Enquête sur la face cachée des ransomwares : les négociations

Les attaques par rançongiciel se sont multipliées depuis le début de l’année. L’été n’a accordé aucun répit, loin de là. Et l’automne ne s’annonce guère meilleur, notamment avec l’arrivée de nouveaux cyberdélinquants menaçant de divulguer les données dérobées en cas de refus de paiement, aux manettes des ransomwares DarkSide,Conti et encore SunCrypt.

Beaucoup d’organisations affectées refusent de céder au chantage. Cela vaut pour celles dont certains cybertruands étalent les noms sur leurs sites Web, mais aussi pour d’autres dont les noms ne sont pas rendus publics, y compris lorsque l’attaque est combinée avec un vol de données. La faute à un échantillon dérobé trop maigre ? À une trop faible valeur ? Les montants parfois demandés par les assaillants peuvent le laisser à penser : 1 000 $ ? Après tout, pourquoi insister alors que d’autres cibles peuvent potentiellement rapporter deux cents fois plus ?

D’autres négocient et finissent par payer, parfois avec des rabais conséquents. Les importantes mesures de confinement à travers le monde au printemps semblent d’ailleurs avoir aidé en la matière. Dans un échange entre rançonneur et victime, courant juin, on pouvait ainsi lire du premier : « nous comprenons la situation Covid et fixons des prix bas ».

Pour payer sans que cela ne se voie trop, des organisations semblent, selon certaines négociations que nous avons pu observer, chercher à limiter le montant versé à… ce qu’elles ont de liquidités immédiatement disponibles. Dans un échange que nous avons pu suivre, la victime explique ainsi appeler son comptable « pour voir combien nous pouvons retirer de tous nos comptes ». Déjà abaissé à un peu plus de 30 000 $, le montant demandé sera ramené ensuite à moins de 25 000 $. Le cas n’est pas isolé.

Une victime, outre-Atlantique, se voyait ainsi demander 250 000 $ initialement. Un montant ramené rapidement à 50 000 $. Faisant tous les fonds de tiroirs, l’entreprise a finalement proposé un chiffre de l’ordre de 40 000 $. Son responsable informatique est depuis parti travailler ailleurs. Dans son échange avec les cyberdélinquants, il assurait que l’incident lui coûtait son poste.

Reste que nombre de ces organisations semblent partir de très loin en matière de sécurité de leur système d’information. Il n’est pas rare qu’elles demandent à leurs assaillants des détails sur le vecteur d’intrusion et des conseils pour mieux sécuriser leur SI. Des demandes qui sont soit ignorées – « mon client pense que [vous êtes entrés] par un service RDP, vous confirmez ? » –, soit accompagnées… d’une facture – « ce sera 5 000 $ de plus ».

L’échange entre les rançonneurs de Carlson Wagonlit Travel (CWT) et la victime constitue une remarquable illustration de ces comportements. Jusqu’à confiner au pathétique en soulignant l’indifférence totale des cybertruands pour leurs victimes : l’interlocuteur de CWT a ainsi demandé rien moins que trois fois l’effacement de la conversation, s’inquiétant manifestement de tiers semblant la suivre. De fait, cela n’a pas empêché qu’elle soit consultée par de nombreuses personnes. Et la demande de conseils pour renforcer la posture de sécurité de l’entreprise ne fait que renforcer le sentiment d’amateurisme.

Et puis se pose naturellement la question des négociateurs. Dans un échange que nous avons pu suivre, l’un d’entre eux fait preuve d’une nonchalance impressionnante, blasé au point que l’on est tenté de s’interroger sur sa loyauté à l’égard de la victime des cyberdélinquants. Soulignant le nombre de cas sur lesquels il est intervenu, le négociateur lance ainsi aux rançonneurs : « nous sommes en train de devenir collègues ».

Les cyberdélinquants aux manettes des ransomwares apparaissent ainsi bien moins soucieux qu’ils n’aiment à le prétendre des intérêts et de l’image de leurs victimes. Et cela semble valoir aussi pour certains négociateurs. De quoi, peut-être, encourager à ne pas même engager le dialogue, quitte à accepter de prendre d’autres risques.

Selon nos observations, des victimes comme le brasseur australien Lion ou l’assureur français MMA n’ont pas même discuté avec leurs assaillants. Ce ne sont pas des exemples isolés. De quoi, peut-être, aider à considérer comme des martyrs inspirants, ceux que les cybertruands affichent comme des trophées.