Au rythme où ça va, les capacités de négociation avec des cybercriminels qui ont volé des données d’entreprise vont bientôt faire partie des compétences exigées des dirigeants. Voici un aperçu des échanges entre CWT et ses détrousseurs.
De nos jours, le cybercrime est plus facile, plus lucratif et beaucoup moins risqué que de dévaliser une banque. Les entreprises en font régulièrement l’expérience et les cybercriminels utilisent des méthodes qui deviennent chaque fois plus sophistiquées et furtives. Le dernier exemple en date, et sans doute pas le dernier, concerne CWT. Le géant américain de la gestion de voyages, anciennement Carlson WagonLit Travel, a payé une rançon de 4,5 M$ à des cybercriminels qui ont exfiltré des données sensibles et ont déclaré avoir mis 30 000 ordinateurs hors ligne.
Une fois leur vol commis et les données de l’entreprise exfiltrées et bien verrouillées, les cybercriminels ont fait preuve d’un cynisme et de l’aisance de celui qui est sûr de son (mé)fait, comme le montrent les échanges entre la victime et son voleur. Les négociations ayant été tenues via un groupe de discussion public, donc visible par tous, elles offrent un aperçu de ce qui est généralement tenu secret. On peut d’ailleurs se demander si les ravisseurs n’ont pas voulu donner un avertissement à leurs futures victimes, en montrant qu’il n’y a pas d’autre choix que de payer, ou si c’est l’euphorie de l’encaissement imminent de millions de dollars.
Une négociation entre « professionnels »
La demande de rançon a été laissée sur les ordinateurs infectés de CWT et des captures d’écran affichées en ligne. Les pirates y affirment avoir volé deux téraoctets de fichiers, dont des rapports financiers, des documents de sécurité et des données personnelles d’employés telles que des adresses électroniques et des informations sur les salaires. Sur la messagerie les échanges les cybercriminels ont pris le pseudo Support, tandis que le négociateurs de CWT celui de You.
Après avoir notifié le montant de la rançon, 10 M$, les hackers invoquent l’argument-choc : « C’est un montant standard pour une entreprise de la taille de la vôtre, et c’est probablement beaucoup moins cher que les frais de justice (sic), la perte de réputation causée par les fuites », ont écrit les attaquants le 27 juillet dernier. En bon négociateur, le représentant de CWT argumente que la compagnie a été durement touchée par le Covid-19 et qu’elle accepte de payer 4,5 M$. D’après Reuters, le lendemain, le 28 juillet, « un registre public des paiements en cryptomonnaie montre qu’un portefeuille en ligne contrôlé par les pirates a reçu le paiement demandé de 414 bitcoins ».
À bon entendeur, salut !
Comble de cynisme ou ultime pied de nez : après avoir conclu « l’affaire » et reçu le paiement, les hackers se sont permis « d’offrir » un certain nombre de recommandations de sécurité à leur victime pour ne pas se faire voler à nouveau. On peut sourire (jeune) à la lecture de tels conseils, venant de hackers, mais ils sont corrects, même s’ils sont assez basiques.
Un profil d’entreprise recherché par les cybercriminels
Cette attaque est un exemple de la professionnalisation des hackers, qui concentrent leurs efforts sur des cibles spécifiques : ils choisissent des entreprises d'une certaine taille et notoriété. Il sont sûrs alors que l’entreprise va payer, car elle a beaucoup plus à perdre en refusant de payer. CWT, qui a déclaré des revenus de 1,53 Md $ en 2019 est une de celles-ci, car elle combine deux caractéristiques recherchées par les cybercriminels. Suite à une transformation numérique soutenue, CWT est devenue une entreprise digitale, donc générant beaucoup de données susceptibles d’être volées. La seconde caractéristique est un volume d’affaires et une notoriété qui rend la publication de données confidentielles beaucoup plus dommageable que de payer la rançon.
Un rapide calcul nous permet de comprendre pourquoi CWT n’a pas suivi toutes les recommandations de ne pas payer de rançon. L’entreprise a déclaré un volume de transactions de 24,8 Md $ en 2019. Sachant que la publication des données privées de ses clients peut lui faire perdre une partie de sa clientèle, disons 1 % de ses transactions, cela fait 248 M$ de pertes. Ceci sans compter les dommages causés par un arrêt du SI, une rupture de la chaîne de valeur avec les hôtelier et les transporteurs entre autres, donc des risques de procès comme le spécifient les hackers, et la dégradation de l’image de marque. On comprend de suite pourquoi CWT a accepté de payer 4,5 M$, en se permettant même le luxe de négocier la demande initiale de 10 M$.