Israël en guerre - Jour 201

Rechercher

Profession : négociateur de cyber-rançons

Un ancien membre de l'unité de renseignement militaire israélienne connue sous le nom de "8200" explique son travail quelque peu atypique

Illustration : Outil de cybersécurité. (Crédit : Stock Depot via iStock par Getty Images)
Illustration : Outil de cybersécurité. (Crédit : Stock Depot via iStock par Getty Images)

Lorsque des cybercriminels s’en prennent à une entreprise, menacent de divulguer ses données sensibles ou de faire chuter son cours en Bourse, il existe une solution : faire appel à des négociateurs spécialistes des demandes de rançon.

Ces médiateurs d’un nouveau genre, qui ont souvent fait carrière au sein de la police ou du renseignement, sont de plus en plus nombreux à intervenir dans le monde virtuel.

L’un des principaux groupes de cybercriminels LockBit, présenté comme « le plus nuisible » au monde et ayant extorqué des dizaines de millions de dollars, a été récemment démantelé lors d’une opération de police internationale impliquant entre autres le Royaume-Uni, la France ou les Etats-Unis.

Parmi ses milliers de victimes figuraient des hôpitaux, des mairies, des établissements scolaires et de grandes entreprises.

Lors d’attaques telles que celles menées par LockBit, des groupes criminels – parfois soutenus par des États – parviennent à pirater des réseaux informatiques et exigent un paiement pour déverrouiller le système ou empêcher la divulgation de données ultra secrètes.

« Ce n’est pas le Far West : il existe un véritable marché, une énorme économie du rançongiciel », explique à l’AFP Ram Elboim, PDG de la société de cybersécurité basée aux Etats-Unis Sygnia, lors d’une visite à Londres.

Son rôle est de répondre aux demandes désespérées d’entreprises attaquées – qui figurent souvent dans le classement Fortune 500 des plus grosses compagnies américaines – en montant une équipe qui se rend sur place pour faire face aux criminels.

Au cœur de cette équipe se trouvent des négociateurs qui s’appuient sur leur expérience face aux criminels du monde « réel » pour servir d’intermédiaires, et tenter de déjouer l’attaque ou de s’entendre avec les pirates sur un prix une fois toutes les autres options épuisées.

« En général, nous recevons un appel le week-end ou au milieu de la nuit. C’est le moment où les organisations relâchent leur vigilance », relate M. Elboim.

Il faut alors tenter d’identifier la nature de l’attaque, puis comment les hackers se sont introduit dans le réseau, quels systèmes sont tombés en panne, et comment contenir la propagation et éventuellement récupérer les données perdues.

« Ensuite, il faut négocier », dès que possible, souligne M. Elboim, ancien membre de l’unité de renseignement militaire israélienne connue sous le nom de « 8200 ». « Car même s’il n’a pas un pistolet sur votre tempe, il s’agit bien d’un criminel qui menace votre entreprise ».

En général, les agresseurs laissent 72H aux victimes pour payer. « L’objectif de la négociation est d’avoir plus de temps ».

Les négociateurs, en effet, tentent d’extirper un maximum d’informations à ces cybercriminels. Ils établissent pour cela un canal de communication avec eux, au travers d’une application de messagerie ou courriel électronique, pour tenter de comprendre ce qu’ils recherchent, et si l’attaque peut être attribuée à un groupe spécifique.

Dans le meilleur des cas, « nous faisons durer les négociations » suffisamment longtemps pour glaner assez d’informations, « expulser » les criminels et récupérer les données.

Dans le pire scénario, quand le système informatique semble perdu et que des données cruciales sont sur le point d’être divulguées, les entreprises doivent alors décider – ou non – de payer.

« Certaines refusent par principe. D’autres sont prêtes à payer, mais veulent faire baisser le prix », ce à quoi s’attèlent alors les négociateurs.

Même si la société paye la rançon et que son réseau est à nouveau accessible, difficile de crier victoire car débute alors un long processus de rétablissement.

Mais la satisfaction de réussir une mission reste considérable, souligne Ram Elboim.

« Nous avons un jour travaillé sur une attaque menée contre une multinationale, qui était totalement à l’arrêt », se souvient-il. Après avoir repoussé les assaillants, « l’un des gardiens à l’entrée nous a dit: ‘Merci d’avoir sauvé mon travail’ (…) C’est l’un des moments les plus gratifiants que l’on puisse vivre ».

En savoir plus sur :
S'inscrire ou se connecter
Veuillez utiliser le format suivant : example@domain.com
Se connecter avec
En vous inscrivant, vous acceptez les conditions d'utilisation
S'inscrire pour continuer
Se connecter avec
Se connecter pour continuer
S'inscrire ou se connecter
Se connecter avec
check your email
Consultez vos mails
Nous vous avons envoyé un email à gal@rgbmedia.org.
Il contient un lien qui vous permettra de vous connecter.