Jeff Wichman (Semperis) "Les négociations de rançon sont plus difficiles dans le cyberespace que dans la vie réelle"

Pascal Coillet-Matillon

Ancien négociateur de rançon et aujourd'hui directeur de la réponse aux incidents chez Semperis, Jeff Wichman met en lumière les difficultés que posent les négociations avec des cybercriminels.

Quelles sont les étapes clés d'une négociation ?

Jeff Wichman, directeur de la réponse aux incidents chez Semperis. © Semperis

D'abord, le négociateur prend contact avec les attaquants via un portail en ligne hébergé dans le dark web. Il discute avec les hackers pour savoir s'ils ont effectivement extorqué des informations de l'organisation attaquée et s'ils peuvent les déchiffrer. Pour cela, il leur demande de le prouver en lui envoyant les fichiers qu'ils ont volés. Ces fichiers lui permettent de comprendre où ils sont allés dans le système d'information.

Ensuite, il suit leurs traces pour identifier les données qu'ils possèdent et trouver des informations sur le système qui s'est connecté au serveur de fichiers et vers lequel le serveur a envoyé des données. C'est comme le jeu du chat et de la souris : l'objectif est d'obtenir le plus d'informations possible sur les attaquants, ce qui permet d'accélérer l'enquête. En suivant leurs traces, il peut vérifier s'ils sont encore dans l'environnement et les en exclure le cas échéant.

Quel est le but du négociateur ?

Il essaie d'obtenir des garanties : que les hackers supprimeront toutes les données qu'ils ont extorquées après la négociation. Toutefois, pour ma part, je déconseille de les croire sur parole, car ce sont des criminels et on ne peut pas leur faire confiance. Et quand un client souhaite payer une rançon, il la négocie avec l'attaquant. Si le client ne souhaite pas la payer, il poursuit néanmoins son enquête en suivant ce processus pour évaluer l'impact potentiel du vol de données. Quand son enquête révèle que l'attaquant a obtenu des données sensibles, le client qui ne veut pas payer change parfois d'avis.

Enfin, le négociateur ne demande jamais aux attaquants où ils se situent et qui ils sont car cela n'a pas de lien avec son enquête. Celle-ci se limite seulement à négocier avec l'attaquant. Après son enquête, les informations, comme les journaux de discussion, seront analysées pour connaître l'identité et la géolocalisation de l'attaquant.

Comment le négociateur manipule l'attaquant pour parvenir à ses fins ?

Il utilise des méthodes d'ingénierie sociale la plupart du temps. Pour ma part, au début de mes négociations, je faisais croire aux attaquants qu'ils n'avaient pas obtenu d'informations sensibles. De manière générale, je faisais semblant d'être un informaticien naïf et pas très intelligent. Puis, pour gagner du temps dans l'enquête, je leur expliquais que je devais parler à mon chef avant de prendre une décision, mais que celui-ci était injoignable car en déplacement. Ou alors je leur expliquais que le conseil d'administration de l'organisation devait se réunir dans une semaine pour approuver le montant de la transaction. Mais le problème de cette méthode est qu'une fois que le délai fixé est dépassé, les attaquants n'ont plus confiance et les négociations ont tendance à échouer.

Aussi, les négociateurs jouent sur la corde sensible pour essayer de les faire culpabiliser. Me concernant, il m'arrivait de leur faire croire qu'ils attaquaient un hôpital pour enfants, ou une organisation qui aidait les personnes âgées. Toutefois, au fur et à mesure du temps, ma méthode marchait moins car les négociations devenaient de plus en plus transactionnelles et rationnelles.

Quelles sont les principales difficultés rencontrées lors d'une négociation ?

Elles sont de différents ordres. De manière générale, les attaquants se sont perfectionnés. Par exemple, ils disposent désormais de spécialistes capables de comprendre les documents financiers qu'ils extorquent. Cela rend les négociations plus sophistiquées.

Il existe aussi des difficultés propres aux négociations dans le cyberespace. Contrairement aux négociations dans la vie réelle, le négociateur ne peut pas lire le langage corporel et observer les réactions de l'autre partie. A l'écrit, les messages peuvent facilement être mal interprétés. Par exemple, un simple message court peut paraître agressif. Les négociations de rançons sont donc infiniment plus difficiles dans le cyberespace que dans la vie réelle.

Quels sont les risques au moment de la négociation ?

La pire difficulté survient quand les attaquants sont toujours présents dans le système d'information et surveillent ce que le négociateur fait. Cela ajoute toujours de la complexité car ils peuvent lire les communications dans lesquelles il parle aux dirigeants à propos de la stratégie de négociation. La négociation peut alors échouer et, plutôt que de chiffrer les données, les attaquants peuvent décider de détruire l'environnement.

Et parfois, d'autres difficultés peuvent rompre les négociations. Il en va ainsi quand la demande des attaquants est irréaliste. De mon côté, j'ai toujours été franc avec eux : il ne peut qu'y avoir un désaccord quand ils demandent 10 millions de dollars alors que l'entreprise ne gagne pas cette somme et que son assurance ne permet pas non plus de couvrir ce montant.

Enfin, l'intervention d'un tiers au négociateur peut produire le même effet. Cela peut être le cas quand un employé trouve son ordinateur chiffré et contacte les attaquants parallèlement au négociateur. En général, ces employés sont les informaticiens de l'organisation attaquée qui se disent qu'ils sont légitimes à le faire. Or ils ne connaissent pas le processus de négociation. Ils peuvent monter sur leurs grands chevaux et se montrer difficiles envers l'attaquant. Dans ce cas, l'attaquant se braque et décide d'interrompre les négociations.