La légende du pompier pyromane a pris une tournure inattendue dans le monde de la cybersécurité. Le 3 novembre 2025, trois négociateurs spécialisés dans les rançongiciels ont été mis en examen par le département de la Justice américain. Ces individus, qui opèrent au cœur d’un secteur en pleine expansion, se sont révélés être non seulement des intermédiaires dans les négociations de rançons, mais aussi des acteurs ambivalents, accusés de déployer des logiciels malveillants à l’encontre de leurs propres clients. Cette dualisation des rôles, où les négociateurs peuvent devenir à la fois victimes et auteurs, soulève des questions cruciales sur l’éthique de leurs pratiques.
EN BREF
- Trois négociateurs de rançongiciels mis en examen pour avoir déployé des logiciels malveillants.
- Depuis 2023, plus d’un milliard de dollars de rançons ont été versés aux cybercriminels.
- Les négociateurs sont souvent exposés à des conflits d'intérêts et naviguent dans une zone grise juridique.
La montée en puissance du rançongiciel débute en 1989, avec un premier virus distribué via des disquettes demandant 189 dollars en rançon. Cependant, le phénomène a pris une ampleur inédite : en 2023, plus d’un milliard de dollars ont été versés aux cybercriminels, selon Microsoft. Ce montant est probablement sous-estimé car bon nombre d'entreprises préfèrent garder le silence sur ces incidents. Les rançons exigées ont également explosé, avec une demande médiane passant de 695 000 dollars à 1,25 million de dollars entre 2023 et 2024. Une entreprise a même payé 75 millions de dollars à un groupe de cybercriminels pour débloquer son réseau informatique, une somme record dans ce domaine.
Un marché florissant mais problématique
L’industrie des rançongiciels est devenue un véritable système économique où se côtoient divers groupes de cybercriminels. Des acteurs spécialisés se consacrent à l’obtention d'accès clandestins aux réseaux, tandis que d'autres développent des outils d’hameçonnage. Selon Sherrod DeGrippo de Microsoft, des groupes organisés, tels que Storm 1101, offrent même des services d'assistance sur Telegram pour rendre leurs activités plus accessibles aux clients malveillants.
Ce paysage a vu l’émergence des négociateurs spécialisés vers la fin des années 2010, principalement en raison de la professionnalisation croissante de ce secteur. Ces négociateurs, souvent d’anciens hackers, doivent jongler avec des attentes complexes : réduire la rançon, obtenir des preuves de possession des fichiers volés et évaluer la sécurité des systèmes d’information. Jérôme Saiz, un négociateur expérimenté, souligne qu’il lui est déjà arrivé de proposer des paiements fractionnés pour débloquer des fichiers, complétant sa mission avec un entretien avec les hackers pour déceler d’éventuelles failles laissées dans le système.
Des pratiques controversées
Le métier de négociateur de rançons reste extrêmement controversé. Certains professionnels sont souvent perçus sous un jour négatif, notamment ceux qui touchent un pourcentage sur les rançons, créant ainsi des conflits d'intérêts évidents. De plus, des personnalités comme Florent Curtet, ex-négociateur lié à une affaire judiciaire médiatique, ont été accusées de favoritisme avec les hackers, augmentant les tarifs de leurs services en fonction de la sensibilité des informations concernées.
Malgré ces critiques, l’industrie continue de croître. De nombreux négociateurs sont des experts formés, souvent issus des forces de l’ordre. Par exemple, l’équipe de Palo Alto est dirigée par un ancien agent du FBI et a mis en place des protocoles stricts pour encadrer leurs actions. Ceci a permis de réduire en moyenne les rançons de 53 % au cours de leurs négociations, selon Steve Elovitz, un des dirigeants chez Palo Alto.
Cependant, cette institutionnalisation pose la question de la légitimité de ces pratiques. Pierre Delcher, directeur des recherches chez Harfang Lab, souligne que l'acceptation de ces négociateurs pourrait normaliser le paiement des rançons, alors qu'il est impératif de chercher des alternatives, comme des sauvegardes régulières ou l’assistance d’experts en cybersécurité.
Le témoignage de Jérôme Saiz est révélateur de ce dilemme : lassé de contribuer à financer des criminels, il a mis fin à ses activités de négociation, se réorientant vers la gestion de crises. Sa conviction est que de nombreuses entreprises peuvent se sortir de situations difficiles sans céder aux pressions des cybercriminels. Avec l’émergence des gangs de hackers ciblant des structures de plus en plus petites, la nécessité d'une réponse efficace à ces menaces se fait sentir. Dans un monde où même les particuliers peuvent devenir des cibles, la cybersécurité must be a priority.