• l’année dernière
Appelés pour jouer les intermédiaires avec les hackers, ces acteurs de l’ombre évoluent dans une zone proche de l’illégalité mais sont parfois incontournables pour aider les victimes. Rencontre avec David Corona, ancien négociateur du GIGN, dont la société In Cognita est appelée à la rescousse par des victimes d’extorsion en ligne.

Category

🗞
News
Transcription
00:00 faire des recherches sur la manière dont les hackers s'expriment. On a réussi à remonter
00:05 les acteurs via un piège qu'on avait placé dans un mail. Je m'appelle David Corona,
00:10 je suis cybernégociateur, j'ai été opérationnel et négociateur pendant 12 ans au GIGN et c'est
00:16 dans ce cadre là que j'ai géré les premiers ransomware, ces attaques de cybersécurité
00:20 pour la Gendarmerie Nationale et aujourd'hui j'en ai fait mon métier. Une cyberattaque ça
00:24 commence avec des postes informatiques dans votre entreprise qui sont complètement verrouillés.
00:27 Et il y a en plus parfois une demande de rançon effectuée par les hackers, les attaquants,
00:35 qui vous demandent de leur verser une somme, bien souvent en crypto-monnaie, dans un délai
00:39 imparti. C'est un mélange entre une forme de prise d'otage et une forme d'enlèvement. Il y a
00:44 quelqu'un qui retient quelque chose que vous voulez et vous ne savez pas qui c'est ni où
00:48 il se trouve. La prise de contact avec les hackers se fait par le moyen qu'ils imposent et qu'ils
00:53 proposent dès le départ, c'est à dire une première réponse par mail. Lorsque quelqu'un est retenu en
00:57 otage, on va demander à vérifier qu'elle est bien détenue par les personnes qui vous demandent la
01:02 rançon. Prouvez-moi que vous êtes en capacité de débloquer les ordinateurs de manière momentanée.
01:07 À ce moment-là, on commencera à discuter. Il est important d'essayer d'obtenir un rythme sur
01:12 cet échange de mail qui peut durer parfois trois jours jusqu'à trois mois pour ma plus longue
01:17 expérience. La négociation en attaque cyber n'a pas pour objectif simplement que de payer une
01:23 rançon, mais effectivement de créer du lien avec les attaquants, de jouer sur le temps, d'accélérer
01:29 le rythme, de ralentir le rythme et peut-être de localiser les auteurs. On va faire des recherches
01:33 sur la manière dont les hackers s'expriment, leur niveau de langage en anglais, quels sont les
01:39 fuseaux horaires auxquels ils répondent, pour essayer de comprendre la psychologie des gens
01:44 qui sont en face de nous, de créer de l'intimité, un rapprochement avec les hackers pour commencer à
01:49 créer une coopération plutôt qu'une opposition et jouer sur des leviers aussi de défaitisme en
01:56 expliquant ou en essayant de leur faire ressentir que l'attaque n'a pas de prise et qu'ils sont en
02:02 train de perdre quelque chose. On va essayer soit de prendre le lead sur la négociation, soit de
02:07 laisser le lead sur la négociation en faisant croire aux cyberattaquants que nous sommes affolés,
02:12 que nous avons peur, que nous n'arrivons pas à prendre de décision. Lorsque la personne en face
02:17 se sent supérieure, elle va être plus clémente dans le fait de laisser du temps ou de laisser
02:23 passer certaines excuses. Un hacker, c'est un pêcheur qui a bordonné tant, qui a lancé une centaine de
02:29 lignes de pêche, autant que l'attaqué lui donne espoir qu'il y a un paiement potentiel, alors
02:34 cette brèche de négociation est toujours ouverte. J'ai une entreprise qui a réussi finalement à
02:40 récupérer l'intégralité de ses zonés via un piège qu'on avait placé dans un mail et on a
02:46 réussi par ce biais-là à remonter les acteurs et à interpeller les acteurs. Il va y avoir trois
02:53 grands profils de cyberattaquants. Tout d'abord les indépendants qui prennent ça pour un jeu ou
02:57 pour une source de revenus. Le deuxième profil, ce sont les cybergangs, les gens qui sont très
03:02 organisés. Vous allez avoir des gens qui revendent les clés de décryptage sur le dark web. Et enfin,
03:08 les organisations étatiques. La plupart du temps, on ne paye pas de rançon. Négocier n'est pas
03:14 payé. Je le rappelle, ce sont les directives de l'Annecy et de ComCyberJoint. La plus petite
03:18 rançon que j'ai eu à gérer était de 150 000 euros. La plus grosse rançon était de 10 millions
03:25 d'euros. Il y a eu des énormes rançons demandées à des toutes petites entreprises et des toutes
03:30 petites rançons demandées à des très grandes entreprises. Ça, déjà, ça signifie que l'attaquant
03:35 ne sait pas à qui il a affaire et qu'on a un léger avantage. Il est déjà arrivé qu'une entreprise
03:40 paye une rançon et ne récupère pas ces données. C'est assez rare. Les hackers ont visiblement,
03:48 de leur dire, un sens éthique. Et à chaque fois qu'une rançon est payée, ils s'engagent à donner
03:53 la clé de décryptage en retour. Et il arrive, comme ça a pu m'arriver sur certains enlèvements
03:59 à l'étranger en Amérique du Sud, que les gens qui vous demandent une rançon ne sont pas ceux
04:04 qui détiennent l'otage. Et c'est très important de déterminer ça au départ. Sinon, vous pouvez
04:10 vous retrouver à payer une rançon à des gens qui ont vu sur le dark web que vous étiez attaqué
04:15 et qui viennent de manière très opportuniste vous demander une rançon alors qu'ils n'ont
04:18 pas les clés de décryptage.
04:19 [SILENCE]

Recommandations