Description
Episode avec Valery Rieß-Marchive rédacteur en chef du Mag-IT (https://www.lemagit.fr) à propos des négociations entre victimes et groupe de hacker.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité aux gens qui n'y comprennent rien. Ma grand-mère a accueilli beaucoup d'illustres personnages dans ce podcast. On a eu des avocats, on a eu des spécialistes de la cybersécurité ou de l'intelligence artificielle. Mais il y avait une catégorie de professionnels que je n'avais pas encore l'occasion d'aborder dans cette émission, c'est les journalistes. Et les journalistes ont un rôle hyper important, vous le savez tous, que ce soit les affaires du Watergate ou alors plus récemment le Panama Papers. les journalistes ont d'une certaine manière donné un éclairage sur la société assez important. Et je pense que la parole des journalistes est très importante, surtout par les temps qui courent, avec le monsieur avec les cheveux orange de l'autre côté de l'Atlantique. Et il y a peu de journalistes qui interviennent dans la cybersécurité. Et j'ai la chance et le privilège d'en accueillir un aujourd'hui dans cet épisode de la cybersécurité expliqué à ma grand-mère. C'est Valérie Ries-Marchive. Donc Valéry, est-ce que tu veux bien te présenter ?
Oui, merci de m'accueillir. Je vais la faire simple, je suis le rédacteur en chef du MagaEthique, qui est un média en ligne IT B2B, donc pour les professionnels dans l'informatique et l'entreprise, qu'on a confondé à plusieurs en 2008 maintenant. Je m'occupe de cybersécurité, je me suis concentré dessus véritablement aux alentours de 2019. Dans ces Ausha, je couvrais déjà bien le sujet avant. Mais aux alentours de 2019, alors que les grandes campagnes de ransomware commencent à arriver, en France et dans le monde, c'est un point d'inflexion pour moi. Je commence à me concentrer sur le sujet, à m'intéresser aux deux côtés, d'un côté aux cybercriminels, mais aussi aux victimes. Ça a fait de moi un petit peu un collectionneur de cyberattaques et un empêcheur de tourner en rond pour les deux côtés de la barrière. Donc j'embête tout le monde, que ce soit les victimes ou que ce soit les attaquants, en cherchant à obtenir des réponses, des exercissements, des précisions de la part des victimes, en cherchant à comprendre l'écosystème des cybercriminels, comment ils s'organisent, comment ils fonctionnent, comment ils nous mentent. comment ils nous utilisent aussi, au demeurant. Voilà. Le gros point d'inflexion, ça a été quand, par hasard, les cyberattaques commençaient vraiment à se multiplier, et un jour, sur Twitter, sur ce qui s'appelait encore Twitter à l'époque, des copains m'ont demandé « Est-ce que tu pourrais pas nous faire nous maintenir à jour une crise chronologique des cyberattaques ? » J'ai dit « Bah oui, allez-y, je suis là, je me lance. » Et puis c'est de là que j'ai commencé non seulement à faire cette frise chronologique pour la France, que j'ai derrière déroulé un petit peu sectoriellement avec les collectivités locales, avec l'éducation, etc.
Et puis derrière,
pour maintenir ça, j'ai commencé à faire un travail de curation régulier, à faire une revue de presse quotidienne de ce qui se disait un peu partout sur les cyberattaques, en France et dans le monde. Et j'ai commencé à maintenir ma liste d'inventaire pour le monde entier. De là, j'ai commencé à produire un bulletin météoransum mensuel sur les grandes tendances. Alors, pas simplement les revendications, mais aussi les cyberattaques qui étaient dans la presse, qu'elles soient revendiquées par des criminels ou pas. Voilà, c'était le doigt dans l'engrenage.
Écoute, certaines personnes collectionnent des timbres. Moi, ma grand-mère, elle collectionne les virus sur des disquets de 3 pouces et demi. Personnellement, j'ai une petite collection de virus très anciens. C'est vraiment très old-style, mais sur des disquets de 3 pouces et demi. Donc voilà, chacun un peu son dada. Alors, comme je le disais un petit peu en introduction, L'intérêt du journalisme, parce que tu es journaliste, vraiment avec un J majuscule, pas entre guillemets quelqu'un qui est un amateur comme moi, mais vraiment un journaliste professionnel, donc tu as une certaine rigueur dans la méthodologie, etc. Est-ce que tu pourrais juste nous éclairer un tout petit peu sur, parce que là tu as expliqué brièvement comment tu es arrivé finalement à t'intéresser à ce genre de choses. Mais comment tu pourrais nous expliquer un petit peu des cas récents ? Par exemple, on parle beaucoup de Black Basta. Comment ça s'est passé pour Black Basta ? Justement, parce que tu as fait toute une étude, toute une recherche dessus. Raconte-nous un petit peu comment tu as pu écrire sur eux, comment ça s'est organisé, etc.
Alors en fait, je pense que, sans que je le sache, ça a commencé l'été dernier. Parce que dans... Alors, je reprends un petit peu de chronologie. Au fil des ans, je ne me suis pas contenté de ce que j'ai fait, mais j'ai fait évoluer ma pratique. C'est-à-dire qu'en plus de faire mon petit catalogue, mon inventaire, comme ça, j'ai commencé à faire un travail de recherche un petit peu plus approfondi, à l'automatiser,
et notamment...
produit une revue de presse hebdomadaire pour le Magaïti, des cas de cyberattaques rapportés dans la presse dans le monde entier. Partant de ça, ça m'a aidé à mettre en face d'une date à laquelle une cyberattaque est revendiquée, la date à laquelle elle a été rapportée dans la presse avec en prime la date à laquelle potentiellement elle est survenue, ou du coup non, elle a été découverte. Cette mise en perspective m'a souligné des décalages, des délais. Par temps, je me suis dit, ok, on a par exemple des cas de divulgation de données où en fait, même sans aller regarder les données, on peut faire une estimation de la date à laquelle les données ont été volées. Alors ça va être sur la base de dates qui sont indiquées sur les noms des fichiers ou les noms des dossiers. Quand on a par exemple un fichier qui dit « fil de temps de la semaine temps de telle année » , on peut estimer que l'attaque est survenue après cette date-là, mentionnée dans un nom de fichier. On a parfois des listes de fichiers au format texte qui contiennent les dernières dates de création de fichiers et de dossiers. Là encore, ça nous donne une indication sur la date d'exfiltration des données. Comme l'exfiltration de données survient juste avant le déclenchement du ransomware, ça nous permet d'avoir une estimation de la date de survie de l'administration. J'ai fait ça sur beaucoup, beaucoup,
beaucoup de revendications de cyberattaques.
Sur Black Basta, sur l'année 2024, je dois être à 85% des cas sur lesquels on a une estimation. Et j'ai observé comme ça des anomalies, ou des choses qui ne me paraissaient pas cohérentes avec leurs habitudes. Et en parallèle, j'ai constaté non seulement une augmentation très significative du nombre de cyberattaques revendiquées chez Akira, mais en plus du nombre de cyberattaques revendiquées chez eux, qui semblaient, de par ces estimations, se rapporter à des faits bien antérieurs. Et donc, on était sur quelque chose qui ne correspondait pas à leurs habitudes non plus. Mais on savait déjà qu'il y avait un lien historique entre les deux groupes et que les deux groupes étaient les descendants d'un précédent qui s'appelait Conti.
Alors, on va juste arrêter à cet endroit-là, parce qu'il y a une précision hyper importante pour les auditeurs, parce que tout le monde n'est pas forcément très familier avec les groupes de hackers, les ransomware, etc. Donc, juste pour replacer un tout petit peu le contexte. Donc... D'une part, parce que tu as parlé d'exfiltration de données, ce qui est assez important de comprendre, c'est que généralement, quand il y a une attaque, ce que vont faire les attaquants, c'est exfiltrer des données et... évidemment, surtout les données sensibles de l'organisation, principalement aussi des données à caractère personnel, parce que ça, c'est une valeur et on va le comprendre juste après, avant de faire détonner finalement un cryptolocker dans le système d'information ou un crypto-malware afin d'immobiliser le système d'information. Et généralement, c'est à ce moment-là où les hackers vont entrer en contact avec l'organisation, soit en laissant un fichier quelque part, soit en envoyant un message. entre guillemets, aux bonnes personnes dans l'organisation. Alors très brièvement, un peu high level, c'est un petit peu comme ça que ça se traduit. Tu as parlé de différents groupes de hackers, et dont un des fameux aussi, Conti, mais on va y revenir, et celui qui nous occupe un petit peu ce soir, c'est Black Basta. Donc tout ça, ce sont des groupes de hackers qui sont un petit peu, entre guillemets, qu'il faut quasiment considérer comme des entreprises. C'est un peu ma lecture des choses. C'est-à-dire que souvent, c'est des groupes qui sont bien organisés, avec des problématiques... Comme toutes les entreprises d'organisation, de recrutement, de vente, entre guillemets, de leur solution, de monétisation de leur attaque, etc. Avec aussi des négociateurs. Donc, on le voit aussi très clairement dans les Ausha et je pense qu'on en parlera un petit peu plus loin. Donc, juste pour donner un petit peu de perspective à tout ça. Et donc, tu t'es arrêté à un moment crucial. où tu as parlé de Conti. Donc Conti est un groupe très connu parce qu'il y a eu effectivement un leak, donc une fuite des informations de ce groupe de hackers, sachant que Conti était un groupe de hackers qui était ukrainorus, si mes souvenirs sont bons, juste avant la guerre en Ukraine et que la guerre en Ukraine a créé quelques tensions dans le groupe. Et le groupe s'est un peu, comment dire, disloqué, probablement dû à des tensions internes. et ce qui a très probablement créé ce leak. Donc voilà, groupe très connu parce que finalement, tout le monde a pu voir un petit peu ce qui se passait à l'intérieur de ce groupe et ça a été essentiel en termes d'informations pour tous les gens qui s'occupent de la cybersécurité parce qu'on passait un petit peu de l'autre côté du miroir et on comprenait beaucoup plus dans le détail comment un groupe de hackers fonctionnait. Donc je te redonne la parole, tu étais juste en train de nous raconter ce qui s'était passé avec Conti.
Alors en fait, Conti, il n'y a pas que des acteurs russes ou ukrainiens chez eux. Ne serait-ce que dans les ligues de Conti, on a des indices sur l'origine géographique d'autres membres du groupe, qui étaient soit dans les Balkans, soit dans certains pays de l'Est européen, mais tous en capacité à être russophones. Donc comme tu l'as bien rappelé, les Conti ont volé en éclats. peu après l'invasion de l'Ukraine par la Russie, notamment du fait de la prise de position très marquée en faveur de la Russie des leaders du groupe. Mais le groupe était lui-même déjà organisé en sous-groupes, un petit peu comme si tu penses des divisions dans une entreprise. Et ces sous-groupes sont partis vivre leur vie chacun de leur côté, grosso modo. thématisé. Et certains sont retrouvés chez Black Basta, d'autres sont retrouvés chez Akira,
mais parmi tous ces gens-là,
il y en a qui se connaissaient dans la vraie vie. Et ce sont des gens qui bossent régulièrement sous pseudonyme, parfois sous plusieurs pseudonymes en même temps, qui peuvent... C'est pour ça que je ne parle pas de groupe, en fait, à proprement parler. Quand on parle d'un Akira, on a le même passage. d'enseigne ou de marque, parce que fondamentalement, rien n'empêche un même acteur de travailler sous plusieurs bannières parallèlement. Dans la pratique, leur niveau de dissimulation les uns envers les autres est suffisamment élevé pour le permettre.
C'est des francs-ruises, en fin de compte.
Voilà, exactement. Et pas forcément avec contrat d'exclusivité. même si certains, même ces ransom hubs, une autre marque comme ça, qui clairement autorise ses affiliés, ses franchisés, à travailler sous d'autres bannières en même temps, sans que ça pose de problème à qui que ce soit. Et donc, cette fluidité qu'il y a entre les groupes et cette porosité, On l'avait déjà observé, on l'avait déjà constaté, vu de l'extérieur, avec ce qu'on a commencé à appeler des revendications croisées. Donc une même victime qui était revendiquée sous une enseigne à un moment donné, et puis une semaine, deux semaines, deux mois plus tard, sous une autre marque. Mais toujours là, en regardant un petit peu les données qui étaient présentées, mises à disposition, en regardant les noms de fichiers, en cherchant à estimer les dates, on s'apercevait que le vol correspondait en fin de compte à la date de revendication antérieure.
Justement sur cette partie-là, parce que quand tu décris ce genre de choses, j'ai l'impression que c'est à la fois un mélange dosing de recherche d'informations pour faire un profilage. Selon toi, à quel degré d'exactitude tu peux attribuer l'attribution ? Enfin, entre guillemets, parce que l'attribution est toujours quelque chose d'extrêmement compliqué en cybersécurité. On dit même que c'est un acte politique, finalement, l'attribution. Mais là, dans ce que tu décris, ça paraît être une méthode quasi scientifique et presque mathématique, avec des éléments très factuels qui permettent à la fin d'avoir un faisceau de présomption extrêmement fin sur un groupe de personnes ou des individus. Selon toi, de ta propre lecture, tu estimes que ta méthodologie te donne un ratio de succès de quel pourcentage ?
On n'est pas vraiment là sur une attribution, on est sur la reconstruction d'une chronologie. On n'est jamais à l'abri d'un maquillage, entre guillemets, des dates de la part d'un acteur. Certains ont très bien compris et soit archivent les données de telle manière que tous les fichiers dossiers ont la même date de création. absolument aucune indication, et là il faut reposer dans les noms des fichiers des dossiers pour trouver des indications. Ce qui n'est pas toujours faisable non plus parce que certains présentent les fichiers sans aucune arborescence, ce qui n'aide vraiment pas. Mais dans la majorité des cas, je dirais qu'on doit être maximum entre deux jours et une semaine de décalage par rapport à la date effective de survenue. à une exception forte, c'est celle où, là, j'estime qu'il n'y a pas d'estimation à sortir, c'est le cas où manifestement, ou vraisemblablement en tout cas, l'attaquant a juste exfiltré des données à partir d'un système de sauvegarde. Et là, on se retrouve avec des jeux de données qui sont parfois anciens, d'un an, d'un an et demi, sans qu'on ait eu de traces. d'attaques antérieures connues, on pourrait soit se dire « Ok, il est en train de recycler des vieilles données » , soit se dire « Ok, il a tapé un système de sauvegarde » , mais dans ce cas-là, ce n'est même pas d'estimation parce que j'estime que le niveau d'incertitude est trop élevé.
D'accord.
Sur l'attribution à un acteur, à m'en parler, On a notamment eu un autre groupe qui est un grand nom aussi du ransomware, qui s'appelle Logbit, qui lui nous donnait des indications extrêmement intéressantes. Parce que Logbit fournissait à ses affidés, et fournit toujours d'ailleurs à ses affidés, son propre outil de, alors ce n'est pas d'exfiltration de données, mais c'est plutôt de téléversement des données qui ont déjà été exfiltrées depuis l'infrastructure utilisée par l'attaquant pour exfiltrer les données vers l'infrastructure. centrale de Logbit qui sera utilisée plus tard pour distribuer et diffuser les données volées. Et ce logiciel a une particularité, c'est qu'il fournit à l'infrastructure de Logbit le nom système de la machine sur laquelle se trouvaient les données. Et on a trouvé plusieurs cas comme ça sur lesquels le nom de la machine système qui était affiché dans l'arborescence chez Longbeat, a été le même. Et à ce moment-là, il s'agit de faire de la recherche sur des moteurs spécialisés comme Shodan OEM, voir si on a des traces de machines exposées publiquement, qui vont exposer publiquement un service de déport d'affichage, un service RDP, qui vont avoir ce nom de machine. Et puis quand on n'a que trois comme ça, qui sont référencés dans ces moteurs de recherche, sur la période donnée à laquelle l'attaque est estimée de survenue. Quelque part, tu as tendance à penser que tu es tombé sur un bout d'infrastructure utilisé par l'acteur impliqué dans l'attaque.
D'accord. Effectivement, la nomenclature aussi du nom des machines, etc., ça peut être assez utile pour récupérer ce type d'infos.
C'est tout plein de faisceaux d'indices qui sont utilisés, sur lesquels on peut avoir un niveau de confiance variable. Mais juste sur les dates, on a eu récemment des leaks de Black Basta, on avait eu les leaks de Conti avant, dans lesquelles sont évoquées les attaques. Donc on va retrouver des... des membres du groupe qui vont dire à tel jour, on le voit dans leurs conversations, « Bon, j'ai fini cette victime. » Ça nous donne une date. Et on peut croiser cette date avec l'estimation. Donc, a posteriori, valider ou invalider la méthode et du moins ajuster le niveau de confiance accordé à la méthode pour faire ces estimations.
Ok, donc c'est vraiment une méthode, on va dire, très rigoureuse, pratiquement comme dans une enquête criminelle, pour essayer de récupérer le moindre indice et essayer de reconstruire finalement la timeline la plus précisément possible. Alors tu as cité un groupe très connu, enfin dont on a parlé beaucoup ces derniers temps, c'est Black Basta. Est-ce que tu peux nous parler un petit peu de tes travaux justement sur Black Basta et ce que tu as fait récemment sur ce groupe ?
Alors comme je le disais précédemment, j'avais repéré des anomalies dans leur comportement. Et je me demandais, compte tenu des liens historiques entre Black Basta et Akira, s'il n'était pas envisageable que des membres de l'un émigraient chez l'autre, pour une raison extraordinaire. J'étais vraiment juste dans le bois mouillé. Et puis le 16 décembre dernier, je reçois un contact en message privé sur Twitter de quelqu'un qui m'a dit avoir des choses à me partager sur Black Basta.
On établit le contact via ProtonMail et les échanges commencent.
Et puis... Quelque chose comme une semaine après, je reçois un coup de fil d'Akane Torriverdi, qui bosse notamment pour le Spiegel. On avait déjà échangé avant, c'est un petit peu loin. Il me fait « Bon, j'aimerais te parler de quelque chose. Est-ce que tu as entendu, est-ce que tu as été approché par quelqu'un qui aurait des choses sur un groupe de ransomware ? » Je lui donne le nom. de la personne qui m'a approché, je lui ai dit que c'est pour Blabasta, il me dit on parle de la même chose, oui on parle de la même chose. Et puis de là, on a décidé de suivre le truc, et de mener l'enquête pour nos supports respectifs, mais tout en se coordonnant, en partageant nos notes, et en échangeant de manière régulière. On a partagé nos contacts, on les a mis dans la boucle aussi. externes qui ont pu nous épauler là-dedans, parce que de temps en temps, on donne des traces de discussions privées entre les personnes russophones, ça aide d'avoir des contacts qui comprennent le russe et qui sont capables d'aider à décoder, à lire entre les lignes du traducteur automatique.
Alors ça, d'autant plus que je ne sais pas si c'est une... Je pense que c'est vrai, mais certains forums un peu, on va dire, de mauvaise réputation russophone, justement pour pouvoir communiquer avec ces gens-là et pour pas se faire démasquer, il faut être très russophone parce qu'ils utilisent des expressions que seuls les Russes arrivent vraiment à comprendre. Donc même avec un niveau, on va dire, raisonnable de Russe, mais sans être Russe en tant que tel, ça pose des difficultés. Il faut vraiment être russophone et connaître les subtilités de la langue pour ne pas se faire démasquer. Alors moi, c'est ce que j'en ai retenu, et c'est ce que tu sembles confirmer, puisqu'il y a quand même un petit peu des subtilités dans la langue qui peuvent échapper aux traducteurs automatiques ou du moins qui peuvent avoir la importance.
Je ne sais pas si c'est à fin de furtivité, mais ce n'est pas juste une question de langue. En fait, ce n'est pas juste une question, c'est une question de culture, d'idiome, de la manière dont localement on se construit un argot quelconque. Ce sont des subtilités qu'on n'a pas quand on se contente d'avoir une approche académique de la langue. Donc comprendre le russe de manière académique et mécanique comme peut le faire un traducteur automatique, c'est complètement insuffisant pour appréhender ce genre de choses. Pour appréhender des échanges de pair à pair en privé, ça ne suffit absolument pas.
D'où l'intérêt de maîtriser le russe et vraiment le maîtriser.
Non mais attention, origine, rue, c'est tout. Et je vous jure que c'est vrai, avec mon nom, vous savez que je souffre aussi de discrimination en France. Sérieux, la dernière fois, contrôle de police, test d'alcoolémie, le flic qui prend ma carte d'identité, il me dit, le nom Ivanov, ça fait déjà deux verres. Et Ivanov, c'est aussi une marque de vodka, vous verrez, dans les rayons, c'est celle qui est tout en bas. Elle coûte 99 centimes. Souvent, elle est à côté du desktop, c'est le même logo, une tête de mort. Tu vois, la petite bouteille qui te regarde comme ça. Bois-moi ! Remis, t'as pas mal à la tête ! Ne l'écoutez jamais. Alors attention, j'aime la France, c'est un super pays. Après, j'aime pas tout le monde. Il faut tout pour faire un monde ? Non. Non, les roues par exemple, c'est vrai. Si demain il y en a plusieurs que l'air, ça changera pas la face du globe. On en garde un ou deux, des roues de secours, tu vois.
Ah oui, il y a des jeux de mots là ! Tu as vu ça ou pas ?
Ah oui, clairement.
Je pense qu'aujourd'hui, quelqu'un qui veut faire de la CTI de manière approfondie, que ce soit simplement en faisant de l'osine sur des actes russes, ou plus loin, en faisant de l'humain, oui, il faut que ce soit un russophone qui n'est pas forcément natif, mais qui au moins ait la culture.
D'accord. Donc le début de ton enquête ?
alors donc ça commence comme ça et on commence à creuser chacun de notre côté on fait chacun appel à des contacts divers et variés y compris des spécialistes de l'usine des lumines jusqu'en Asie qui ont filé des coups de main pour croiser des infos pour aller en dénicher d'autres ... On avait déjà énormément de choses au début du mois de février, on était quasiment prêts à publier. Et puis c'est là que les ligues sont tombées. Ça a été une mine extraordinaire, mais il fallait aller vite dans leur examen, dans leur analyse, forcément pas seul. Aller chercher, aller tâcher d'y chercher des éléments de confirmation, d'information, de correction. de contextualisation, pour remettre tout ça en perspective et affiner la reconstruction de l'histoire, qui est assez rocambolesque, on parle donc du leader du groupe, du leader de Black Basta, qui au mois de juin se retrouve à Erevan. en Arménie. Bizarrement, il se fait arrêter par la police locale à deux pas de l'ambassade des États-Unis. Et puis il est censé attendre une audition en fuite de son extradition vers les États-Unis.
Et puis d'un coup,
il présente ça comme étant ses soutiens locaux auprès des services de renseignement russes. Mais voilà, d'un coup, il échappe à l'extradition et il repart en Russie.
Une affaire à la jazz-band, presque.
Voilà. On a quand même passé deux mois là-dessus. Les dernières semaines étaient probablement les plus denses, avec justement l'examen des liquides. et la recherche de compléments à l'intérieur.
J'imagine. Alors justement, CELIC, alors toi, moi, je collectionnais les virus sur les disquettes 3 pouces et demi, mais toi, tu as une grande collection de LIC. Est-ce que tu pourrais nous, assez brièvement, parce qu'on pourrait parler des heures, évidemment, de CELIC, mais est-ce que tu pourrais nous donner quelques informations sur le comportement des hackers quand on négocie avec eux ? Donc moi j'en ai épluché quelques-uns, donc il y a quelques caractéristiques quand même qui ressortent. Mais toi qui es un spécialiste du sujet, est-ce que tu pourrais nous brosser à grands traits les discussions et les profils de ces hackers ?
Alors, faire des profils je ne saurais pas forcément dire, mais j'aimerais juste reprendre une seconde pour revenir sur l'histoire de ce dont tu es en train de parler. Je suis en train de parler des ransom Ausha. Ce ne sont pas proprement parlé des leaks. Dans ma recherche de chronologie et d'estimation du niveau d'activité des méchants, j'ai régulièrement cherché des échantillons de ransomware dans les plateformes d'analyse clés. connus tels que virus total. Partant de là, tu récupères la note de rançon qui est déposée au moment de l'attaque.
Puis il y a un nombre incroyable d'analystes à travers le monde, et de chercheurs aussi connectés à travers le monde, qui ont suivi comme ça des négociations. Mais voilà, tu regardes ce qui se dit. Mais surtout, ça te donne des dates. Et puis, quelque part, ça peut aussi te donner des indices. C'est comme ça que j'ai repéré certaines habitudes, chez certains acteurs. que j'ai soupçonné d'avoir été impliqué dans deux, trois, quatre, cinq attaques pour lesquelles j'avais suivi la négociation sur la base de leurs habitudes personnelles. Et en fait, je suis allé un jour à une bout de France, c'est une super conférence organisée en France extrêmement intéressante avec plein de spécialistes du monde entier. Et puis j'ai discuté avec des gens qui faisaient de la réponse à un incident, et je leur partage quelques éléments qui m'avaient marqué sur les habitudes d'un acteur en particulier que j'avais vu impliqué dans des attaques sous bannir Lockbit et sous bannir Conti. Et ils me disent « mais non, on n'a jamais accès aux négociations, on ne sait pas à quoi ça ressemble, on n'a jamais eu. » Et là je me dis, j'en ai quoi, j'en ai une centaine, et personne ne sait à quoi ça ressemble. Personne n'a aucune idée de comment ça se passe, de comment se comportent les acteurs, est-ce qu'on peut leur faire confiance, est-ce qu'ils mentent, etc. Du coup,
j'ai pris sur moi de péter,
nettoyer tout ça, cet inventaire. Supprimer tous les éléments nominatifs qui permettent de désigner une victime. Modifier les dates parfois aussi. Donc les dates qui sont affichées ne sont pas les vraies en général. Parce que l'idée c'est vraiment de montrer à quoi ça ressemble, comment ça se passe. et puis derrière de mettre en évidence les mensonges des cybercriminels, parce que l'une des grandes promesses que l'on voit régulièrement dans les négociations, c'est celle de fournir des conseils sur, alors déjà des informations sur comment ils sont rentrés, comment ils ont procédé, puis derrière des conseils sur comment éviter que ça se reproduise, et puis ils vendent ça comme étant quelque chose de personnalisé, et on voit très bien notamment chez Anakira que c'est complètement standardisé. ça n'a absolument rien de personnalisé. C'est d'une banalité absolue et c'est largement survendu. Mais quand on est une victime isolée et qu'on se dit « je suis dans la panade, il faut que je parle avec eux, etc. » et qu'on n'a pas cette perspective et cette distance qui permet de comprendre qu'ils sont en train de mentir, qu'ils sont en train de vendre quelque chose qui n'est pas vrai, qui n'a rien de personnalisé mais qui est juste complètement générique. on est quelque part d'autant plus vulnérable que si on a la conscience de ce mensonge.
Effectivement, je vois à quoi tu fais référence, que souvent, ils terminent avec le petit cadeau monux, parce que vous avez dépensé 600 000 dollars dans une rançon, on va vous quand même donner le rapport du pen test. Effectivement, c'est des conseils un peu de base qui n'étaient pas vraiment très vifs, qu'on peut trouver gratuit. en écoutant ce podcast par exemple. Le pire,
ce sont les mêmes négociations. C'est du copier-couler.
Par contre, j'avais vu la fin d'une négociation qui n'était pas très bien passée où la victime disait « Mais par où vous êtes passée ? » et le hacker répondait « Un mail. » Un mail, point. C'était assez marrant. Par contre, quelque chose qui m'a vraiment surpris, C'était une négociation où ils discutaient du tarif de la rançon. Et donc la victime argumentait sur le fait qu'ils n'avaient pas forcément beaucoup d'argent, etc. Et ils ont été jusqu'à exploiter les comptes de la société. Donc ça ressemblait presque à un audit fiscal. On regardait les comptes de résultats en disant « Voilà, vous avez fait ça, vous avez fait tant de chiffres d'affaires, etc. Donc on va fixer la rançon à temps. » Et c'était vraiment une négociation comme on aurait pu l'imaginer dans le cas de... avec un banquier sur l'octroi d'un crédit et avec les preuves de la solidité de la société. Donc ça, c'était quand même, pour moi en tout cas, quelque chose d'assez significatif parce que je ne me doutais pas qu'ils allaient jusqu'à aller éplucher les comptes de la société pour évaluer le niveau de la rançon.
On a eu plus loin encore, chez Conti notamment, je me souviens de cas où ils ont présenté à leurs victimes le contrat d'assurance cyber.
Alors ça c'est un autre truc aussi que j'ai remarqué dans ces discussions, c'est souvent ça commence par, enfin souvent la conversation commence en, est-ce que vous êtes le représentant, est-ce que vous pouvez représenter la victime ? Sous-entendu, est-ce que vous êtes la contrepartie assurance ou autre ? capable de négocier avec nous. Et ça, je pense que d'entrée de jeu, ils essaient de savoir à qui ils ont affaire.
Ça, ce n'est pas quelque chose que l'on voyait nécessairement à l'époque de Conti. C'est quelque chose que j'ai vu d'une manière beaucoup plus présente avec Akira. Mais tiens, ça, c'est un autre point intéressant. Les négociations, il y a... C'est Elie Stannard qui est le premier, en fait, quand j'ai ouvert le Repo. Il s'est jeté dessus et il a fait de l'analyse stylographique dessus. Et en fait, en partant de ça, mais en allant juste un cran plus loin, on voyait très bien qu'il y avait des sous-groupes qui comptaient. Ce qu'on pouvait soupçonner de l'extérieur et ce qu'on a eu confirmé derrière à travers les leaks, ce que certains grands spécialistes du renseignement comme Vitalik Remetz, ce Vitalik Remetz qui connaissait très bien Contic et son collègue Yelizay, le... savaient qu'il y avait plusieurs sous-groupes chez les comptis. Et en fait, l'analyse des négociations avec les comptis montrait également des pratiques différentes et suggérait également la présence de quatre sous-groupes, chacun ayant ses habitudes, sa méthode de négociation, sa pratique.
Ok. Comme tu disais tout à l'heure, comme des départements dans une entreprise, ils ont tous un peu leur manière de procéder, leur méthodologie propre. Et effectivement, à la fin, ça fait une signature quasi unique. Je ne sais pas si tu vas rajouter un commentaire par rapport à tout ça. Parce que tu l'as très clairement dit tout à l'heure, c'est que peu de personnes ont eu l'occasion de voir ça. Et je pense que ton initiative est vraiment géniale parce qu'elle permet de donner à tout le monde une vue synthétique et surtout sécurisée. Ce que j'entends par sécurisée, c'est qu'elle est exfiltrée de toute information, on va dire, pas forcément nécessaire à la compréhension. Et donc, en ça, c'est vraiment quelque chose de super. Je pense que beaucoup de responsables de la sécurité informatique devraient lire, en fin de compte, ces discussions pour comprendre un petit peu comment ça se passe dans la vraie vie et avoir une perspective. Une vision un peu différente des choses. Tu vas rajouter quelque chose par rapport à ça ?
Oui, juste une bricole en fait. Je pense qu'il y a pas mal de gens qui ont très bien compris l'intérêt et la valeur de ça. Ça commence déjà par Mikko Ikkonen de Oisecure, qu'on a parlé à sa conférence l'an dernier, lors de sa plénière. Mais aussi des chercheurs indépendants. qui aujourd'hui n'hésitent pas à se tourner vers moi pour me proposer des négociations additionnelles qu'ils ont obtenues, qu'ils ont suivies, etc. Mais ils me les fournissent, ils me font confiance pour les nettoyer. Le process est simple, d'ailleurs, ils me les passent de manière confidentielle. Je les traite, je les nettoie et je les leur renvoie pour validation du nettoyage. Et une fois que j'ai leur goût, qu'ils sont d'accord avec le nettoyage qui a été fait, on met sur le récord d'Itab. J'ai eu un contact extraordinaire à l'été dernier, un américain qui avait été impliqué dans des négociations avec Akira et qui s'était reconnu. Il avait recrouvé dans le repo des négociations sur lesquelles il était intervenu. il était tout à fait enthousiaste parce que si ce n'était pas lui-même il n'aurait pas reconnu il n'aurait pas Et voilà, il était tout à fait content qu'on puisse remonter à ses clients, ni quoi que ce soit. Donc, il a apprécié le travail et la visibilité que ça donnait.
Très bien. Le mot de la fin, Valéry ?
Le mot de la fin ? Le mot de la fin, je dirais malheureusement, on est loin d'en voir la fin.
On n'est même qu'au début, j'ai l'impression.
Je pense que malheureusement, on ne mesure pas la quantité de points d'entrée potentiels exploitables pour conduire ce genre d'attaque. Les gens qui sont encore là sont déjà prêts à être exploités, à être utilisés, sans qu'on s'en rende compte, sans qu'on en ait conscience, sans qu'on le sache. Je pense que malheureusement, je le pensais déjà il y a plusieurs années, je continue de le penser, il y a beaucoup d'organisations victimes en devenir de cyberattaques et de ransomware qui s'ignorent, malheureusement. Et je pense qu'il y a un vrai grand besoin pour faire du nettoyage dans ces mots de passe, dans ces identifiants. Mettre de l'authentification à facteur multiple partout et pas uniquement sur les comptes à privilèges, les comptes admins, etc. Mais vraiment partout, partout, partout. Parce que si on n'a pas audité, les chemins qui sont susceptibles de permettre de devenir domaine admin à partir d'un simple compte utilisateur, si on n'a pas de MFA sur tous ces comptes, c'est juste perdu. Mettre un jour et surveiller de près ces équipements de périphérie. CDPN, CRDP, rien laisser traîner comme ça, qui permet d'accéder à distance à des ressources internes d'entreprise, encore une fois, sans le méfaire, et surtout, arrêter de confier ces mots de passe identifiants à ces navigateurs, adopter un gestionnaire de mots de passe, fournir un gestionnaire de mots de passe, prendre une souscription d'entreprise et mettre à disposition de ses utilisateurs un gestionnaire de mots de passe. combinant les usages privés et perso pour renforcer leur sécurité personnelle, tout en renforçant la sécurité de l'entreprise, c'est la souris sur le gâteau pour favoriser l'adoption je dirais, et les habituer à fermer leur session. Pas simplement fermer la fenêtre, pas simplement fermer l'onglet, fermer la session quand ils ont fini quelque part, histoire que les jetons de session, que les cookies restent de patrène pas, ne puissent pas être volés par le premier logiciel, le premier manichiel dérobeur, pas le fond.
J'espère que ton message sera entendu par de nombreuses personnes. Écoute Valérie, encore un très grand merci d'avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère, Jean Bafouille. Tu es le premier journaliste qui est intervenu et en tout cas c'était hyper intéressant d'avoir ton expertise et ta rigueur d'analyse, puisque je tiens à souligner que ce que tu as expliqué démontre aussi la rigueur. la rigueur que tu utilises pour mener ton travail de journaliste, c'est essentiel. Ce n'est pas simplement quelques conversations dérobées Ausha droite et mises dans un riposte. Il y a un vrai boulot derrière. Ça ne se fait pas comme ça. C'est une certaine valeur. Encore un grand merci. J'espère qu'on te reverra pour une autre occasion ou peut-être un nouvel épisode. Comme je dis très souvent, pour certains, la cybersécurité est un ingénieur et bien plus sérieux que ça.
Description
Episode avec Valery Rieß-Marchive rédacteur en chef du Mag-IT (https://www.lemagit.fr) à propos des négociations entre victimes et groupe de hacker.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité aux gens qui n'y comprennent rien. Ma grand-mère a accueilli beaucoup d'illustres personnages dans ce podcast. On a eu des avocats, on a eu des spécialistes de la cybersécurité ou de l'intelligence artificielle. Mais il y avait une catégorie de professionnels que je n'avais pas encore l'occasion d'aborder dans cette émission, c'est les journalistes. Et les journalistes ont un rôle hyper important, vous le savez tous, que ce soit les affaires du Watergate ou alors plus récemment le Panama Papers. les journalistes ont d'une certaine manière donné un éclairage sur la société assez important. Et je pense que la parole des journalistes est très importante, surtout par les temps qui courent, avec le monsieur avec les cheveux orange de l'autre côté de l'Atlantique. Et il y a peu de journalistes qui interviennent dans la cybersécurité. Et j'ai la chance et le privilège d'en accueillir un aujourd'hui dans cet épisode de la cybersécurité expliqué à ma grand-mère. C'est Valérie Ries-Marchive. Donc Valéry, est-ce que tu veux bien te présenter ?
Oui, merci de m'accueillir. Je vais la faire simple, je suis le rédacteur en chef du MagaEthique, qui est un média en ligne IT B2B, donc pour les professionnels dans l'informatique et l'entreprise, qu'on a confondé à plusieurs en 2008 maintenant. Je m'occupe de cybersécurité, je me suis concentré dessus véritablement aux alentours de 2019. Dans ces Ausha, je couvrais déjà bien le sujet avant. Mais aux alentours de 2019, alors que les grandes campagnes de ransomware commencent à arriver, en France et dans le monde, c'est un point d'inflexion pour moi. Je commence à me concentrer sur le sujet, à m'intéresser aux deux côtés, d'un côté aux cybercriminels, mais aussi aux victimes. Ça a fait de moi un petit peu un collectionneur de cyberattaques et un empêcheur de tourner en rond pour les deux côtés de la barrière. Donc j'embête tout le monde, que ce soit les victimes ou que ce soit les attaquants, en cherchant à obtenir des réponses, des exercissements, des précisions de la part des victimes, en cherchant à comprendre l'écosystème des cybercriminels, comment ils s'organisent, comment ils fonctionnent, comment ils nous mentent. comment ils nous utilisent aussi, au demeurant. Voilà. Le gros point d'inflexion, ça a été quand, par hasard, les cyberattaques commençaient vraiment à se multiplier, et un jour, sur Twitter, sur ce qui s'appelait encore Twitter à l'époque, des copains m'ont demandé « Est-ce que tu pourrais pas nous faire nous maintenir à jour une crise chronologique des cyberattaques ? » J'ai dit « Bah oui, allez-y, je suis là, je me lance. » Et puis c'est de là que j'ai commencé non seulement à faire cette frise chronologique pour la France, que j'ai derrière déroulé un petit peu sectoriellement avec les collectivités locales, avec l'éducation, etc.
Et puis derrière,
pour maintenir ça, j'ai commencé à faire un travail de curation régulier, à faire une revue de presse quotidienne de ce qui se disait un peu partout sur les cyberattaques, en France et dans le monde. Et j'ai commencé à maintenir ma liste d'inventaire pour le monde entier. De là, j'ai commencé à produire un bulletin météoransum mensuel sur les grandes tendances. Alors, pas simplement les revendications, mais aussi les cyberattaques qui étaient dans la presse, qu'elles soient revendiquées par des criminels ou pas. Voilà, c'était le doigt dans l'engrenage.
Écoute, certaines personnes collectionnent des timbres. Moi, ma grand-mère, elle collectionne les virus sur des disquets de 3 pouces et demi. Personnellement, j'ai une petite collection de virus très anciens. C'est vraiment très old-style, mais sur des disquets de 3 pouces et demi. Donc voilà, chacun un peu son dada. Alors, comme je le disais un petit peu en introduction, L'intérêt du journalisme, parce que tu es journaliste, vraiment avec un J majuscule, pas entre guillemets quelqu'un qui est un amateur comme moi, mais vraiment un journaliste professionnel, donc tu as une certaine rigueur dans la méthodologie, etc. Est-ce que tu pourrais juste nous éclairer un tout petit peu sur, parce que là tu as expliqué brièvement comment tu es arrivé finalement à t'intéresser à ce genre de choses. Mais comment tu pourrais nous expliquer un petit peu des cas récents ? Par exemple, on parle beaucoup de Black Basta. Comment ça s'est passé pour Black Basta ? Justement, parce que tu as fait toute une étude, toute une recherche dessus. Raconte-nous un petit peu comment tu as pu écrire sur eux, comment ça s'est organisé, etc.
Alors en fait, je pense que, sans que je le sache, ça a commencé l'été dernier. Parce que dans... Alors, je reprends un petit peu de chronologie. Au fil des ans, je ne me suis pas contenté de ce que j'ai fait, mais j'ai fait évoluer ma pratique. C'est-à-dire qu'en plus de faire mon petit catalogue, mon inventaire, comme ça, j'ai commencé à faire un travail de recherche un petit peu plus approfondi, à l'automatiser,
et notamment...
produit une revue de presse hebdomadaire pour le Magaïti, des cas de cyberattaques rapportés dans la presse dans le monde entier. Partant de ça, ça m'a aidé à mettre en face d'une date à laquelle une cyberattaque est revendiquée, la date à laquelle elle a été rapportée dans la presse avec en prime la date à laquelle potentiellement elle est survenue, ou du coup non, elle a été découverte. Cette mise en perspective m'a souligné des décalages, des délais. Par temps, je me suis dit, ok, on a par exemple des cas de divulgation de données où en fait, même sans aller regarder les données, on peut faire une estimation de la date à laquelle les données ont été volées. Alors ça va être sur la base de dates qui sont indiquées sur les noms des fichiers ou les noms des dossiers. Quand on a par exemple un fichier qui dit « fil de temps de la semaine temps de telle année » , on peut estimer que l'attaque est survenue après cette date-là, mentionnée dans un nom de fichier. On a parfois des listes de fichiers au format texte qui contiennent les dernières dates de création de fichiers et de dossiers. Là encore, ça nous donne une indication sur la date d'exfiltration des données. Comme l'exfiltration de données survient juste avant le déclenchement du ransomware, ça nous permet d'avoir une estimation de la date de survie de l'administration. J'ai fait ça sur beaucoup, beaucoup,
beaucoup de revendications de cyberattaques.
Sur Black Basta, sur l'année 2024, je dois être à 85% des cas sur lesquels on a une estimation. Et j'ai observé comme ça des anomalies, ou des choses qui ne me paraissaient pas cohérentes avec leurs habitudes. Et en parallèle, j'ai constaté non seulement une augmentation très significative du nombre de cyberattaques revendiquées chez Akira, mais en plus du nombre de cyberattaques revendiquées chez eux, qui semblaient, de par ces estimations, se rapporter à des faits bien antérieurs. Et donc, on était sur quelque chose qui ne correspondait pas à leurs habitudes non plus. Mais on savait déjà qu'il y avait un lien historique entre les deux groupes et que les deux groupes étaient les descendants d'un précédent qui s'appelait Conti.
Alors, on va juste arrêter à cet endroit-là, parce qu'il y a une précision hyper importante pour les auditeurs, parce que tout le monde n'est pas forcément très familier avec les groupes de hackers, les ransomware, etc. Donc, juste pour replacer un tout petit peu le contexte. Donc... D'une part, parce que tu as parlé d'exfiltration de données, ce qui est assez important de comprendre, c'est que généralement, quand il y a une attaque, ce que vont faire les attaquants, c'est exfiltrer des données et... évidemment, surtout les données sensibles de l'organisation, principalement aussi des données à caractère personnel, parce que ça, c'est une valeur et on va le comprendre juste après, avant de faire détonner finalement un cryptolocker dans le système d'information ou un crypto-malware afin d'immobiliser le système d'information. Et généralement, c'est à ce moment-là où les hackers vont entrer en contact avec l'organisation, soit en laissant un fichier quelque part, soit en envoyant un message. entre guillemets, aux bonnes personnes dans l'organisation. Alors très brièvement, un peu high level, c'est un petit peu comme ça que ça se traduit. Tu as parlé de différents groupes de hackers, et dont un des fameux aussi, Conti, mais on va y revenir, et celui qui nous occupe un petit peu ce soir, c'est Black Basta. Donc tout ça, ce sont des groupes de hackers qui sont un petit peu, entre guillemets, qu'il faut quasiment considérer comme des entreprises. C'est un peu ma lecture des choses. C'est-à-dire que souvent, c'est des groupes qui sont bien organisés, avec des problématiques... Comme toutes les entreprises d'organisation, de recrutement, de vente, entre guillemets, de leur solution, de monétisation de leur attaque, etc. Avec aussi des négociateurs. Donc, on le voit aussi très clairement dans les Ausha et je pense qu'on en parlera un petit peu plus loin. Donc, juste pour donner un petit peu de perspective à tout ça. Et donc, tu t'es arrêté à un moment crucial. où tu as parlé de Conti. Donc Conti est un groupe très connu parce qu'il y a eu effectivement un leak, donc une fuite des informations de ce groupe de hackers, sachant que Conti était un groupe de hackers qui était ukrainorus, si mes souvenirs sont bons, juste avant la guerre en Ukraine et que la guerre en Ukraine a créé quelques tensions dans le groupe. Et le groupe s'est un peu, comment dire, disloqué, probablement dû à des tensions internes. et ce qui a très probablement créé ce leak. Donc voilà, groupe très connu parce que finalement, tout le monde a pu voir un petit peu ce qui se passait à l'intérieur de ce groupe et ça a été essentiel en termes d'informations pour tous les gens qui s'occupent de la cybersécurité parce qu'on passait un petit peu de l'autre côté du miroir et on comprenait beaucoup plus dans le détail comment un groupe de hackers fonctionnait. Donc je te redonne la parole, tu étais juste en train de nous raconter ce qui s'était passé avec Conti.
Alors en fait, Conti, il n'y a pas que des acteurs russes ou ukrainiens chez eux. Ne serait-ce que dans les ligues de Conti, on a des indices sur l'origine géographique d'autres membres du groupe, qui étaient soit dans les Balkans, soit dans certains pays de l'Est européen, mais tous en capacité à être russophones. Donc comme tu l'as bien rappelé, les Conti ont volé en éclats. peu après l'invasion de l'Ukraine par la Russie, notamment du fait de la prise de position très marquée en faveur de la Russie des leaders du groupe. Mais le groupe était lui-même déjà organisé en sous-groupes, un petit peu comme si tu penses des divisions dans une entreprise. Et ces sous-groupes sont partis vivre leur vie chacun de leur côté, grosso modo. thématisé. Et certains sont retrouvés chez Black Basta, d'autres sont retrouvés chez Akira,
mais parmi tous ces gens-là,
il y en a qui se connaissaient dans la vraie vie. Et ce sont des gens qui bossent régulièrement sous pseudonyme, parfois sous plusieurs pseudonymes en même temps, qui peuvent... C'est pour ça que je ne parle pas de groupe, en fait, à proprement parler. Quand on parle d'un Akira, on a le même passage. d'enseigne ou de marque, parce que fondamentalement, rien n'empêche un même acteur de travailler sous plusieurs bannières parallèlement. Dans la pratique, leur niveau de dissimulation les uns envers les autres est suffisamment élevé pour le permettre.
C'est des francs-ruises, en fin de compte.
Voilà, exactement. Et pas forcément avec contrat d'exclusivité. même si certains, même ces ransom hubs, une autre marque comme ça, qui clairement autorise ses affiliés, ses franchisés, à travailler sous d'autres bannières en même temps, sans que ça pose de problème à qui que ce soit. Et donc, cette fluidité qu'il y a entre les groupes et cette porosité, On l'avait déjà observé, on l'avait déjà constaté, vu de l'extérieur, avec ce qu'on a commencé à appeler des revendications croisées. Donc une même victime qui était revendiquée sous une enseigne à un moment donné, et puis une semaine, deux semaines, deux mois plus tard, sous une autre marque. Mais toujours là, en regardant un petit peu les données qui étaient présentées, mises à disposition, en regardant les noms de fichiers, en cherchant à estimer les dates, on s'apercevait que le vol correspondait en fin de compte à la date de revendication antérieure.
Justement sur cette partie-là, parce que quand tu décris ce genre de choses, j'ai l'impression que c'est à la fois un mélange dosing de recherche d'informations pour faire un profilage. Selon toi, à quel degré d'exactitude tu peux attribuer l'attribution ? Enfin, entre guillemets, parce que l'attribution est toujours quelque chose d'extrêmement compliqué en cybersécurité. On dit même que c'est un acte politique, finalement, l'attribution. Mais là, dans ce que tu décris, ça paraît être une méthode quasi scientifique et presque mathématique, avec des éléments très factuels qui permettent à la fin d'avoir un faisceau de présomption extrêmement fin sur un groupe de personnes ou des individus. Selon toi, de ta propre lecture, tu estimes que ta méthodologie te donne un ratio de succès de quel pourcentage ?
On n'est pas vraiment là sur une attribution, on est sur la reconstruction d'une chronologie. On n'est jamais à l'abri d'un maquillage, entre guillemets, des dates de la part d'un acteur. Certains ont très bien compris et soit archivent les données de telle manière que tous les fichiers dossiers ont la même date de création. absolument aucune indication, et là il faut reposer dans les noms des fichiers des dossiers pour trouver des indications. Ce qui n'est pas toujours faisable non plus parce que certains présentent les fichiers sans aucune arborescence, ce qui n'aide vraiment pas. Mais dans la majorité des cas, je dirais qu'on doit être maximum entre deux jours et une semaine de décalage par rapport à la date effective de survenue. à une exception forte, c'est celle où, là, j'estime qu'il n'y a pas d'estimation à sortir, c'est le cas où manifestement, ou vraisemblablement en tout cas, l'attaquant a juste exfiltré des données à partir d'un système de sauvegarde. Et là, on se retrouve avec des jeux de données qui sont parfois anciens, d'un an, d'un an et demi, sans qu'on ait eu de traces. d'attaques antérieures connues, on pourrait soit se dire « Ok, il est en train de recycler des vieilles données » , soit se dire « Ok, il a tapé un système de sauvegarde » , mais dans ce cas-là, ce n'est même pas d'estimation parce que j'estime que le niveau d'incertitude est trop élevé.
D'accord.
Sur l'attribution à un acteur, à m'en parler, On a notamment eu un autre groupe qui est un grand nom aussi du ransomware, qui s'appelle Logbit, qui lui nous donnait des indications extrêmement intéressantes. Parce que Logbit fournissait à ses affidés, et fournit toujours d'ailleurs à ses affidés, son propre outil de, alors ce n'est pas d'exfiltration de données, mais c'est plutôt de téléversement des données qui ont déjà été exfiltrées depuis l'infrastructure utilisée par l'attaquant pour exfiltrer les données vers l'infrastructure. centrale de Logbit qui sera utilisée plus tard pour distribuer et diffuser les données volées. Et ce logiciel a une particularité, c'est qu'il fournit à l'infrastructure de Logbit le nom système de la machine sur laquelle se trouvaient les données. Et on a trouvé plusieurs cas comme ça sur lesquels le nom de la machine système qui était affiché dans l'arborescence chez Longbeat, a été le même. Et à ce moment-là, il s'agit de faire de la recherche sur des moteurs spécialisés comme Shodan OEM, voir si on a des traces de machines exposées publiquement, qui vont exposer publiquement un service de déport d'affichage, un service RDP, qui vont avoir ce nom de machine. Et puis quand on n'a que trois comme ça, qui sont référencés dans ces moteurs de recherche, sur la période donnée à laquelle l'attaque est estimée de survenue. Quelque part, tu as tendance à penser que tu es tombé sur un bout d'infrastructure utilisé par l'acteur impliqué dans l'attaque.
D'accord. Effectivement, la nomenclature aussi du nom des machines, etc., ça peut être assez utile pour récupérer ce type d'infos.
C'est tout plein de faisceaux d'indices qui sont utilisés, sur lesquels on peut avoir un niveau de confiance variable. Mais juste sur les dates, on a eu récemment des leaks de Black Basta, on avait eu les leaks de Conti avant, dans lesquelles sont évoquées les attaques. Donc on va retrouver des... des membres du groupe qui vont dire à tel jour, on le voit dans leurs conversations, « Bon, j'ai fini cette victime. » Ça nous donne une date. Et on peut croiser cette date avec l'estimation. Donc, a posteriori, valider ou invalider la méthode et du moins ajuster le niveau de confiance accordé à la méthode pour faire ces estimations.
Ok, donc c'est vraiment une méthode, on va dire, très rigoureuse, pratiquement comme dans une enquête criminelle, pour essayer de récupérer le moindre indice et essayer de reconstruire finalement la timeline la plus précisément possible. Alors tu as cité un groupe très connu, enfin dont on a parlé beaucoup ces derniers temps, c'est Black Basta. Est-ce que tu peux nous parler un petit peu de tes travaux justement sur Black Basta et ce que tu as fait récemment sur ce groupe ?
Alors comme je le disais précédemment, j'avais repéré des anomalies dans leur comportement. Et je me demandais, compte tenu des liens historiques entre Black Basta et Akira, s'il n'était pas envisageable que des membres de l'un émigraient chez l'autre, pour une raison extraordinaire. J'étais vraiment juste dans le bois mouillé. Et puis le 16 décembre dernier, je reçois un contact en message privé sur Twitter de quelqu'un qui m'a dit avoir des choses à me partager sur Black Basta.
On établit le contact via ProtonMail et les échanges commencent.
Et puis... Quelque chose comme une semaine après, je reçois un coup de fil d'Akane Torriverdi, qui bosse notamment pour le Spiegel. On avait déjà échangé avant, c'est un petit peu loin. Il me fait « Bon, j'aimerais te parler de quelque chose. Est-ce que tu as entendu, est-ce que tu as été approché par quelqu'un qui aurait des choses sur un groupe de ransomware ? » Je lui donne le nom. de la personne qui m'a approché, je lui ai dit que c'est pour Blabasta, il me dit on parle de la même chose, oui on parle de la même chose. Et puis de là, on a décidé de suivre le truc, et de mener l'enquête pour nos supports respectifs, mais tout en se coordonnant, en partageant nos notes, et en échangeant de manière régulière. On a partagé nos contacts, on les a mis dans la boucle aussi. externes qui ont pu nous épauler là-dedans, parce que de temps en temps, on donne des traces de discussions privées entre les personnes russophones, ça aide d'avoir des contacts qui comprennent le russe et qui sont capables d'aider à décoder, à lire entre les lignes du traducteur automatique.
Alors ça, d'autant plus que je ne sais pas si c'est une... Je pense que c'est vrai, mais certains forums un peu, on va dire, de mauvaise réputation russophone, justement pour pouvoir communiquer avec ces gens-là et pour pas se faire démasquer, il faut être très russophone parce qu'ils utilisent des expressions que seuls les Russes arrivent vraiment à comprendre. Donc même avec un niveau, on va dire, raisonnable de Russe, mais sans être Russe en tant que tel, ça pose des difficultés. Il faut vraiment être russophone et connaître les subtilités de la langue pour ne pas se faire démasquer. Alors moi, c'est ce que j'en ai retenu, et c'est ce que tu sembles confirmer, puisqu'il y a quand même un petit peu des subtilités dans la langue qui peuvent échapper aux traducteurs automatiques ou du moins qui peuvent avoir la importance.
Je ne sais pas si c'est à fin de furtivité, mais ce n'est pas juste une question de langue. En fait, ce n'est pas juste une question, c'est une question de culture, d'idiome, de la manière dont localement on se construit un argot quelconque. Ce sont des subtilités qu'on n'a pas quand on se contente d'avoir une approche académique de la langue. Donc comprendre le russe de manière académique et mécanique comme peut le faire un traducteur automatique, c'est complètement insuffisant pour appréhender ce genre de choses. Pour appréhender des échanges de pair à pair en privé, ça ne suffit absolument pas.
D'où l'intérêt de maîtriser le russe et vraiment le maîtriser.
Non mais attention, origine, rue, c'est tout. Et je vous jure que c'est vrai, avec mon nom, vous savez que je souffre aussi de discrimination en France. Sérieux, la dernière fois, contrôle de police, test d'alcoolémie, le flic qui prend ma carte d'identité, il me dit, le nom Ivanov, ça fait déjà deux verres. Et Ivanov, c'est aussi une marque de vodka, vous verrez, dans les rayons, c'est celle qui est tout en bas. Elle coûte 99 centimes. Souvent, elle est à côté du desktop, c'est le même logo, une tête de mort. Tu vois, la petite bouteille qui te regarde comme ça. Bois-moi ! Remis, t'as pas mal à la tête ! Ne l'écoutez jamais. Alors attention, j'aime la France, c'est un super pays. Après, j'aime pas tout le monde. Il faut tout pour faire un monde ? Non. Non, les roues par exemple, c'est vrai. Si demain il y en a plusieurs que l'air, ça changera pas la face du globe. On en garde un ou deux, des roues de secours, tu vois.
Ah oui, il y a des jeux de mots là ! Tu as vu ça ou pas ?
Ah oui, clairement.
Je pense qu'aujourd'hui, quelqu'un qui veut faire de la CTI de manière approfondie, que ce soit simplement en faisant de l'osine sur des actes russes, ou plus loin, en faisant de l'humain, oui, il faut que ce soit un russophone qui n'est pas forcément natif, mais qui au moins ait la culture.
D'accord. Donc le début de ton enquête ?
alors donc ça commence comme ça et on commence à creuser chacun de notre côté on fait chacun appel à des contacts divers et variés y compris des spécialistes de l'usine des lumines jusqu'en Asie qui ont filé des coups de main pour croiser des infos pour aller en dénicher d'autres ... On avait déjà énormément de choses au début du mois de février, on était quasiment prêts à publier. Et puis c'est là que les ligues sont tombées. Ça a été une mine extraordinaire, mais il fallait aller vite dans leur examen, dans leur analyse, forcément pas seul. Aller chercher, aller tâcher d'y chercher des éléments de confirmation, d'information, de correction. de contextualisation, pour remettre tout ça en perspective et affiner la reconstruction de l'histoire, qui est assez rocambolesque, on parle donc du leader du groupe, du leader de Black Basta, qui au mois de juin se retrouve à Erevan. en Arménie. Bizarrement, il se fait arrêter par la police locale à deux pas de l'ambassade des États-Unis. Et puis il est censé attendre une audition en fuite de son extradition vers les États-Unis.
Et puis d'un coup,
il présente ça comme étant ses soutiens locaux auprès des services de renseignement russes. Mais voilà, d'un coup, il échappe à l'extradition et il repart en Russie.
Une affaire à la jazz-band, presque.
Voilà. On a quand même passé deux mois là-dessus. Les dernières semaines étaient probablement les plus denses, avec justement l'examen des liquides. et la recherche de compléments à l'intérieur.
J'imagine. Alors justement, CELIC, alors toi, moi, je collectionnais les virus sur les disquettes 3 pouces et demi, mais toi, tu as une grande collection de LIC. Est-ce que tu pourrais nous, assez brièvement, parce qu'on pourrait parler des heures, évidemment, de CELIC, mais est-ce que tu pourrais nous donner quelques informations sur le comportement des hackers quand on négocie avec eux ? Donc moi j'en ai épluché quelques-uns, donc il y a quelques caractéristiques quand même qui ressortent. Mais toi qui es un spécialiste du sujet, est-ce que tu pourrais nous brosser à grands traits les discussions et les profils de ces hackers ?
Alors, faire des profils je ne saurais pas forcément dire, mais j'aimerais juste reprendre une seconde pour revenir sur l'histoire de ce dont tu es en train de parler. Je suis en train de parler des ransom Ausha. Ce ne sont pas proprement parlé des leaks. Dans ma recherche de chronologie et d'estimation du niveau d'activité des méchants, j'ai régulièrement cherché des échantillons de ransomware dans les plateformes d'analyse clés. connus tels que virus total. Partant de là, tu récupères la note de rançon qui est déposée au moment de l'attaque.
Puis il y a un nombre incroyable d'analystes à travers le monde, et de chercheurs aussi connectés à travers le monde, qui ont suivi comme ça des négociations. Mais voilà, tu regardes ce qui se dit. Mais surtout, ça te donne des dates. Et puis, quelque part, ça peut aussi te donner des indices. C'est comme ça que j'ai repéré certaines habitudes, chez certains acteurs. que j'ai soupçonné d'avoir été impliqué dans deux, trois, quatre, cinq attaques pour lesquelles j'avais suivi la négociation sur la base de leurs habitudes personnelles. Et en fait, je suis allé un jour à une bout de France, c'est une super conférence organisée en France extrêmement intéressante avec plein de spécialistes du monde entier. Et puis j'ai discuté avec des gens qui faisaient de la réponse à un incident, et je leur partage quelques éléments qui m'avaient marqué sur les habitudes d'un acteur en particulier que j'avais vu impliqué dans des attaques sous bannir Lockbit et sous bannir Conti. Et ils me disent « mais non, on n'a jamais accès aux négociations, on ne sait pas à quoi ça ressemble, on n'a jamais eu. » Et là je me dis, j'en ai quoi, j'en ai une centaine, et personne ne sait à quoi ça ressemble. Personne n'a aucune idée de comment ça se passe, de comment se comportent les acteurs, est-ce qu'on peut leur faire confiance, est-ce qu'ils mentent, etc. Du coup,
j'ai pris sur moi de péter,
nettoyer tout ça, cet inventaire. Supprimer tous les éléments nominatifs qui permettent de désigner une victime. Modifier les dates parfois aussi. Donc les dates qui sont affichées ne sont pas les vraies en général. Parce que l'idée c'est vraiment de montrer à quoi ça ressemble, comment ça se passe. et puis derrière de mettre en évidence les mensonges des cybercriminels, parce que l'une des grandes promesses que l'on voit régulièrement dans les négociations, c'est celle de fournir des conseils sur, alors déjà des informations sur comment ils sont rentrés, comment ils ont procédé, puis derrière des conseils sur comment éviter que ça se reproduise, et puis ils vendent ça comme étant quelque chose de personnalisé, et on voit très bien notamment chez Anakira que c'est complètement standardisé. ça n'a absolument rien de personnalisé. C'est d'une banalité absolue et c'est largement survendu. Mais quand on est une victime isolée et qu'on se dit « je suis dans la panade, il faut que je parle avec eux, etc. » et qu'on n'a pas cette perspective et cette distance qui permet de comprendre qu'ils sont en train de mentir, qu'ils sont en train de vendre quelque chose qui n'est pas vrai, qui n'a rien de personnalisé mais qui est juste complètement générique. on est quelque part d'autant plus vulnérable que si on a la conscience de ce mensonge.
Effectivement, je vois à quoi tu fais référence, que souvent, ils terminent avec le petit cadeau monux, parce que vous avez dépensé 600 000 dollars dans une rançon, on va vous quand même donner le rapport du pen test. Effectivement, c'est des conseils un peu de base qui n'étaient pas vraiment très vifs, qu'on peut trouver gratuit. en écoutant ce podcast par exemple. Le pire,
ce sont les mêmes négociations. C'est du copier-couler.
Par contre, j'avais vu la fin d'une négociation qui n'était pas très bien passée où la victime disait « Mais par où vous êtes passée ? » et le hacker répondait « Un mail. » Un mail, point. C'était assez marrant. Par contre, quelque chose qui m'a vraiment surpris, C'était une négociation où ils discutaient du tarif de la rançon. Et donc la victime argumentait sur le fait qu'ils n'avaient pas forcément beaucoup d'argent, etc. Et ils ont été jusqu'à exploiter les comptes de la société. Donc ça ressemblait presque à un audit fiscal. On regardait les comptes de résultats en disant « Voilà, vous avez fait ça, vous avez fait tant de chiffres d'affaires, etc. Donc on va fixer la rançon à temps. » Et c'était vraiment une négociation comme on aurait pu l'imaginer dans le cas de... avec un banquier sur l'octroi d'un crédit et avec les preuves de la solidité de la société. Donc ça, c'était quand même, pour moi en tout cas, quelque chose d'assez significatif parce que je ne me doutais pas qu'ils allaient jusqu'à aller éplucher les comptes de la société pour évaluer le niveau de la rançon.
On a eu plus loin encore, chez Conti notamment, je me souviens de cas où ils ont présenté à leurs victimes le contrat d'assurance cyber.
Alors ça c'est un autre truc aussi que j'ai remarqué dans ces discussions, c'est souvent ça commence par, enfin souvent la conversation commence en, est-ce que vous êtes le représentant, est-ce que vous pouvez représenter la victime ? Sous-entendu, est-ce que vous êtes la contrepartie assurance ou autre ? capable de négocier avec nous. Et ça, je pense que d'entrée de jeu, ils essaient de savoir à qui ils ont affaire.
Ça, ce n'est pas quelque chose que l'on voyait nécessairement à l'époque de Conti. C'est quelque chose que j'ai vu d'une manière beaucoup plus présente avec Akira. Mais tiens, ça, c'est un autre point intéressant. Les négociations, il y a... C'est Elie Stannard qui est le premier, en fait, quand j'ai ouvert le Repo. Il s'est jeté dessus et il a fait de l'analyse stylographique dessus. Et en fait, en partant de ça, mais en allant juste un cran plus loin, on voyait très bien qu'il y avait des sous-groupes qui comptaient. Ce qu'on pouvait soupçonner de l'extérieur et ce qu'on a eu confirmé derrière à travers les leaks, ce que certains grands spécialistes du renseignement comme Vitalik Remetz, ce Vitalik Remetz qui connaissait très bien Contic et son collègue Yelizay, le... savaient qu'il y avait plusieurs sous-groupes chez les comptis. Et en fait, l'analyse des négociations avec les comptis montrait également des pratiques différentes et suggérait également la présence de quatre sous-groupes, chacun ayant ses habitudes, sa méthode de négociation, sa pratique.
Ok. Comme tu disais tout à l'heure, comme des départements dans une entreprise, ils ont tous un peu leur manière de procéder, leur méthodologie propre. Et effectivement, à la fin, ça fait une signature quasi unique. Je ne sais pas si tu vas rajouter un commentaire par rapport à tout ça. Parce que tu l'as très clairement dit tout à l'heure, c'est que peu de personnes ont eu l'occasion de voir ça. Et je pense que ton initiative est vraiment géniale parce qu'elle permet de donner à tout le monde une vue synthétique et surtout sécurisée. Ce que j'entends par sécurisée, c'est qu'elle est exfiltrée de toute information, on va dire, pas forcément nécessaire à la compréhension. Et donc, en ça, c'est vraiment quelque chose de super. Je pense que beaucoup de responsables de la sécurité informatique devraient lire, en fin de compte, ces discussions pour comprendre un petit peu comment ça se passe dans la vraie vie et avoir une perspective. Une vision un peu différente des choses. Tu vas rajouter quelque chose par rapport à ça ?
Oui, juste une bricole en fait. Je pense qu'il y a pas mal de gens qui ont très bien compris l'intérêt et la valeur de ça. Ça commence déjà par Mikko Ikkonen de Oisecure, qu'on a parlé à sa conférence l'an dernier, lors de sa plénière. Mais aussi des chercheurs indépendants. qui aujourd'hui n'hésitent pas à se tourner vers moi pour me proposer des négociations additionnelles qu'ils ont obtenues, qu'ils ont suivies, etc. Mais ils me les fournissent, ils me font confiance pour les nettoyer. Le process est simple, d'ailleurs, ils me les passent de manière confidentielle. Je les traite, je les nettoie et je les leur renvoie pour validation du nettoyage. Et une fois que j'ai leur goût, qu'ils sont d'accord avec le nettoyage qui a été fait, on met sur le récord d'Itab. J'ai eu un contact extraordinaire à l'été dernier, un américain qui avait été impliqué dans des négociations avec Akira et qui s'était reconnu. Il avait recrouvé dans le repo des négociations sur lesquelles il était intervenu. il était tout à fait enthousiaste parce que si ce n'était pas lui-même il n'aurait pas reconnu il n'aurait pas Et voilà, il était tout à fait content qu'on puisse remonter à ses clients, ni quoi que ce soit. Donc, il a apprécié le travail et la visibilité que ça donnait.
Très bien. Le mot de la fin, Valéry ?
Le mot de la fin ? Le mot de la fin, je dirais malheureusement, on est loin d'en voir la fin.
On n'est même qu'au début, j'ai l'impression.
Je pense que malheureusement, on ne mesure pas la quantité de points d'entrée potentiels exploitables pour conduire ce genre d'attaque. Les gens qui sont encore là sont déjà prêts à être exploités, à être utilisés, sans qu'on s'en rende compte, sans qu'on en ait conscience, sans qu'on le sache. Je pense que malheureusement, je le pensais déjà il y a plusieurs années, je continue de le penser, il y a beaucoup d'organisations victimes en devenir de cyberattaques et de ransomware qui s'ignorent, malheureusement. Et je pense qu'il y a un vrai grand besoin pour faire du nettoyage dans ces mots de passe, dans ces identifiants. Mettre de l'authentification à facteur multiple partout et pas uniquement sur les comptes à privilèges, les comptes admins, etc. Mais vraiment partout, partout, partout. Parce que si on n'a pas audité, les chemins qui sont susceptibles de permettre de devenir domaine admin à partir d'un simple compte utilisateur, si on n'a pas de MFA sur tous ces comptes, c'est juste perdu. Mettre un jour et surveiller de près ces équipements de périphérie. CDPN, CRDP, rien laisser traîner comme ça, qui permet d'accéder à distance à des ressources internes d'entreprise, encore une fois, sans le méfaire, et surtout, arrêter de confier ces mots de passe identifiants à ces navigateurs, adopter un gestionnaire de mots de passe, fournir un gestionnaire de mots de passe, prendre une souscription d'entreprise et mettre à disposition de ses utilisateurs un gestionnaire de mots de passe. combinant les usages privés et perso pour renforcer leur sécurité personnelle, tout en renforçant la sécurité de l'entreprise, c'est la souris sur le gâteau pour favoriser l'adoption je dirais, et les habituer à fermer leur session. Pas simplement fermer la fenêtre, pas simplement fermer l'onglet, fermer la session quand ils ont fini quelque part, histoire que les jetons de session, que les cookies restent de patrène pas, ne puissent pas être volés par le premier logiciel, le premier manichiel dérobeur, pas le fond.
J'espère que ton message sera entendu par de nombreuses personnes. Écoute Valérie, encore un très grand merci d'avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère, Jean Bafouille. Tu es le premier journaliste qui est intervenu et en tout cas c'était hyper intéressant d'avoir ton expertise et ta rigueur d'analyse, puisque je tiens à souligner que ce que tu as expliqué démontre aussi la rigueur. la rigueur que tu utilises pour mener ton travail de journaliste, c'est essentiel. Ce n'est pas simplement quelques conversations dérobées Ausha droite et mises dans un riposte. Il y a un vrai boulot derrière. Ça ne se fait pas comme ça. C'est une certaine valeur. Encore un grand merci. J'espère qu'on te reverra pour une autre occasion ou peut-être un nouvel épisode. Comme je dis très souvent, pour certains, la cybersécurité est un ingénieur et bien plus sérieux que ça.
Share
Embed
You may also like
Description
Episode avec Valery Rieß-Marchive rédacteur en chef du Mag-IT (https://www.lemagit.fr) à propos des négociations entre victimes et groupe de hacker.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité aux gens qui n'y comprennent rien. Ma grand-mère a accueilli beaucoup d'illustres personnages dans ce podcast. On a eu des avocats, on a eu des spécialistes de la cybersécurité ou de l'intelligence artificielle. Mais il y avait une catégorie de professionnels que je n'avais pas encore l'occasion d'aborder dans cette émission, c'est les journalistes. Et les journalistes ont un rôle hyper important, vous le savez tous, que ce soit les affaires du Watergate ou alors plus récemment le Panama Papers. les journalistes ont d'une certaine manière donné un éclairage sur la société assez important. Et je pense que la parole des journalistes est très importante, surtout par les temps qui courent, avec le monsieur avec les cheveux orange de l'autre côté de l'Atlantique. Et il y a peu de journalistes qui interviennent dans la cybersécurité. Et j'ai la chance et le privilège d'en accueillir un aujourd'hui dans cet épisode de la cybersécurité expliqué à ma grand-mère. C'est Valérie Ries-Marchive. Donc Valéry, est-ce que tu veux bien te présenter ?
Oui, merci de m'accueillir. Je vais la faire simple, je suis le rédacteur en chef du MagaEthique, qui est un média en ligne IT B2B, donc pour les professionnels dans l'informatique et l'entreprise, qu'on a confondé à plusieurs en 2008 maintenant. Je m'occupe de cybersécurité, je me suis concentré dessus véritablement aux alentours de 2019. Dans ces Ausha, je couvrais déjà bien le sujet avant. Mais aux alentours de 2019, alors que les grandes campagnes de ransomware commencent à arriver, en France et dans le monde, c'est un point d'inflexion pour moi. Je commence à me concentrer sur le sujet, à m'intéresser aux deux côtés, d'un côté aux cybercriminels, mais aussi aux victimes. Ça a fait de moi un petit peu un collectionneur de cyberattaques et un empêcheur de tourner en rond pour les deux côtés de la barrière. Donc j'embête tout le monde, que ce soit les victimes ou que ce soit les attaquants, en cherchant à obtenir des réponses, des exercissements, des précisions de la part des victimes, en cherchant à comprendre l'écosystème des cybercriminels, comment ils s'organisent, comment ils fonctionnent, comment ils nous mentent. comment ils nous utilisent aussi, au demeurant. Voilà. Le gros point d'inflexion, ça a été quand, par hasard, les cyberattaques commençaient vraiment à se multiplier, et un jour, sur Twitter, sur ce qui s'appelait encore Twitter à l'époque, des copains m'ont demandé « Est-ce que tu pourrais pas nous faire nous maintenir à jour une crise chronologique des cyberattaques ? » J'ai dit « Bah oui, allez-y, je suis là, je me lance. » Et puis c'est de là que j'ai commencé non seulement à faire cette frise chronologique pour la France, que j'ai derrière déroulé un petit peu sectoriellement avec les collectivités locales, avec l'éducation, etc.
Et puis derrière,
pour maintenir ça, j'ai commencé à faire un travail de curation régulier, à faire une revue de presse quotidienne de ce qui se disait un peu partout sur les cyberattaques, en France et dans le monde. Et j'ai commencé à maintenir ma liste d'inventaire pour le monde entier. De là, j'ai commencé à produire un bulletin météoransum mensuel sur les grandes tendances. Alors, pas simplement les revendications, mais aussi les cyberattaques qui étaient dans la presse, qu'elles soient revendiquées par des criminels ou pas. Voilà, c'était le doigt dans l'engrenage.
Écoute, certaines personnes collectionnent des timbres. Moi, ma grand-mère, elle collectionne les virus sur des disquets de 3 pouces et demi. Personnellement, j'ai une petite collection de virus très anciens. C'est vraiment très old-style, mais sur des disquets de 3 pouces et demi. Donc voilà, chacun un peu son dada. Alors, comme je le disais un petit peu en introduction, L'intérêt du journalisme, parce que tu es journaliste, vraiment avec un J majuscule, pas entre guillemets quelqu'un qui est un amateur comme moi, mais vraiment un journaliste professionnel, donc tu as une certaine rigueur dans la méthodologie, etc. Est-ce que tu pourrais juste nous éclairer un tout petit peu sur, parce que là tu as expliqué brièvement comment tu es arrivé finalement à t'intéresser à ce genre de choses. Mais comment tu pourrais nous expliquer un petit peu des cas récents ? Par exemple, on parle beaucoup de Black Basta. Comment ça s'est passé pour Black Basta ? Justement, parce que tu as fait toute une étude, toute une recherche dessus. Raconte-nous un petit peu comment tu as pu écrire sur eux, comment ça s'est organisé, etc.
Alors en fait, je pense que, sans que je le sache, ça a commencé l'été dernier. Parce que dans... Alors, je reprends un petit peu de chronologie. Au fil des ans, je ne me suis pas contenté de ce que j'ai fait, mais j'ai fait évoluer ma pratique. C'est-à-dire qu'en plus de faire mon petit catalogue, mon inventaire, comme ça, j'ai commencé à faire un travail de recherche un petit peu plus approfondi, à l'automatiser,
et notamment...
produit une revue de presse hebdomadaire pour le Magaïti, des cas de cyberattaques rapportés dans la presse dans le monde entier. Partant de ça, ça m'a aidé à mettre en face d'une date à laquelle une cyberattaque est revendiquée, la date à laquelle elle a été rapportée dans la presse avec en prime la date à laquelle potentiellement elle est survenue, ou du coup non, elle a été découverte. Cette mise en perspective m'a souligné des décalages, des délais. Par temps, je me suis dit, ok, on a par exemple des cas de divulgation de données où en fait, même sans aller regarder les données, on peut faire une estimation de la date à laquelle les données ont été volées. Alors ça va être sur la base de dates qui sont indiquées sur les noms des fichiers ou les noms des dossiers. Quand on a par exemple un fichier qui dit « fil de temps de la semaine temps de telle année » , on peut estimer que l'attaque est survenue après cette date-là, mentionnée dans un nom de fichier. On a parfois des listes de fichiers au format texte qui contiennent les dernières dates de création de fichiers et de dossiers. Là encore, ça nous donne une indication sur la date d'exfiltration des données. Comme l'exfiltration de données survient juste avant le déclenchement du ransomware, ça nous permet d'avoir une estimation de la date de survie de l'administration. J'ai fait ça sur beaucoup, beaucoup,
beaucoup de revendications de cyberattaques.
Sur Black Basta, sur l'année 2024, je dois être à 85% des cas sur lesquels on a une estimation. Et j'ai observé comme ça des anomalies, ou des choses qui ne me paraissaient pas cohérentes avec leurs habitudes. Et en parallèle, j'ai constaté non seulement une augmentation très significative du nombre de cyberattaques revendiquées chez Akira, mais en plus du nombre de cyberattaques revendiquées chez eux, qui semblaient, de par ces estimations, se rapporter à des faits bien antérieurs. Et donc, on était sur quelque chose qui ne correspondait pas à leurs habitudes non plus. Mais on savait déjà qu'il y avait un lien historique entre les deux groupes et que les deux groupes étaient les descendants d'un précédent qui s'appelait Conti.
Alors, on va juste arrêter à cet endroit-là, parce qu'il y a une précision hyper importante pour les auditeurs, parce que tout le monde n'est pas forcément très familier avec les groupes de hackers, les ransomware, etc. Donc, juste pour replacer un tout petit peu le contexte. Donc... D'une part, parce que tu as parlé d'exfiltration de données, ce qui est assez important de comprendre, c'est que généralement, quand il y a une attaque, ce que vont faire les attaquants, c'est exfiltrer des données et... évidemment, surtout les données sensibles de l'organisation, principalement aussi des données à caractère personnel, parce que ça, c'est une valeur et on va le comprendre juste après, avant de faire détonner finalement un cryptolocker dans le système d'information ou un crypto-malware afin d'immobiliser le système d'information. Et généralement, c'est à ce moment-là où les hackers vont entrer en contact avec l'organisation, soit en laissant un fichier quelque part, soit en envoyant un message. entre guillemets, aux bonnes personnes dans l'organisation. Alors très brièvement, un peu high level, c'est un petit peu comme ça que ça se traduit. Tu as parlé de différents groupes de hackers, et dont un des fameux aussi, Conti, mais on va y revenir, et celui qui nous occupe un petit peu ce soir, c'est Black Basta. Donc tout ça, ce sont des groupes de hackers qui sont un petit peu, entre guillemets, qu'il faut quasiment considérer comme des entreprises. C'est un peu ma lecture des choses. C'est-à-dire que souvent, c'est des groupes qui sont bien organisés, avec des problématiques... Comme toutes les entreprises d'organisation, de recrutement, de vente, entre guillemets, de leur solution, de monétisation de leur attaque, etc. Avec aussi des négociateurs. Donc, on le voit aussi très clairement dans les Ausha et je pense qu'on en parlera un petit peu plus loin. Donc, juste pour donner un petit peu de perspective à tout ça. Et donc, tu t'es arrêté à un moment crucial. où tu as parlé de Conti. Donc Conti est un groupe très connu parce qu'il y a eu effectivement un leak, donc une fuite des informations de ce groupe de hackers, sachant que Conti était un groupe de hackers qui était ukrainorus, si mes souvenirs sont bons, juste avant la guerre en Ukraine et que la guerre en Ukraine a créé quelques tensions dans le groupe. Et le groupe s'est un peu, comment dire, disloqué, probablement dû à des tensions internes. et ce qui a très probablement créé ce leak. Donc voilà, groupe très connu parce que finalement, tout le monde a pu voir un petit peu ce qui se passait à l'intérieur de ce groupe et ça a été essentiel en termes d'informations pour tous les gens qui s'occupent de la cybersécurité parce qu'on passait un petit peu de l'autre côté du miroir et on comprenait beaucoup plus dans le détail comment un groupe de hackers fonctionnait. Donc je te redonne la parole, tu étais juste en train de nous raconter ce qui s'était passé avec Conti.
Alors en fait, Conti, il n'y a pas que des acteurs russes ou ukrainiens chez eux. Ne serait-ce que dans les ligues de Conti, on a des indices sur l'origine géographique d'autres membres du groupe, qui étaient soit dans les Balkans, soit dans certains pays de l'Est européen, mais tous en capacité à être russophones. Donc comme tu l'as bien rappelé, les Conti ont volé en éclats. peu après l'invasion de l'Ukraine par la Russie, notamment du fait de la prise de position très marquée en faveur de la Russie des leaders du groupe. Mais le groupe était lui-même déjà organisé en sous-groupes, un petit peu comme si tu penses des divisions dans une entreprise. Et ces sous-groupes sont partis vivre leur vie chacun de leur côté, grosso modo. thématisé. Et certains sont retrouvés chez Black Basta, d'autres sont retrouvés chez Akira,
mais parmi tous ces gens-là,
il y en a qui se connaissaient dans la vraie vie. Et ce sont des gens qui bossent régulièrement sous pseudonyme, parfois sous plusieurs pseudonymes en même temps, qui peuvent... C'est pour ça que je ne parle pas de groupe, en fait, à proprement parler. Quand on parle d'un Akira, on a le même passage. d'enseigne ou de marque, parce que fondamentalement, rien n'empêche un même acteur de travailler sous plusieurs bannières parallèlement. Dans la pratique, leur niveau de dissimulation les uns envers les autres est suffisamment élevé pour le permettre.
C'est des francs-ruises, en fin de compte.
Voilà, exactement. Et pas forcément avec contrat d'exclusivité. même si certains, même ces ransom hubs, une autre marque comme ça, qui clairement autorise ses affiliés, ses franchisés, à travailler sous d'autres bannières en même temps, sans que ça pose de problème à qui que ce soit. Et donc, cette fluidité qu'il y a entre les groupes et cette porosité, On l'avait déjà observé, on l'avait déjà constaté, vu de l'extérieur, avec ce qu'on a commencé à appeler des revendications croisées. Donc une même victime qui était revendiquée sous une enseigne à un moment donné, et puis une semaine, deux semaines, deux mois plus tard, sous une autre marque. Mais toujours là, en regardant un petit peu les données qui étaient présentées, mises à disposition, en regardant les noms de fichiers, en cherchant à estimer les dates, on s'apercevait que le vol correspondait en fin de compte à la date de revendication antérieure.
Justement sur cette partie-là, parce que quand tu décris ce genre de choses, j'ai l'impression que c'est à la fois un mélange dosing de recherche d'informations pour faire un profilage. Selon toi, à quel degré d'exactitude tu peux attribuer l'attribution ? Enfin, entre guillemets, parce que l'attribution est toujours quelque chose d'extrêmement compliqué en cybersécurité. On dit même que c'est un acte politique, finalement, l'attribution. Mais là, dans ce que tu décris, ça paraît être une méthode quasi scientifique et presque mathématique, avec des éléments très factuels qui permettent à la fin d'avoir un faisceau de présomption extrêmement fin sur un groupe de personnes ou des individus. Selon toi, de ta propre lecture, tu estimes que ta méthodologie te donne un ratio de succès de quel pourcentage ?
On n'est pas vraiment là sur une attribution, on est sur la reconstruction d'une chronologie. On n'est jamais à l'abri d'un maquillage, entre guillemets, des dates de la part d'un acteur. Certains ont très bien compris et soit archivent les données de telle manière que tous les fichiers dossiers ont la même date de création. absolument aucune indication, et là il faut reposer dans les noms des fichiers des dossiers pour trouver des indications. Ce qui n'est pas toujours faisable non plus parce que certains présentent les fichiers sans aucune arborescence, ce qui n'aide vraiment pas. Mais dans la majorité des cas, je dirais qu'on doit être maximum entre deux jours et une semaine de décalage par rapport à la date effective de survenue. à une exception forte, c'est celle où, là, j'estime qu'il n'y a pas d'estimation à sortir, c'est le cas où manifestement, ou vraisemblablement en tout cas, l'attaquant a juste exfiltré des données à partir d'un système de sauvegarde. Et là, on se retrouve avec des jeux de données qui sont parfois anciens, d'un an, d'un an et demi, sans qu'on ait eu de traces. d'attaques antérieures connues, on pourrait soit se dire « Ok, il est en train de recycler des vieilles données » , soit se dire « Ok, il a tapé un système de sauvegarde » , mais dans ce cas-là, ce n'est même pas d'estimation parce que j'estime que le niveau d'incertitude est trop élevé.
D'accord.
Sur l'attribution à un acteur, à m'en parler, On a notamment eu un autre groupe qui est un grand nom aussi du ransomware, qui s'appelle Logbit, qui lui nous donnait des indications extrêmement intéressantes. Parce que Logbit fournissait à ses affidés, et fournit toujours d'ailleurs à ses affidés, son propre outil de, alors ce n'est pas d'exfiltration de données, mais c'est plutôt de téléversement des données qui ont déjà été exfiltrées depuis l'infrastructure utilisée par l'attaquant pour exfiltrer les données vers l'infrastructure. centrale de Logbit qui sera utilisée plus tard pour distribuer et diffuser les données volées. Et ce logiciel a une particularité, c'est qu'il fournit à l'infrastructure de Logbit le nom système de la machine sur laquelle se trouvaient les données. Et on a trouvé plusieurs cas comme ça sur lesquels le nom de la machine système qui était affiché dans l'arborescence chez Longbeat, a été le même. Et à ce moment-là, il s'agit de faire de la recherche sur des moteurs spécialisés comme Shodan OEM, voir si on a des traces de machines exposées publiquement, qui vont exposer publiquement un service de déport d'affichage, un service RDP, qui vont avoir ce nom de machine. Et puis quand on n'a que trois comme ça, qui sont référencés dans ces moteurs de recherche, sur la période donnée à laquelle l'attaque est estimée de survenue. Quelque part, tu as tendance à penser que tu es tombé sur un bout d'infrastructure utilisé par l'acteur impliqué dans l'attaque.
D'accord. Effectivement, la nomenclature aussi du nom des machines, etc., ça peut être assez utile pour récupérer ce type d'infos.
C'est tout plein de faisceaux d'indices qui sont utilisés, sur lesquels on peut avoir un niveau de confiance variable. Mais juste sur les dates, on a eu récemment des leaks de Black Basta, on avait eu les leaks de Conti avant, dans lesquelles sont évoquées les attaques. Donc on va retrouver des... des membres du groupe qui vont dire à tel jour, on le voit dans leurs conversations, « Bon, j'ai fini cette victime. » Ça nous donne une date. Et on peut croiser cette date avec l'estimation. Donc, a posteriori, valider ou invalider la méthode et du moins ajuster le niveau de confiance accordé à la méthode pour faire ces estimations.
Ok, donc c'est vraiment une méthode, on va dire, très rigoureuse, pratiquement comme dans une enquête criminelle, pour essayer de récupérer le moindre indice et essayer de reconstruire finalement la timeline la plus précisément possible. Alors tu as cité un groupe très connu, enfin dont on a parlé beaucoup ces derniers temps, c'est Black Basta. Est-ce que tu peux nous parler un petit peu de tes travaux justement sur Black Basta et ce que tu as fait récemment sur ce groupe ?
Alors comme je le disais précédemment, j'avais repéré des anomalies dans leur comportement. Et je me demandais, compte tenu des liens historiques entre Black Basta et Akira, s'il n'était pas envisageable que des membres de l'un émigraient chez l'autre, pour une raison extraordinaire. J'étais vraiment juste dans le bois mouillé. Et puis le 16 décembre dernier, je reçois un contact en message privé sur Twitter de quelqu'un qui m'a dit avoir des choses à me partager sur Black Basta.
On établit le contact via ProtonMail et les échanges commencent.
Et puis... Quelque chose comme une semaine après, je reçois un coup de fil d'Akane Torriverdi, qui bosse notamment pour le Spiegel. On avait déjà échangé avant, c'est un petit peu loin. Il me fait « Bon, j'aimerais te parler de quelque chose. Est-ce que tu as entendu, est-ce que tu as été approché par quelqu'un qui aurait des choses sur un groupe de ransomware ? » Je lui donne le nom. de la personne qui m'a approché, je lui ai dit que c'est pour Blabasta, il me dit on parle de la même chose, oui on parle de la même chose. Et puis de là, on a décidé de suivre le truc, et de mener l'enquête pour nos supports respectifs, mais tout en se coordonnant, en partageant nos notes, et en échangeant de manière régulière. On a partagé nos contacts, on les a mis dans la boucle aussi. externes qui ont pu nous épauler là-dedans, parce que de temps en temps, on donne des traces de discussions privées entre les personnes russophones, ça aide d'avoir des contacts qui comprennent le russe et qui sont capables d'aider à décoder, à lire entre les lignes du traducteur automatique.
Alors ça, d'autant plus que je ne sais pas si c'est une... Je pense que c'est vrai, mais certains forums un peu, on va dire, de mauvaise réputation russophone, justement pour pouvoir communiquer avec ces gens-là et pour pas se faire démasquer, il faut être très russophone parce qu'ils utilisent des expressions que seuls les Russes arrivent vraiment à comprendre. Donc même avec un niveau, on va dire, raisonnable de Russe, mais sans être Russe en tant que tel, ça pose des difficultés. Il faut vraiment être russophone et connaître les subtilités de la langue pour ne pas se faire démasquer. Alors moi, c'est ce que j'en ai retenu, et c'est ce que tu sembles confirmer, puisqu'il y a quand même un petit peu des subtilités dans la langue qui peuvent échapper aux traducteurs automatiques ou du moins qui peuvent avoir la importance.
Je ne sais pas si c'est à fin de furtivité, mais ce n'est pas juste une question de langue. En fait, ce n'est pas juste une question, c'est une question de culture, d'idiome, de la manière dont localement on se construit un argot quelconque. Ce sont des subtilités qu'on n'a pas quand on se contente d'avoir une approche académique de la langue. Donc comprendre le russe de manière académique et mécanique comme peut le faire un traducteur automatique, c'est complètement insuffisant pour appréhender ce genre de choses. Pour appréhender des échanges de pair à pair en privé, ça ne suffit absolument pas.
D'où l'intérêt de maîtriser le russe et vraiment le maîtriser.
Non mais attention, origine, rue, c'est tout. Et je vous jure que c'est vrai, avec mon nom, vous savez que je souffre aussi de discrimination en France. Sérieux, la dernière fois, contrôle de police, test d'alcoolémie, le flic qui prend ma carte d'identité, il me dit, le nom Ivanov, ça fait déjà deux verres. Et Ivanov, c'est aussi une marque de vodka, vous verrez, dans les rayons, c'est celle qui est tout en bas. Elle coûte 99 centimes. Souvent, elle est à côté du desktop, c'est le même logo, une tête de mort. Tu vois, la petite bouteille qui te regarde comme ça. Bois-moi ! Remis, t'as pas mal à la tête ! Ne l'écoutez jamais. Alors attention, j'aime la France, c'est un super pays. Après, j'aime pas tout le monde. Il faut tout pour faire un monde ? Non. Non, les roues par exemple, c'est vrai. Si demain il y en a plusieurs que l'air, ça changera pas la face du globe. On en garde un ou deux, des roues de secours, tu vois.
Ah oui, il y a des jeux de mots là ! Tu as vu ça ou pas ?
Ah oui, clairement.
Je pense qu'aujourd'hui, quelqu'un qui veut faire de la CTI de manière approfondie, que ce soit simplement en faisant de l'osine sur des actes russes, ou plus loin, en faisant de l'humain, oui, il faut que ce soit un russophone qui n'est pas forcément natif, mais qui au moins ait la culture.
D'accord. Donc le début de ton enquête ?
alors donc ça commence comme ça et on commence à creuser chacun de notre côté on fait chacun appel à des contacts divers et variés y compris des spécialistes de l'usine des lumines jusqu'en Asie qui ont filé des coups de main pour croiser des infos pour aller en dénicher d'autres ... On avait déjà énormément de choses au début du mois de février, on était quasiment prêts à publier. Et puis c'est là que les ligues sont tombées. Ça a été une mine extraordinaire, mais il fallait aller vite dans leur examen, dans leur analyse, forcément pas seul. Aller chercher, aller tâcher d'y chercher des éléments de confirmation, d'information, de correction. de contextualisation, pour remettre tout ça en perspective et affiner la reconstruction de l'histoire, qui est assez rocambolesque, on parle donc du leader du groupe, du leader de Black Basta, qui au mois de juin se retrouve à Erevan. en Arménie. Bizarrement, il se fait arrêter par la police locale à deux pas de l'ambassade des États-Unis. Et puis il est censé attendre une audition en fuite de son extradition vers les États-Unis.
Et puis d'un coup,
il présente ça comme étant ses soutiens locaux auprès des services de renseignement russes. Mais voilà, d'un coup, il échappe à l'extradition et il repart en Russie.
Une affaire à la jazz-band, presque.
Voilà. On a quand même passé deux mois là-dessus. Les dernières semaines étaient probablement les plus denses, avec justement l'examen des liquides. et la recherche de compléments à l'intérieur.
J'imagine. Alors justement, CELIC, alors toi, moi, je collectionnais les virus sur les disquettes 3 pouces et demi, mais toi, tu as une grande collection de LIC. Est-ce que tu pourrais nous, assez brièvement, parce qu'on pourrait parler des heures, évidemment, de CELIC, mais est-ce que tu pourrais nous donner quelques informations sur le comportement des hackers quand on négocie avec eux ? Donc moi j'en ai épluché quelques-uns, donc il y a quelques caractéristiques quand même qui ressortent. Mais toi qui es un spécialiste du sujet, est-ce que tu pourrais nous brosser à grands traits les discussions et les profils de ces hackers ?
Alors, faire des profils je ne saurais pas forcément dire, mais j'aimerais juste reprendre une seconde pour revenir sur l'histoire de ce dont tu es en train de parler. Je suis en train de parler des ransom Ausha. Ce ne sont pas proprement parlé des leaks. Dans ma recherche de chronologie et d'estimation du niveau d'activité des méchants, j'ai régulièrement cherché des échantillons de ransomware dans les plateformes d'analyse clés. connus tels que virus total. Partant de là, tu récupères la note de rançon qui est déposée au moment de l'attaque.
Puis il y a un nombre incroyable d'analystes à travers le monde, et de chercheurs aussi connectés à travers le monde, qui ont suivi comme ça des négociations. Mais voilà, tu regardes ce qui se dit. Mais surtout, ça te donne des dates. Et puis, quelque part, ça peut aussi te donner des indices. C'est comme ça que j'ai repéré certaines habitudes, chez certains acteurs. que j'ai soupçonné d'avoir été impliqué dans deux, trois, quatre, cinq attaques pour lesquelles j'avais suivi la négociation sur la base de leurs habitudes personnelles. Et en fait, je suis allé un jour à une bout de France, c'est une super conférence organisée en France extrêmement intéressante avec plein de spécialistes du monde entier. Et puis j'ai discuté avec des gens qui faisaient de la réponse à un incident, et je leur partage quelques éléments qui m'avaient marqué sur les habitudes d'un acteur en particulier que j'avais vu impliqué dans des attaques sous bannir Lockbit et sous bannir Conti. Et ils me disent « mais non, on n'a jamais accès aux négociations, on ne sait pas à quoi ça ressemble, on n'a jamais eu. » Et là je me dis, j'en ai quoi, j'en ai une centaine, et personne ne sait à quoi ça ressemble. Personne n'a aucune idée de comment ça se passe, de comment se comportent les acteurs, est-ce qu'on peut leur faire confiance, est-ce qu'ils mentent, etc. Du coup,
j'ai pris sur moi de péter,
nettoyer tout ça, cet inventaire. Supprimer tous les éléments nominatifs qui permettent de désigner une victime. Modifier les dates parfois aussi. Donc les dates qui sont affichées ne sont pas les vraies en général. Parce que l'idée c'est vraiment de montrer à quoi ça ressemble, comment ça se passe. et puis derrière de mettre en évidence les mensonges des cybercriminels, parce que l'une des grandes promesses que l'on voit régulièrement dans les négociations, c'est celle de fournir des conseils sur, alors déjà des informations sur comment ils sont rentrés, comment ils ont procédé, puis derrière des conseils sur comment éviter que ça se reproduise, et puis ils vendent ça comme étant quelque chose de personnalisé, et on voit très bien notamment chez Anakira que c'est complètement standardisé. ça n'a absolument rien de personnalisé. C'est d'une banalité absolue et c'est largement survendu. Mais quand on est une victime isolée et qu'on se dit « je suis dans la panade, il faut que je parle avec eux, etc. » et qu'on n'a pas cette perspective et cette distance qui permet de comprendre qu'ils sont en train de mentir, qu'ils sont en train de vendre quelque chose qui n'est pas vrai, qui n'a rien de personnalisé mais qui est juste complètement générique. on est quelque part d'autant plus vulnérable que si on a la conscience de ce mensonge.
Effectivement, je vois à quoi tu fais référence, que souvent, ils terminent avec le petit cadeau monux, parce que vous avez dépensé 600 000 dollars dans une rançon, on va vous quand même donner le rapport du pen test. Effectivement, c'est des conseils un peu de base qui n'étaient pas vraiment très vifs, qu'on peut trouver gratuit. en écoutant ce podcast par exemple. Le pire,
ce sont les mêmes négociations. C'est du copier-couler.
Par contre, j'avais vu la fin d'une négociation qui n'était pas très bien passée où la victime disait « Mais par où vous êtes passée ? » et le hacker répondait « Un mail. » Un mail, point. C'était assez marrant. Par contre, quelque chose qui m'a vraiment surpris, C'était une négociation où ils discutaient du tarif de la rançon. Et donc la victime argumentait sur le fait qu'ils n'avaient pas forcément beaucoup d'argent, etc. Et ils ont été jusqu'à exploiter les comptes de la société. Donc ça ressemblait presque à un audit fiscal. On regardait les comptes de résultats en disant « Voilà, vous avez fait ça, vous avez fait tant de chiffres d'affaires, etc. Donc on va fixer la rançon à temps. » Et c'était vraiment une négociation comme on aurait pu l'imaginer dans le cas de... avec un banquier sur l'octroi d'un crédit et avec les preuves de la solidité de la société. Donc ça, c'était quand même, pour moi en tout cas, quelque chose d'assez significatif parce que je ne me doutais pas qu'ils allaient jusqu'à aller éplucher les comptes de la société pour évaluer le niveau de la rançon.
On a eu plus loin encore, chez Conti notamment, je me souviens de cas où ils ont présenté à leurs victimes le contrat d'assurance cyber.
Alors ça c'est un autre truc aussi que j'ai remarqué dans ces discussions, c'est souvent ça commence par, enfin souvent la conversation commence en, est-ce que vous êtes le représentant, est-ce que vous pouvez représenter la victime ? Sous-entendu, est-ce que vous êtes la contrepartie assurance ou autre ? capable de négocier avec nous. Et ça, je pense que d'entrée de jeu, ils essaient de savoir à qui ils ont affaire.
Ça, ce n'est pas quelque chose que l'on voyait nécessairement à l'époque de Conti. C'est quelque chose que j'ai vu d'une manière beaucoup plus présente avec Akira. Mais tiens, ça, c'est un autre point intéressant. Les négociations, il y a... C'est Elie Stannard qui est le premier, en fait, quand j'ai ouvert le Repo. Il s'est jeté dessus et il a fait de l'analyse stylographique dessus. Et en fait, en partant de ça, mais en allant juste un cran plus loin, on voyait très bien qu'il y avait des sous-groupes qui comptaient. Ce qu'on pouvait soupçonner de l'extérieur et ce qu'on a eu confirmé derrière à travers les leaks, ce que certains grands spécialistes du renseignement comme Vitalik Remetz, ce Vitalik Remetz qui connaissait très bien Contic et son collègue Yelizay, le... savaient qu'il y avait plusieurs sous-groupes chez les comptis. Et en fait, l'analyse des négociations avec les comptis montrait également des pratiques différentes et suggérait également la présence de quatre sous-groupes, chacun ayant ses habitudes, sa méthode de négociation, sa pratique.
Ok. Comme tu disais tout à l'heure, comme des départements dans une entreprise, ils ont tous un peu leur manière de procéder, leur méthodologie propre. Et effectivement, à la fin, ça fait une signature quasi unique. Je ne sais pas si tu vas rajouter un commentaire par rapport à tout ça. Parce que tu l'as très clairement dit tout à l'heure, c'est que peu de personnes ont eu l'occasion de voir ça. Et je pense que ton initiative est vraiment géniale parce qu'elle permet de donner à tout le monde une vue synthétique et surtout sécurisée. Ce que j'entends par sécurisée, c'est qu'elle est exfiltrée de toute information, on va dire, pas forcément nécessaire à la compréhension. Et donc, en ça, c'est vraiment quelque chose de super. Je pense que beaucoup de responsables de la sécurité informatique devraient lire, en fin de compte, ces discussions pour comprendre un petit peu comment ça se passe dans la vraie vie et avoir une perspective. Une vision un peu différente des choses. Tu vas rajouter quelque chose par rapport à ça ?
Oui, juste une bricole en fait. Je pense qu'il y a pas mal de gens qui ont très bien compris l'intérêt et la valeur de ça. Ça commence déjà par Mikko Ikkonen de Oisecure, qu'on a parlé à sa conférence l'an dernier, lors de sa plénière. Mais aussi des chercheurs indépendants. qui aujourd'hui n'hésitent pas à se tourner vers moi pour me proposer des négociations additionnelles qu'ils ont obtenues, qu'ils ont suivies, etc. Mais ils me les fournissent, ils me font confiance pour les nettoyer. Le process est simple, d'ailleurs, ils me les passent de manière confidentielle. Je les traite, je les nettoie et je les leur renvoie pour validation du nettoyage. Et une fois que j'ai leur goût, qu'ils sont d'accord avec le nettoyage qui a été fait, on met sur le récord d'Itab. J'ai eu un contact extraordinaire à l'été dernier, un américain qui avait été impliqué dans des négociations avec Akira et qui s'était reconnu. Il avait recrouvé dans le repo des négociations sur lesquelles il était intervenu. il était tout à fait enthousiaste parce que si ce n'était pas lui-même il n'aurait pas reconnu il n'aurait pas Et voilà, il était tout à fait content qu'on puisse remonter à ses clients, ni quoi que ce soit. Donc, il a apprécié le travail et la visibilité que ça donnait.
Très bien. Le mot de la fin, Valéry ?
Le mot de la fin ? Le mot de la fin, je dirais malheureusement, on est loin d'en voir la fin.
On n'est même qu'au début, j'ai l'impression.
Je pense que malheureusement, on ne mesure pas la quantité de points d'entrée potentiels exploitables pour conduire ce genre d'attaque. Les gens qui sont encore là sont déjà prêts à être exploités, à être utilisés, sans qu'on s'en rende compte, sans qu'on en ait conscience, sans qu'on le sache. Je pense que malheureusement, je le pensais déjà il y a plusieurs années, je continue de le penser, il y a beaucoup d'organisations victimes en devenir de cyberattaques et de ransomware qui s'ignorent, malheureusement. Et je pense qu'il y a un vrai grand besoin pour faire du nettoyage dans ces mots de passe, dans ces identifiants. Mettre de l'authentification à facteur multiple partout et pas uniquement sur les comptes à privilèges, les comptes admins, etc. Mais vraiment partout, partout, partout. Parce que si on n'a pas audité, les chemins qui sont susceptibles de permettre de devenir domaine admin à partir d'un simple compte utilisateur, si on n'a pas de MFA sur tous ces comptes, c'est juste perdu. Mettre un jour et surveiller de près ces équipements de périphérie. CDPN, CRDP, rien laisser traîner comme ça, qui permet d'accéder à distance à des ressources internes d'entreprise, encore une fois, sans le méfaire, et surtout, arrêter de confier ces mots de passe identifiants à ces navigateurs, adopter un gestionnaire de mots de passe, fournir un gestionnaire de mots de passe, prendre une souscription d'entreprise et mettre à disposition de ses utilisateurs un gestionnaire de mots de passe. combinant les usages privés et perso pour renforcer leur sécurité personnelle, tout en renforçant la sécurité de l'entreprise, c'est la souris sur le gâteau pour favoriser l'adoption je dirais, et les habituer à fermer leur session. Pas simplement fermer la fenêtre, pas simplement fermer l'onglet, fermer la session quand ils ont fini quelque part, histoire que les jetons de session, que les cookies restent de patrène pas, ne puissent pas être volés par le premier logiciel, le premier manichiel dérobeur, pas le fond.
J'espère que ton message sera entendu par de nombreuses personnes. Écoute Valérie, encore un très grand merci d'avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère, Jean Bafouille. Tu es le premier journaliste qui est intervenu et en tout cas c'était hyper intéressant d'avoir ton expertise et ta rigueur d'analyse, puisque je tiens à souligner que ce que tu as expliqué démontre aussi la rigueur. la rigueur que tu utilises pour mener ton travail de journaliste, c'est essentiel. Ce n'est pas simplement quelques conversations dérobées Ausha droite et mises dans un riposte. Il y a un vrai boulot derrière. Ça ne se fait pas comme ça. C'est une certaine valeur. Encore un grand merci. J'espère qu'on te reverra pour une autre occasion ou peut-être un nouvel épisode. Comme je dis très souvent, pour certains, la cybersécurité est un ingénieur et bien plus sérieux que ça.
Description
Episode avec Valery Rieß-Marchive rédacteur en chef du Mag-IT (https://www.lemagit.fr) à propos des négociations entre victimes et groupe de hacker.
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.
Transcription
Bonjour mamie, j'ai ramené un copain. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité aux gens qui n'y comprennent rien. Ma grand-mère a accueilli beaucoup d'illustres personnages dans ce podcast. On a eu des avocats, on a eu des spécialistes de la cybersécurité ou de l'intelligence artificielle. Mais il y avait une catégorie de professionnels que je n'avais pas encore l'occasion d'aborder dans cette émission, c'est les journalistes. Et les journalistes ont un rôle hyper important, vous le savez tous, que ce soit les affaires du Watergate ou alors plus récemment le Panama Papers. les journalistes ont d'une certaine manière donné un éclairage sur la société assez important. Et je pense que la parole des journalistes est très importante, surtout par les temps qui courent, avec le monsieur avec les cheveux orange de l'autre côté de l'Atlantique. Et il y a peu de journalistes qui interviennent dans la cybersécurité. Et j'ai la chance et le privilège d'en accueillir un aujourd'hui dans cet épisode de la cybersécurité expliqué à ma grand-mère. C'est Valérie Ries-Marchive. Donc Valéry, est-ce que tu veux bien te présenter ?
Oui, merci de m'accueillir. Je vais la faire simple, je suis le rédacteur en chef du MagaEthique, qui est un média en ligne IT B2B, donc pour les professionnels dans l'informatique et l'entreprise, qu'on a confondé à plusieurs en 2008 maintenant. Je m'occupe de cybersécurité, je me suis concentré dessus véritablement aux alentours de 2019. Dans ces Ausha, je couvrais déjà bien le sujet avant. Mais aux alentours de 2019, alors que les grandes campagnes de ransomware commencent à arriver, en France et dans le monde, c'est un point d'inflexion pour moi. Je commence à me concentrer sur le sujet, à m'intéresser aux deux côtés, d'un côté aux cybercriminels, mais aussi aux victimes. Ça a fait de moi un petit peu un collectionneur de cyberattaques et un empêcheur de tourner en rond pour les deux côtés de la barrière. Donc j'embête tout le monde, que ce soit les victimes ou que ce soit les attaquants, en cherchant à obtenir des réponses, des exercissements, des précisions de la part des victimes, en cherchant à comprendre l'écosystème des cybercriminels, comment ils s'organisent, comment ils fonctionnent, comment ils nous mentent. comment ils nous utilisent aussi, au demeurant. Voilà. Le gros point d'inflexion, ça a été quand, par hasard, les cyberattaques commençaient vraiment à se multiplier, et un jour, sur Twitter, sur ce qui s'appelait encore Twitter à l'époque, des copains m'ont demandé « Est-ce que tu pourrais pas nous faire nous maintenir à jour une crise chronologique des cyberattaques ? » J'ai dit « Bah oui, allez-y, je suis là, je me lance. » Et puis c'est de là que j'ai commencé non seulement à faire cette frise chronologique pour la France, que j'ai derrière déroulé un petit peu sectoriellement avec les collectivités locales, avec l'éducation, etc.
Et puis derrière,
pour maintenir ça, j'ai commencé à faire un travail de curation régulier, à faire une revue de presse quotidienne de ce qui se disait un peu partout sur les cyberattaques, en France et dans le monde. Et j'ai commencé à maintenir ma liste d'inventaire pour le monde entier. De là, j'ai commencé à produire un bulletin météoransum mensuel sur les grandes tendances. Alors, pas simplement les revendications, mais aussi les cyberattaques qui étaient dans la presse, qu'elles soient revendiquées par des criminels ou pas. Voilà, c'était le doigt dans l'engrenage.
Écoute, certaines personnes collectionnent des timbres. Moi, ma grand-mère, elle collectionne les virus sur des disquets de 3 pouces et demi. Personnellement, j'ai une petite collection de virus très anciens. C'est vraiment très old-style, mais sur des disquets de 3 pouces et demi. Donc voilà, chacun un peu son dada. Alors, comme je le disais un petit peu en introduction, L'intérêt du journalisme, parce que tu es journaliste, vraiment avec un J majuscule, pas entre guillemets quelqu'un qui est un amateur comme moi, mais vraiment un journaliste professionnel, donc tu as une certaine rigueur dans la méthodologie, etc. Est-ce que tu pourrais juste nous éclairer un tout petit peu sur, parce que là tu as expliqué brièvement comment tu es arrivé finalement à t'intéresser à ce genre de choses. Mais comment tu pourrais nous expliquer un petit peu des cas récents ? Par exemple, on parle beaucoup de Black Basta. Comment ça s'est passé pour Black Basta ? Justement, parce que tu as fait toute une étude, toute une recherche dessus. Raconte-nous un petit peu comment tu as pu écrire sur eux, comment ça s'est organisé, etc.
Alors en fait, je pense que, sans que je le sache, ça a commencé l'été dernier. Parce que dans... Alors, je reprends un petit peu de chronologie. Au fil des ans, je ne me suis pas contenté de ce que j'ai fait, mais j'ai fait évoluer ma pratique. C'est-à-dire qu'en plus de faire mon petit catalogue, mon inventaire, comme ça, j'ai commencé à faire un travail de recherche un petit peu plus approfondi, à l'automatiser,
et notamment...
produit une revue de presse hebdomadaire pour le Magaïti, des cas de cyberattaques rapportés dans la presse dans le monde entier. Partant de ça, ça m'a aidé à mettre en face d'une date à laquelle une cyberattaque est revendiquée, la date à laquelle elle a été rapportée dans la presse avec en prime la date à laquelle potentiellement elle est survenue, ou du coup non, elle a été découverte. Cette mise en perspective m'a souligné des décalages, des délais. Par temps, je me suis dit, ok, on a par exemple des cas de divulgation de données où en fait, même sans aller regarder les données, on peut faire une estimation de la date à laquelle les données ont été volées. Alors ça va être sur la base de dates qui sont indiquées sur les noms des fichiers ou les noms des dossiers. Quand on a par exemple un fichier qui dit « fil de temps de la semaine temps de telle année » , on peut estimer que l'attaque est survenue après cette date-là, mentionnée dans un nom de fichier. On a parfois des listes de fichiers au format texte qui contiennent les dernières dates de création de fichiers et de dossiers. Là encore, ça nous donne une indication sur la date d'exfiltration des données. Comme l'exfiltration de données survient juste avant le déclenchement du ransomware, ça nous permet d'avoir une estimation de la date de survie de l'administration. J'ai fait ça sur beaucoup, beaucoup,
beaucoup de revendications de cyberattaques.
Sur Black Basta, sur l'année 2024, je dois être à 85% des cas sur lesquels on a une estimation. Et j'ai observé comme ça des anomalies, ou des choses qui ne me paraissaient pas cohérentes avec leurs habitudes. Et en parallèle, j'ai constaté non seulement une augmentation très significative du nombre de cyberattaques revendiquées chez Akira, mais en plus du nombre de cyberattaques revendiquées chez eux, qui semblaient, de par ces estimations, se rapporter à des faits bien antérieurs. Et donc, on était sur quelque chose qui ne correspondait pas à leurs habitudes non plus. Mais on savait déjà qu'il y avait un lien historique entre les deux groupes et que les deux groupes étaient les descendants d'un précédent qui s'appelait Conti.
Alors, on va juste arrêter à cet endroit-là, parce qu'il y a une précision hyper importante pour les auditeurs, parce que tout le monde n'est pas forcément très familier avec les groupes de hackers, les ransomware, etc. Donc, juste pour replacer un tout petit peu le contexte. Donc... D'une part, parce que tu as parlé d'exfiltration de données, ce qui est assez important de comprendre, c'est que généralement, quand il y a une attaque, ce que vont faire les attaquants, c'est exfiltrer des données et... évidemment, surtout les données sensibles de l'organisation, principalement aussi des données à caractère personnel, parce que ça, c'est une valeur et on va le comprendre juste après, avant de faire détonner finalement un cryptolocker dans le système d'information ou un crypto-malware afin d'immobiliser le système d'information. Et généralement, c'est à ce moment-là où les hackers vont entrer en contact avec l'organisation, soit en laissant un fichier quelque part, soit en envoyant un message. entre guillemets, aux bonnes personnes dans l'organisation. Alors très brièvement, un peu high level, c'est un petit peu comme ça que ça se traduit. Tu as parlé de différents groupes de hackers, et dont un des fameux aussi, Conti, mais on va y revenir, et celui qui nous occupe un petit peu ce soir, c'est Black Basta. Donc tout ça, ce sont des groupes de hackers qui sont un petit peu, entre guillemets, qu'il faut quasiment considérer comme des entreprises. C'est un peu ma lecture des choses. C'est-à-dire que souvent, c'est des groupes qui sont bien organisés, avec des problématiques... Comme toutes les entreprises d'organisation, de recrutement, de vente, entre guillemets, de leur solution, de monétisation de leur attaque, etc. Avec aussi des négociateurs. Donc, on le voit aussi très clairement dans les Ausha et je pense qu'on en parlera un petit peu plus loin. Donc, juste pour donner un petit peu de perspective à tout ça. Et donc, tu t'es arrêté à un moment crucial. où tu as parlé de Conti. Donc Conti est un groupe très connu parce qu'il y a eu effectivement un leak, donc une fuite des informations de ce groupe de hackers, sachant que Conti était un groupe de hackers qui était ukrainorus, si mes souvenirs sont bons, juste avant la guerre en Ukraine et que la guerre en Ukraine a créé quelques tensions dans le groupe. Et le groupe s'est un peu, comment dire, disloqué, probablement dû à des tensions internes. et ce qui a très probablement créé ce leak. Donc voilà, groupe très connu parce que finalement, tout le monde a pu voir un petit peu ce qui se passait à l'intérieur de ce groupe et ça a été essentiel en termes d'informations pour tous les gens qui s'occupent de la cybersécurité parce qu'on passait un petit peu de l'autre côté du miroir et on comprenait beaucoup plus dans le détail comment un groupe de hackers fonctionnait. Donc je te redonne la parole, tu étais juste en train de nous raconter ce qui s'était passé avec Conti.
Alors en fait, Conti, il n'y a pas que des acteurs russes ou ukrainiens chez eux. Ne serait-ce que dans les ligues de Conti, on a des indices sur l'origine géographique d'autres membres du groupe, qui étaient soit dans les Balkans, soit dans certains pays de l'Est européen, mais tous en capacité à être russophones. Donc comme tu l'as bien rappelé, les Conti ont volé en éclats. peu après l'invasion de l'Ukraine par la Russie, notamment du fait de la prise de position très marquée en faveur de la Russie des leaders du groupe. Mais le groupe était lui-même déjà organisé en sous-groupes, un petit peu comme si tu penses des divisions dans une entreprise. Et ces sous-groupes sont partis vivre leur vie chacun de leur côté, grosso modo. thématisé. Et certains sont retrouvés chez Black Basta, d'autres sont retrouvés chez Akira,
mais parmi tous ces gens-là,
il y en a qui se connaissaient dans la vraie vie. Et ce sont des gens qui bossent régulièrement sous pseudonyme, parfois sous plusieurs pseudonymes en même temps, qui peuvent... C'est pour ça que je ne parle pas de groupe, en fait, à proprement parler. Quand on parle d'un Akira, on a le même passage. d'enseigne ou de marque, parce que fondamentalement, rien n'empêche un même acteur de travailler sous plusieurs bannières parallèlement. Dans la pratique, leur niveau de dissimulation les uns envers les autres est suffisamment élevé pour le permettre.
C'est des francs-ruises, en fin de compte.
Voilà, exactement. Et pas forcément avec contrat d'exclusivité. même si certains, même ces ransom hubs, une autre marque comme ça, qui clairement autorise ses affiliés, ses franchisés, à travailler sous d'autres bannières en même temps, sans que ça pose de problème à qui que ce soit. Et donc, cette fluidité qu'il y a entre les groupes et cette porosité, On l'avait déjà observé, on l'avait déjà constaté, vu de l'extérieur, avec ce qu'on a commencé à appeler des revendications croisées. Donc une même victime qui était revendiquée sous une enseigne à un moment donné, et puis une semaine, deux semaines, deux mois plus tard, sous une autre marque. Mais toujours là, en regardant un petit peu les données qui étaient présentées, mises à disposition, en regardant les noms de fichiers, en cherchant à estimer les dates, on s'apercevait que le vol correspondait en fin de compte à la date de revendication antérieure.
Justement sur cette partie-là, parce que quand tu décris ce genre de choses, j'ai l'impression que c'est à la fois un mélange dosing de recherche d'informations pour faire un profilage. Selon toi, à quel degré d'exactitude tu peux attribuer l'attribution ? Enfin, entre guillemets, parce que l'attribution est toujours quelque chose d'extrêmement compliqué en cybersécurité. On dit même que c'est un acte politique, finalement, l'attribution. Mais là, dans ce que tu décris, ça paraît être une méthode quasi scientifique et presque mathématique, avec des éléments très factuels qui permettent à la fin d'avoir un faisceau de présomption extrêmement fin sur un groupe de personnes ou des individus. Selon toi, de ta propre lecture, tu estimes que ta méthodologie te donne un ratio de succès de quel pourcentage ?
On n'est pas vraiment là sur une attribution, on est sur la reconstruction d'une chronologie. On n'est jamais à l'abri d'un maquillage, entre guillemets, des dates de la part d'un acteur. Certains ont très bien compris et soit archivent les données de telle manière que tous les fichiers dossiers ont la même date de création. absolument aucune indication, et là il faut reposer dans les noms des fichiers des dossiers pour trouver des indications. Ce qui n'est pas toujours faisable non plus parce que certains présentent les fichiers sans aucune arborescence, ce qui n'aide vraiment pas. Mais dans la majorité des cas, je dirais qu'on doit être maximum entre deux jours et une semaine de décalage par rapport à la date effective de survenue. à une exception forte, c'est celle où, là, j'estime qu'il n'y a pas d'estimation à sortir, c'est le cas où manifestement, ou vraisemblablement en tout cas, l'attaquant a juste exfiltré des données à partir d'un système de sauvegarde. Et là, on se retrouve avec des jeux de données qui sont parfois anciens, d'un an, d'un an et demi, sans qu'on ait eu de traces. d'attaques antérieures connues, on pourrait soit se dire « Ok, il est en train de recycler des vieilles données » , soit se dire « Ok, il a tapé un système de sauvegarde » , mais dans ce cas-là, ce n'est même pas d'estimation parce que j'estime que le niveau d'incertitude est trop élevé.
D'accord.
Sur l'attribution à un acteur, à m'en parler, On a notamment eu un autre groupe qui est un grand nom aussi du ransomware, qui s'appelle Logbit, qui lui nous donnait des indications extrêmement intéressantes. Parce que Logbit fournissait à ses affidés, et fournit toujours d'ailleurs à ses affidés, son propre outil de, alors ce n'est pas d'exfiltration de données, mais c'est plutôt de téléversement des données qui ont déjà été exfiltrées depuis l'infrastructure utilisée par l'attaquant pour exfiltrer les données vers l'infrastructure. centrale de Logbit qui sera utilisée plus tard pour distribuer et diffuser les données volées. Et ce logiciel a une particularité, c'est qu'il fournit à l'infrastructure de Logbit le nom système de la machine sur laquelle se trouvaient les données. Et on a trouvé plusieurs cas comme ça sur lesquels le nom de la machine système qui était affiché dans l'arborescence chez Longbeat, a été le même. Et à ce moment-là, il s'agit de faire de la recherche sur des moteurs spécialisés comme Shodan OEM, voir si on a des traces de machines exposées publiquement, qui vont exposer publiquement un service de déport d'affichage, un service RDP, qui vont avoir ce nom de machine. Et puis quand on n'a que trois comme ça, qui sont référencés dans ces moteurs de recherche, sur la période donnée à laquelle l'attaque est estimée de survenue. Quelque part, tu as tendance à penser que tu es tombé sur un bout d'infrastructure utilisé par l'acteur impliqué dans l'attaque.
D'accord. Effectivement, la nomenclature aussi du nom des machines, etc., ça peut être assez utile pour récupérer ce type d'infos.
C'est tout plein de faisceaux d'indices qui sont utilisés, sur lesquels on peut avoir un niveau de confiance variable. Mais juste sur les dates, on a eu récemment des leaks de Black Basta, on avait eu les leaks de Conti avant, dans lesquelles sont évoquées les attaques. Donc on va retrouver des... des membres du groupe qui vont dire à tel jour, on le voit dans leurs conversations, « Bon, j'ai fini cette victime. » Ça nous donne une date. Et on peut croiser cette date avec l'estimation. Donc, a posteriori, valider ou invalider la méthode et du moins ajuster le niveau de confiance accordé à la méthode pour faire ces estimations.
Ok, donc c'est vraiment une méthode, on va dire, très rigoureuse, pratiquement comme dans une enquête criminelle, pour essayer de récupérer le moindre indice et essayer de reconstruire finalement la timeline la plus précisément possible. Alors tu as cité un groupe très connu, enfin dont on a parlé beaucoup ces derniers temps, c'est Black Basta. Est-ce que tu peux nous parler un petit peu de tes travaux justement sur Black Basta et ce que tu as fait récemment sur ce groupe ?
Alors comme je le disais précédemment, j'avais repéré des anomalies dans leur comportement. Et je me demandais, compte tenu des liens historiques entre Black Basta et Akira, s'il n'était pas envisageable que des membres de l'un émigraient chez l'autre, pour une raison extraordinaire. J'étais vraiment juste dans le bois mouillé. Et puis le 16 décembre dernier, je reçois un contact en message privé sur Twitter de quelqu'un qui m'a dit avoir des choses à me partager sur Black Basta.
On établit le contact via ProtonMail et les échanges commencent.
Et puis... Quelque chose comme une semaine après, je reçois un coup de fil d'Akane Torriverdi, qui bosse notamment pour le Spiegel. On avait déjà échangé avant, c'est un petit peu loin. Il me fait « Bon, j'aimerais te parler de quelque chose. Est-ce que tu as entendu, est-ce que tu as été approché par quelqu'un qui aurait des choses sur un groupe de ransomware ? » Je lui donne le nom. de la personne qui m'a approché, je lui ai dit que c'est pour Blabasta, il me dit on parle de la même chose, oui on parle de la même chose. Et puis de là, on a décidé de suivre le truc, et de mener l'enquête pour nos supports respectifs, mais tout en se coordonnant, en partageant nos notes, et en échangeant de manière régulière. On a partagé nos contacts, on les a mis dans la boucle aussi. externes qui ont pu nous épauler là-dedans, parce que de temps en temps, on donne des traces de discussions privées entre les personnes russophones, ça aide d'avoir des contacts qui comprennent le russe et qui sont capables d'aider à décoder, à lire entre les lignes du traducteur automatique.
Alors ça, d'autant plus que je ne sais pas si c'est une... Je pense que c'est vrai, mais certains forums un peu, on va dire, de mauvaise réputation russophone, justement pour pouvoir communiquer avec ces gens-là et pour pas se faire démasquer, il faut être très russophone parce qu'ils utilisent des expressions que seuls les Russes arrivent vraiment à comprendre. Donc même avec un niveau, on va dire, raisonnable de Russe, mais sans être Russe en tant que tel, ça pose des difficultés. Il faut vraiment être russophone et connaître les subtilités de la langue pour ne pas se faire démasquer. Alors moi, c'est ce que j'en ai retenu, et c'est ce que tu sembles confirmer, puisqu'il y a quand même un petit peu des subtilités dans la langue qui peuvent échapper aux traducteurs automatiques ou du moins qui peuvent avoir la importance.
Je ne sais pas si c'est à fin de furtivité, mais ce n'est pas juste une question de langue. En fait, ce n'est pas juste une question, c'est une question de culture, d'idiome, de la manière dont localement on se construit un argot quelconque. Ce sont des subtilités qu'on n'a pas quand on se contente d'avoir une approche académique de la langue. Donc comprendre le russe de manière académique et mécanique comme peut le faire un traducteur automatique, c'est complètement insuffisant pour appréhender ce genre de choses. Pour appréhender des échanges de pair à pair en privé, ça ne suffit absolument pas.
D'où l'intérêt de maîtriser le russe et vraiment le maîtriser.
Non mais attention, origine, rue, c'est tout. Et je vous jure que c'est vrai, avec mon nom, vous savez que je souffre aussi de discrimination en France. Sérieux, la dernière fois, contrôle de police, test d'alcoolémie, le flic qui prend ma carte d'identité, il me dit, le nom Ivanov, ça fait déjà deux verres. Et Ivanov, c'est aussi une marque de vodka, vous verrez, dans les rayons, c'est celle qui est tout en bas. Elle coûte 99 centimes. Souvent, elle est à côté du desktop, c'est le même logo, une tête de mort. Tu vois, la petite bouteille qui te regarde comme ça. Bois-moi ! Remis, t'as pas mal à la tête ! Ne l'écoutez jamais. Alors attention, j'aime la France, c'est un super pays. Après, j'aime pas tout le monde. Il faut tout pour faire un monde ? Non. Non, les roues par exemple, c'est vrai. Si demain il y en a plusieurs que l'air, ça changera pas la face du globe. On en garde un ou deux, des roues de secours, tu vois.
Ah oui, il y a des jeux de mots là ! Tu as vu ça ou pas ?
Ah oui, clairement.
Je pense qu'aujourd'hui, quelqu'un qui veut faire de la CTI de manière approfondie, que ce soit simplement en faisant de l'osine sur des actes russes, ou plus loin, en faisant de l'humain, oui, il faut que ce soit un russophone qui n'est pas forcément natif, mais qui au moins ait la culture.
D'accord. Donc le début de ton enquête ?
alors donc ça commence comme ça et on commence à creuser chacun de notre côté on fait chacun appel à des contacts divers et variés y compris des spécialistes de l'usine des lumines jusqu'en Asie qui ont filé des coups de main pour croiser des infos pour aller en dénicher d'autres ... On avait déjà énormément de choses au début du mois de février, on était quasiment prêts à publier. Et puis c'est là que les ligues sont tombées. Ça a été une mine extraordinaire, mais il fallait aller vite dans leur examen, dans leur analyse, forcément pas seul. Aller chercher, aller tâcher d'y chercher des éléments de confirmation, d'information, de correction. de contextualisation, pour remettre tout ça en perspective et affiner la reconstruction de l'histoire, qui est assez rocambolesque, on parle donc du leader du groupe, du leader de Black Basta, qui au mois de juin se retrouve à Erevan. en Arménie. Bizarrement, il se fait arrêter par la police locale à deux pas de l'ambassade des États-Unis. Et puis il est censé attendre une audition en fuite de son extradition vers les États-Unis.
Et puis d'un coup,
il présente ça comme étant ses soutiens locaux auprès des services de renseignement russes. Mais voilà, d'un coup, il échappe à l'extradition et il repart en Russie.
Une affaire à la jazz-band, presque.
Voilà. On a quand même passé deux mois là-dessus. Les dernières semaines étaient probablement les plus denses, avec justement l'examen des liquides. et la recherche de compléments à l'intérieur.
J'imagine. Alors justement, CELIC, alors toi, moi, je collectionnais les virus sur les disquettes 3 pouces et demi, mais toi, tu as une grande collection de LIC. Est-ce que tu pourrais nous, assez brièvement, parce qu'on pourrait parler des heures, évidemment, de CELIC, mais est-ce que tu pourrais nous donner quelques informations sur le comportement des hackers quand on négocie avec eux ? Donc moi j'en ai épluché quelques-uns, donc il y a quelques caractéristiques quand même qui ressortent. Mais toi qui es un spécialiste du sujet, est-ce que tu pourrais nous brosser à grands traits les discussions et les profils de ces hackers ?
Alors, faire des profils je ne saurais pas forcément dire, mais j'aimerais juste reprendre une seconde pour revenir sur l'histoire de ce dont tu es en train de parler. Je suis en train de parler des ransom Ausha. Ce ne sont pas proprement parlé des leaks. Dans ma recherche de chronologie et d'estimation du niveau d'activité des méchants, j'ai régulièrement cherché des échantillons de ransomware dans les plateformes d'analyse clés. connus tels que virus total. Partant de là, tu récupères la note de rançon qui est déposée au moment de l'attaque.
Puis il y a un nombre incroyable d'analystes à travers le monde, et de chercheurs aussi connectés à travers le monde, qui ont suivi comme ça des négociations. Mais voilà, tu regardes ce qui se dit. Mais surtout, ça te donne des dates. Et puis, quelque part, ça peut aussi te donner des indices. C'est comme ça que j'ai repéré certaines habitudes, chez certains acteurs. que j'ai soupçonné d'avoir été impliqué dans deux, trois, quatre, cinq attaques pour lesquelles j'avais suivi la négociation sur la base de leurs habitudes personnelles. Et en fait, je suis allé un jour à une bout de France, c'est une super conférence organisée en France extrêmement intéressante avec plein de spécialistes du monde entier. Et puis j'ai discuté avec des gens qui faisaient de la réponse à un incident, et je leur partage quelques éléments qui m'avaient marqué sur les habitudes d'un acteur en particulier que j'avais vu impliqué dans des attaques sous bannir Lockbit et sous bannir Conti. Et ils me disent « mais non, on n'a jamais accès aux négociations, on ne sait pas à quoi ça ressemble, on n'a jamais eu. » Et là je me dis, j'en ai quoi, j'en ai une centaine, et personne ne sait à quoi ça ressemble. Personne n'a aucune idée de comment ça se passe, de comment se comportent les acteurs, est-ce qu'on peut leur faire confiance, est-ce qu'ils mentent, etc. Du coup,
j'ai pris sur moi de péter,
nettoyer tout ça, cet inventaire. Supprimer tous les éléments nominatifs qui permettent de désigner une victime. Modifier les dates parfois aussi. Donc les dates qui sont affichées ne sont pas les vraies en général. Parce que l'idée c'est vraiment de montrer à quoi ça ressemble, comment ça se passe. et puis derrière de mettre en évidence les mensonges des cybercriminels, parce que l'une des grandes promesses que l'on voit régulièrement dans les négociations, c'est celle de fournir des conseils sur, alors déjà des informations sur comment ils sont rentrés, comment ils ont procédé, puis derrière des conseils sur comment éviter que ça se reproduise, et puis ils vendent ça comme étant quelque chose de personnalisé, et on voit très bien notamment chez Anakira que c'est complètement standardisé. ça n'a absolument rien de personnalisé. C'est d'une banalité absolue et c'est largement survendu. Mais quand on est une victime isolée et qu'on se dit « je suis dans la panade, il faut que je parle avec eux, etc. » et qu'on n'a pas cette perspective et cette distance qui permet de comprendre qu'ils sont en train de mentir, qu'ils sont en train de vendre quelque chose qui n'est pas vrai, qui n'a rien de personnalisé mais qui est juste complètement générique. on est quelque part d'autant plus vulnérable que si on a la conscience de ce mensonge.
Effectivement, je vois à quoi tu fais référence, que souvent, ils terminent avec le petit cadeau monux, parce que vous avez dépensé 600 000 dollars dans une rançon, on va vous quand même donner le rapport du pen test. Effectivement, c'est des conseils un peu de base qui n'étaient pas vraiment très vifs, qu'on peut trouver gratuit. en écoutant ce podcast par exemple. Le pire,
ce sont les mêmes négociations. C'est du copier-couler.
Par contre, j'avais vu la fin d'une négociation qui n'était pas très bien passée où la victime disait « Mais par où vous êtes passée ? » et le hacker répondait « Un mail. » Un mail, point. C'était assez marrant. Par contre, quelque chose qui m'a vraiment surpris, C'était une négociation où ils discutaient du tarif de la rançon. Et donc la victime argumentait sur le fait qu'ils n'avaient pas forcément beaucoup d'argent, etc. Et ils ont été jusqu'à exploiter les comptes de la société. Donc ça ressemblait presque à un audit fiscal. On regardait les comptes de résultats en disant « Voilà, vous avez fait ça, vous avez fait tant de chiffres d'affaires, etc. Donc on va fixer la rançon à temps. » Et c'était vraiment une négociation comme on aurait pu l'imaginer dans le cas de... avec un banquier sur l'octroi d'un crédit et avec les preuves de la solidité de la société. Donc ça, c'était quand même, pour moi en tout cas, quelque chose d'assez significatif parce que je ne me doutais pas qu'ils allaient jusqu'à aller éplucher les comptes de la société pour évaluer le niveau de la rançon.
On a eu plus loin encore, chez Conti notamment, je me souviens de cas où ils ont présenté à leurs victimes le contrat d'assurance cyber.
Alors ça c'est un autre truc aussi que j'ai remarqué dans ces discussions, c'est souvent ça commence par, enfin souvent la conversation commence en, est-ce que vous êtes le représentant, est-ce que vous pouvez représenter la victime ? Sous-entendu, est-ce que vous êtes la contrepartie assurance ou autre ? capable de négocier avec nous. Et ça, je pense que d'entrée de jeu, ils essaient de savoir à qui ils ont affaire.
Ça, ce n'est pas quelque chose que l'on voyait nécessairement à l'époque de Conti. C'est quelque chose que j'ai vu d'une manière beaucoup plus présente avec Akira. Mais tiens, ça, c'est un autre point intéressant. Les négociations, il y a... C'est Elie Stannard qui est le premier, en fait, quand j'ai ouvert le Repo. Il s'est jeté dessus et il a fait de l'analyse stylographique dessus. Et en fait, en partant de ça, mais en allant juste un cran plus loin, on voyait très bien qu'il y avait des sous-groupes qui comptaient. Ce qu'on pouvait soupçonner de l'extérieur et ce qu'on a eu confirmé derrière à travers les leaks, ce que certains grands spécialistes du renseignement comme Vitalik Remetz, ce Vitalik Remetz qui connaissait très bien Contic et son collègue Yelizay, le... savaient qu'il y avait plusieurs sous-groupes chez les comptis. Et en fait, l'analyse des négociations avec les comptis montrait également des pratiques différentes et suggérait également la présence de quatre sous-groupes, chacun ayant ses habitudes, sa méthode de négociation, sa pratique.
Ok. Comme tu disais tout à l'heure, comme des départements dans une entreprise, ils ont tous un peu leur manière de procéder, leur méthodologie propre. Et effectivement, à la fin, ça fait une signature quasi unique. Je ne sais pas si tu vas rajouter un commentaire par rapport à tout ça. Parce que tu l'as très clairement dit tout à l'heure, c'est que peu de personnes ont eu l'occasion de voir ça. Et je pense que ton initiative est vraiment géniale parce qu'elle permet de donner à tout le monde une vue synthétique et surtout sécurisée. Ce que j'entends par sécurisée, c'est qu'elle est exfiltrée de toute information, on va dire, pas forcément nécessaire à la compréhension. Et donc, en ça, c'est vraiment quelque chose de super. Je pense que beaucoup de responsables de la sécurité informatique devraient lire, en fin de compte, ces discussions pour comprendre un petit peu comment ça se passe dans la vraie vie et avoir une perspective. Une vision un peu différente des choses. Tu vas rajouter quelque chose par rapport à ça ?
Oui, juste une bricole en fait. Je pense qu'il y a pas mal de gens qui ont très bien compris l'intérêt et la valeur de ça. Ça commence déjà par Mikko Ikkonen de Oisecure, qu'on a parlé à sa conférence l'an dernier, lors de sa plénière. Mais aussi des chercheurs indépendants. qui aujourd'hui n'hésitent pas à se tourner vers moi pour me proposer des négociations additionnelles qu'ils ont obtenues, qu'ils ont suivies, etc. Mais ils me les fournissent, ils me font confiance pour les nettoyer. Le process est simple, d'ailleurs, ils me les passent de manière confidentielle. Je les traite, je les nettoie et je les leur renvoie pour validation du nettoyage. Et une fois que j'ai leur goût, qu'ils sont d'accord avec le nettoyage qui a été fait, on met sur le récord d'Itab. J'ai eu un contact extraordinaire à l'été dernier, un américain qui avait été impliqué dans des négociations avec Akira et qui s'était reconnu. Il avait recrouvé dans le repo des négociations sur lesquelles il était intervenu. il était tout à fait enthousiaste parce que si ce n'était pas lui-même il n'aurait pas reconnu il n'aurait pas Et voilà, il était tout à fait content qu'on puisse remonter à ses clients, ni quoi que ce soit. Donc, il a apprécié le travail et la visibilité que ça donnait.
Très bien. Le mot de la fin, Valéry ?
Le mot de la fin ? Le mot de la fin, je dirais malheureusement, on est loin d'en voir la fin.
On n'est même qu'au début, j'ai l'impression.
Je pense que malheureusement, on ne mesure pas la quantité de points d'entrée potentiels exploitables pour conduire ce genre d'attaque. Les gens qui sont encore là sont déjà prêts à être exploités, à être utilisés, sans qu'on s'en rende compte, sans qu'on en ait conscience, sans qu'on le sache. Je pense que malheureusement, je le pensais déjà il y a plusieurs années, je continue de le penser, il y a beaucoup d'organisations victimes en devenir de cyberattaques et de ransomware qui s'ignorent, malheureusement. Et je pense qu'il y a un vrai grand besoin pour faire du nettoyage dans ces mots de passe, dans ces identifiants. Mettre de l'authentification à facteur multiple partout et pas uniquement sur les comptes à privilèges, les comptes admins, etc. Mais vraiment partout, partout, partout. Parce que si on n'a pas audité, les chemins qui sont susceptibles de permettre de devenir domaine admin à partir d'un simple compte utilisateur, si on n'a pas de MFA sur tous ces comptes, c'est juste perdu. Mettre un jour et surveiller de près ces équipements de périphérie. CDPN, CRDP, rien laisser traîner comme ça, qui permet d'accéder à distance à des ressources internes d'entreprise, encore une fois, sans le méfaire, et surtout, arrêter de confier ces mots de passe identifiants à ces navigateurs, adopter un gestionnaire de mots de passe, fournir un gestionnaire de mots de passe, prendre une souscription d'entreprise et mettre à disposition de ses utilisateurs un gestionnaire de mots de passe. combinant les usages privés et perso pour renforcer leur sécurité personnelle, tout en renforçant la sécurité de l'entreprise, c'est la souris sur le gâteau pour favoriser l'adoption je dirais, et les habituer à fermer leur session. Pas simplement fermer la fenêtre, pas simplement fermer l'onglet, fermer la session quand ils ont fini quelque part, histoire que les jetons de session, que les cookies restent de patrène pas, ne puissent pas être volés par le premier logiciel, le premier manichiel dérobeur, pas le fond.
J'espère que ton message sera entendu par de nombreuses personnes. Écoute Valérie, encore un très grand merci d'avoir participé à cet épisode de la cybersécurité expliquée à ma grand-mère, Jean Bafouille. Tu es le premier journaliste qui est intervenu et en tout cas c'était hyper intéressant d'avoir ton expertise et ta rigueur d'analyse, puisque je tiens à souligner que ce que tu as expliqué démontre aussi la rigueur. la rigueur que tu utilises pour mener ton travail de journaliste, c'est essentiel. Ce n'est pas simplement quelques conversations dérobées Ausha droite et mises dans un riposte. Il y a un vrai boulot derrière. Ça ne se fait pas comme ça. C'est une certaine valeur. Encore un grand merci. J'espère qu'on te reverra pour une autre occasion ou peut-être un nouvel épisode. Comme je dis très souvent, pour certains, la cybersécurité est un ingénieur et bien plus sérieux que ça.
Share
Embed
You may also like