peterzayda - stock.adobe.com
Renseignement sur les menaces : des limites des échanges avec les cybercriminels
Un chercheur de Huntress a fourni des informations à un cybercriminel sur l'intérêt que lui porte le FBI. Rien d'illégal, assure le CEO, qui y voit un « manque de discernement ».
Quand communiquer avec les cybercriminels va-t-il trop loin ? Où se trouve la ligne rouge pour des chercheurs qui n'obtiennent les informations les plus utiles qu'en établissant la confiance ? Le débat est ouvert.
Aux yeux du public, tout commence la semaine dernière. À ce moment-là, Ben F. accuse Huntress de cacher un « sérieux incident de sécurité » : « l'incident en question porterait gravement atteinte à la réputation de Huntress et, à mon sens, continue de mettre les clients en danger. À l'approche d'une introduction en bourse, il semble que leur priorité n'ait pas été la transparence, mais plutôt d'empêcher que cette affaire ne soit révélée à la presse », indique-t-il ouvertement sur LinkedIn.
Car, juge-t-il, « si vous êtes employé dans une entreprise spécialisée dans la cybersécurité, vous ne devez pas aider les cybercriminels. Vous ne devez pas les informer des enquêtes en cours. Vous ne devez pas vous livrer vous-même à des activités cybercriminelles ».
C'est à la suite de l'incident en question, impliquant le cybercriminel connu sous le pseudonyme Devman, que Ben F. a démissionné, fin décembre 2025.
Dans un billet de blog, Kyle Hanslovan, CEO et co-fondateur de Huntress, explique que l'entreprise « autorise les chercheurs spécialisés dans les menaces à entrer occasionnellement en contact avec des acteurs malveillants lorsque cela s'avère utile pour la recherche et le développement proactifs et/ou pour soutenir des enquêtes en cours ».
Et d'assurer : « nous avons mené plusieurs enquêtes et n'avons trouvé aucune preuve de comportement illégal ou de menace interne ; nous avons également consulté les forces de l'ordre, qui sont parvenues à la même conclusion. Lorsque des inquiétudes ont été soulevées, nous avons procédé à un audit approfondi de nos systèmes et n'avons trouvé aucune preuve d'accès non autorisé, de divulgation de données de partenaires ou de clients, ni d'exposition du code source ou des données opérationnelles ».
Reste que, « lors d'un échange en particulier, l'un de nos collègues actuels a révélé à un acteur malveillant que les forces de l'ordre l'avaient contacté au sujet de cet acteur malveillant. Bien que cette divulgation n'ait pas été illégale, elle témoignait d'un manque de discernement ».
Que s'est-il passé ? Selon Ben F., « le FBI a contacté l'employée de Huntress afin de recueillir des renseignements sur Devman. Elle a immédiatement transmis l'intégralité des communications du FBI à l'acteur malveillant, y compris des captures d'écran mentionnant les noms des agents du FBI ».
De nombreux chercheurs en renseignement sur les menaces sont entrés en contact avec Devman depuis l'ouverture de sa propre enseigne de rançongiciel l'an dernier. Nous avons encore échangé fin décembre dernier avec lui, pour l'interroger sur une cyberattaque en Egypte remontant à l'été. Depuis, il semble avoir au moins pris du recul et disparu des ondes.
