont également souvent marquées par des échanges de fichiers, pour en obtenir le déchiffrage à fin de test. Ces échanges impliquent souvent des plateformes grand public d’échange de fichiers : l’occasion, pour les enquêteurs, de demander leurs logs et d’accéder à des adresses IP utilisées par les cybercriminels.

C’est ce qu’explique David Corona : « collaborer avec les forces de l’ordre pour avoir de l’information sur les attaquants, des schémas et méthodes d’attaque, puis judiciariser tout cela en vue d’interpellations futures ». 

De quoi souligner l’importance de la transparence avec les forces de l’ordre, y compris – et surtout – si un paiement intervient en définitive.

Pour approfondir sur Menaces, Ransomwares, DDoS