REPORTAGE. Cyberattaques : comment les enquêteurs du CyberGEND retrouvent-ils la trace des pirates ?
L'hôpital de Corbeil-Essonnes est visé depuis dimanche 21 août par une cyberattaque. Les enquêteurs tentent d'identifier les pirates, qui ont fixé la rançon à 10 millions de dollars. franceinfo a pu rencontrer l'un des chefs des "cybergendarmes" pour évoquer leur travail sur les rançongiciels.
Au bout d'un grand open space, aux portes de Paris, le bureau du général Christophe Husson. Le numéro deux du Commandement de la gendarmerie dans le cyberespace, le ComCyberGend, prévient : pas question de parler de la cyberattaque de l'hôpital de Corbeil-Essonnes. Il ne faut pas donner d'éventuelles informations aux pirates pistés par son équipe, afin d'identifier ces criminels numériques, qui ont fixé la rançon à 10 millions d'euros.
>> Cyberattaques : pourquoi les hôpitaux sont-ils si touchés ?
Il faut imaginer qu'un réseau informatique infecté est semblable à une scène de crime sur laquelle les enquêteurs recherchent ce que l'on pourrait appeler un "cyber-ADN". Une fois qu'ils pénètrent dans le réseau et qu'ils s'activent, ces virus rendent un grand nombre de fichiers inaccessibles, immobilisent les serveurs, les ordinateurs des entreprises ou des institutions, voire des machines dans les usines.
"La première chose que les gendarmes vont faire, c'est de prendre les auditions et de recueillir les plaintes de manière à ce qu'on puisse avoir un cadre judiciaire", explique Christophe Husson. Ensuite, les gendarmes vont s'assurer de "la préservation de la preuve numérique" afin d'être "en capacité d'identifier les auteurs, les localiser et, le cas échéant, pouvoir les interpeller", poursuit-il. "Ce qui est capital en cas d'attaque, ajoute le Général, "c'est de se débrancher du réseau informatique mais sans éteindre son ordinateur".
Terrain de coopération internationale
Pour remonter la piste des pirates, des négociateurs professionnels venus du RAID (recherche, assistance, intervention, dissuasion) peuvent être appelés à la rescousse pour aider les chefs d'entreprises ou les directeurs d'administration à maintenir le contact avec les cybercriminels. De quoi permettre, ensuite, de glaner des précieux indices dans des enquêtes aussi longues que délicates.
Selon le ComCyberGend, la plupart du temps, les hackeurs opèrent depuis l'étranger. Les gendarmes participent à plusieurs équipes d'enquêtes en compagnie de leurs homologues européens. Et le général Christophe Husson se veut optimiste : "Oui, il y a évidemment un espoir d'aboutir à un certain nombre de succès en la matière. On a eu une affaire qui avait déjà été évoquée avec un groupe de hackeurs 'Ragnar Locker' qui ont pu être identifiés et interpellés", explique-t-il, en parlant d'un cybergang qui a frappé une cinquantaine d'entités, notamment le réseau informatique de l'armateur français CMA-CGM à qui ils réclamaient plusieurs millions d'euros. "Cela illustre aussi la coopération internationale, puisque c'est la gendarmerie qui avait travaillé avec l'appui du FBI et d'Europol. C'est quelque chose qui a bien fonctionné", reconnaît-il.
"Payer n'est pas la solution"
La motivation de ces cybercriminels aguerris et bien organisés est bien souvent l'appât du gain. Sauf que "payer n'est pas la solution", prévient le gendarme. La tentation est grande pour une entreprise de répondre aux pirates et de payer afin de récupérer l'usage de son service informatique dès que possible. Mais le paiement immédiat ne garantit pas la restauration du système informatique ni la restitution de l'ensemble des documents.
"Appelez le 17", insiste le général Husson, qui rappelle, face à la hausse de ces phénomènes, le travail de prévention des autorités, notamment des 7 700 cyber-gendarmes formés pour cela. En 2021, la Cnil, gardienne de la vie privée des internautes en France, a recensé plus de 2 150 signalements liés à des rançongiciels.