Florent Curtet est tombé dans le hacking quand il était petit. Il est encore adolescent lorsqu’il bascule du côté « dark » du hack. Au point que les autorités vont l’identifier pour ses activités illégales et l’incarcérer. Depuis, il en est revenu. À 30 ans passés, il baigne toujours dans le cyber, mais il est aujourd’hui du côté « sécurité » de la barrière. Au sein de NEO Cyber, la société qu’il dirige, il propose un module baptisé Certified Cyber Negotiator, mené par des personnalités issues des forces de l’ordre. L’objectif : former les participants aux techniques de négociations cyber. Phases psychologiques, analyse et mind mining des attaquants, ou encore application dans un terrain de cybercrise, il propose également un examen en situation réelle. Il faut dire qu’en la matière, il s’y connaît. Interview.
Vous étiez négociateur auprès de gangs de ransomwares. C’est un métier nouveau : quel est le besoin à l’origine de sa création ?
Florent Curtet : De plus en plus d’organisations sont victimes de ransomwares. Que faire ? Payer la rançon pour récupérer ses données ? Ne pas céder face aux rançonneurs ? Les positions varient à ce sujet. Mon expérience et mon passif auprès de ces communautés de hackers m’ont poussé à m’intéresser au sujet. Je me suis aperçu qu’en France, il n’existait pas de services qui proposent de négocier avec les « ransom gangs » en cas de cyber crise. C’est pourquoi j’avais choisi de mettre mon expérience à profit : dans ces situations de crise, je pouvais être un pansement et permettre de dénouer les tensions.
Quelles compétences faut-il pour négocier avec ces profils ?
F. C. : Il faut d’abord des compétences et connaissances techniques. Premièrement, il s’agit de comprendre le fonctionnement des systèmes de rançons : comment est-ce qu’on sécurise un envoi de fonds pour protéger au mieux la victime ? Ensuite, il faut connaître les outils de communication des hackers. Pour s’adresser à eux, il faut s’approprier leurs canaux. Il faut aussi des compétences et connaissances plus sociales. Quel est leur rythme de vie ? À quelle heure se lèvent-ils ? À quelle heure se couchent-ils ? Y a-t-il des fêtes ou des jours fériés dans leur pays qui pourraient les rendre indisponibles ? Pour résumer, je dirais qu’il faut les connaître – ou avoir l’air de les connaître – mieux qu’ils ne se connaissent eux-mêmes pour créer un lien de confiance, presque une connivence. Enfin, je dirais qu’il faut se « restreindre » : rien ne sert de se rapprocher de 50 groupes de rançonneurs. Mieux vaut se concentrer sur quelques communautés, afin de tisser un réel lien avec elles.
En temps de crise, les négociateurs tentent d’apporter du rationnel à une situation très émotionnelle. Le fonctionnement est-il le même dans le cadre de négociations avec des ransom gangs ?
F. C. : C’est exactement l’inverse ! Il y a de grandes différences entre des prises d’otages humaines et numériques. Dans un cas il y a au moins une vie en jeu, dans l’autre non. La donnée reste avant tout informatique. Si on la perd, ou si elle est endommagée, « il n’y a pas mort d’homme ». C’est un peu la même chose avec les accidents de la route : quand un véhicule est endommagé, « ce n’est que de la tôle froissée ». Ce qui compte, c’est la vie de la personne qui était à son bord. Quelqu’un qui négocie sur le terrain devra être très factuel dans ses décisions : combien coûte une exfiltration ? Que risquent les otages ? Dans la cyber, nous avons un plus grand champ de travail : la vie humaine n’est pas en danger. Par ailleurs, les kidnappeurs humains sont différents des kidnappeurs numériques. Les premiers vont tenter de rassurer sur le sort des otages, en expliquant qu’ils vont bien, par exemple. Les kidnappeurs numériques ont un ton différent, se réjouissent de réussir leur coup, n’hésitent pas à fanfaronner. L’autre différence, c’est qu’on ne négocie pas avec un « chef de gang » classique très entouré. On peut très bien avoir en face de soi un ado de 16 ou 17 ans qui se retrouve tout seul devant son ordinateur ! Une fois qu’on les connaît, qu’on les comprend, il faut entrer dans leur esprit, leur parler 24h/24. On crée un lien, à tel point que l’absence de message crée un manque. Il s’agit de les rendre dépendants émotionnellement. C’est très intéressant, psychologiquement. On joue sur le timing, la corde sensible, l’âge des personnes pour faire « copain-copain ».
Quel est l’objectif d’une telle négociation ?
F. C. : L’objectif est de fluidifier la communication, de faire baisser le montant de la rançon au maximum – voire de l’annuler. Il ne faut pas que les différentes parties se sentent flouées : les gangs qui n’obtiennent pas satisfaction peuvent être tentés de faire un « hack back ». À l’inverse, un gang qui aura été écouté n’a pas de raison de réattaquer une entreprise. Il ne faut pas oublier que les hackers ont des modèles économiques, comme les sociétés. Les groupes de rançons n’ont pas d’intérêt à garder les données pour faire chanter une société qui aurait payé : ce serait prendre le risque de voir son business model s’écrouler. C’est peut-être cynique, mais ils fonctionnent au chiffre d’affaires. Ils n’ont pas d’intérêt à mentir sur les garanties une fois un compromis trouvé. Ce n’est pas un modèle que je valide, c’est évidemment sujet à caution car ce ne sont pas des anges, mais c’est important de l’intégrer.
Il arrive donc qu’une négociation aboutisse à l’abandon d’une demande de rançon ?
F. C. : Dans certains cas, les groupes avec lesquels j’ai discuté ont même pris le contrepied. Je pense notamment aux attaques qui touchent le secteur de la santé. À la suite de mes interventions, certains hackers n’ont plus jamais attaqué d’hôpital, de cabinet médical ou de pharmacie. Ils me notifiaient même parfois des failles pour qu’elles soient sécurisées au lieu d’attaquer ! Cela reste évidemment exceptionnel, mais montre néanmoins qu’une fois les attaquants « ferrés » psychologiquement, il est possible d’influencer leur comportement.
Pensez-vous que des cabinets de négociation spécialisés en ransomwares verront le jour à l’avenir ?
F. C. : C’est difficile de se prononcer. C’est une zone un peu « grise ». La posture officielle du gouvernement, c’est que l’on ne négocie pas avec les rançonneurs – au même titre qu’avec les terroristes – pour ne pas encourager de comportements néfastes. Mais j’imagine que les kidnappings numériques vont continuer à se multiplier. Et entre la loi et la logique, il faudra trancher. De son côté, le rapport du Haut comité de la Place Financière de Paris émis le 22 janvier 2022 a rappelé que les victimes n’avaient pas intérêt à refuser catégoriquement la prise en charge des rançons au niveau de la cyber assurance. Il est important de rappeler que les entreprises sont composées d’individus, qui ont des familles, et qu’ils pourraient se retrouver sans travail du jour au lendemain à l’issue d’une attaque cyber. Le Haut Comité avance le besoin d’une synergie entre les différents organismes européens, voire internationaux, pour établir une réglementation en ce sens. Aujourd’hui, il n’existe pas de texte de loi ni de jurisprudence avançant que payer une rançon est illégale tant que le versement de celle-ci n’est pas associé à une action ou un intermédiaire à visée terroriste. Il est nécessaire qu’il y ait un encadrement, une clarification des textes. Personnellement, je suis plutôt partisan du moindre mal. Va-t-on laisser les entreprises victimes sans possibilité de limiter les dégâts ? Il y a un réel besoin de négociateurs, de médiateurs. Vont-ils venir de structures privées ? De l’État ? Des assurances ? J’imagine qu’une offre va se structurer, mais je ne sais pas encore quelle forme elle prendra. Dans le cas contraire, elle restera comme aujourd’hui, non-officielle mais réelle, cachée et à la demande des diverses sociétés ou d’organismes de cyber assurances. Par ailleurs, le paiement des rançons pourrait être une aide-traceur pour aider au démantèlement des acteurs de ransomware.
Biographie
Florent Curtet est un expert en cybersécurité offensive avec plus de dix années d’expérience terrain. Il est aujourd’hui directeur de NEO Cyber, et co-fondateur de Hackers Sans Frontières. Passé par de nombreuses boutiques d’excellence comme l’ONU ou Interpol, mais aussi des sociétés du CAC 40, il avait depuis 2020 proposé ses services en tant que négociateur et médiateur pour la gestion de cyber crises associés aux ransomwares.
