00:00 faire des recherches sur la manière dont les hackers s'expriment. On a réussi à remonter
00:05 les acteurs via un piège qu'on avait placé dans un mail. Je m'appelle David Corona,
00:10 je suis cybernégociateur, j'ai été opérationnel et négociateur pendant 12 ans au GIGN et c'est
00:16 dans ce cadre là que j'ai géré les premiers ransomware, ces attaques de cybersécurité
00:20 pour la Gendarmerie Nationale et aujourd'hui j'en ai fait mon métier. Une cyberattaque ça
00:24 commence avec des postes informatiques dans votre entreprise qui sont complètement verrouillés.
00:27 Et il y a en plus parfois une demande de rançon effectuée par les hackers, les attaquants,
00:35 qui vous demandent de leur verser une somme, bien souvent en crypto-monnaie, dans un délai
00:39 imparti. C'est un mélange entre une forme de prise d'otage et une forme d'enlèvement. Il y a
00:44 quelqu'un qui retient quelque chose que vous voulez et vous ne savez pas qui c'est ni où
00:48 il se trouve. La prise de contact avec les hackers se fait par le moyen qu'ils imposent et qu'ils
00:53 proposent dès le départ, c'est à dire une première réponse par mail. Lorsque quelqu'un est retenu en
00:57 otage, on va demander à vérifier qu'elle est bien détenue par les personnes qui vous demandent la
01:02 rançon. Prouvez-moi que vous êtes en capacité de débloquer les ordinateurs de manière momentanée.
01:07 À ce moment-là, on commencera à discuter. Il est important d'essayer d'obtenir un rythme sur
01:12 cet échange de mail qui peut durer parfois trois jours jusqu'à trois mois pour ma plus longue
01:17 expérience. La négociation en attaque cyber n'a pas pour objectif simplement que de payer une
01:23 rançon, mais effectivement de créer du lien avec les attaquants, de jouer sur le temps, d'accélérer
01:29 le rythme, de ralentir le rythme et peut-être de localiser les auteurs. On va faire des recherches
01:33 sur la manière dont les hackers s'expriment, leur niveau de langage en anglais, quels sont les
01:39 fuseaux horaires auxquels ils répondent, pour essayer de comprendre la psychologie des gens
01:44 qui sont en face de nous, de créer de l'intimité, un rapprochement avec les hackers pour commencer à
01:49 créer une coopération plutôt qu'une opposition et jouer sur des leviers aussi de défaitisme en
01:56 expliquant ou en essayant de leur faire ressentir que l'attaque n'a pas de prise et qu'ils sont en
02:02 train de perdre quelque chose. On va essayer soit de prendre le lead sur la négociation, soit de
02:07 laisser le lead sur la négociation en faisant croire aux cyberattaquants que nous sommes affolés,
02:12 que nous avons peur, que nous n'arrivons pas à prendre de décision. Lorsque la personne en face
02:17 se sent supérieure, elle va être plus clémente dans le fait de laisser du temps ou de laisser
02:23 passer certaines excuses. Un hacker, c'est un pêcheur qui a bordonné tant, qui a lancé une centaine de
02:29 lignes de pêche, autant que l'attaqué lui donne espoir qu'il y a un paiement potentiel, alors
02:34 cette brèche de négociation est toujours ouverte. J'ai une entreprise qui a réussi finalement à
02:40 récupérer l'intégralité de ses zonés via un piège qu'on avait placé dans un mail et on a
02:46 réussi par ce biais-là à remonter les acteurs et à interpeller les acteurs. Il va y avoir trois
02:53 grands profils de cyberattaquants. Tout d'abord les indépendants qui prennent ça pour un jeu ou
02:57 pour une source de revenus. Le deuxième profil, ce sont les cybergangs, les gens qui sont très
03:02 organisés. Vous allez avoir des gens qui revendent les clés de décryptage sur le dark web. Et enfin,
03:08 les organisations étatiques. La plupart du temps, on ne paye pas de rançon. Négocier n'est pas
03:14 payé. Je le rappelle, ce sont les directives de l'Annecy et de ComCyberJoint. La plus petite
03:18 rançon que j'ai eu à gérer était de 150 000 euros. La plus grosse rançon était de 10 millions
03:25 d'euros. Il y a eu des énormes rançons demandées à des toutes petites entreprises et des toutes
03:30 petites rançons demandées à des très grandes entreprises. Ça, déjà, ça signifie que l'attaquant
03:35 ne sait pas à qui il a affaire et qu'on a un léger avantage. Il est déjà arrivé qu'une entreprise
03:40 paye une rançon et ne récupère pas ces données. C'est assez rare. Les hackers ont visiblement,
03:48 de leur dire, un sens éthique. Et à chaque fois qu'une rançon est payée, ils s'engagent à donner
03:53 la clé de décryptage en retour. Et il arrive, comme ça a pu m'arriver sur certains enlèvements
03:59 à l'étranger en Amérique du Sud, que les gens qui vous demandent une rançon ne sont pas ceux
04:04 qui détiennent l'otage. Et c'est très important de déterminer ça au départ. Sinon, vous pouvez
04:10 vous retrouver à payer une rançon à des gens qui ont vu sur le dark web que vous étiez attaqué
04:15 et qui viennent de manière très opportuniste vous demander une rançon alors qu'ils n'ont
04:18 pas les clés de décryptage.
04:19 [SILENCE]
Commentaires