Une carrière dans la cybersécurité était probablement la dernière chose dans l’esprit de John Fokker alors qu’il traversait l’océan Indien avec ses camarades Marines vers un navire avec équipage de pirates. Mais il s’avère qu’il existe un nombre surprenant de similitudes entre les deux disciplines.
Désormais responsable des enquêtes cybernétiques au sein de la société de sécurité McAfee, le combat dans lequel Fokker se trouve aujourd’hui est plus virtuel que physique, mais néanmoins à enjeux élevés.
Dans un monde où la cybercriminalité est de plus en plus lucrative et de plus en plus sophistiquée, les attaquants et les défenseurs sont désormais engagés dans un conflit perpétuel, chacun essayant de déjouer et de déjouer l’autre.
Alors qu’il reconnaît que son chemin vers la cybersécurité était atypique, a déclaré Fokker. TechRadar Pro son expérience dans l’armée lui a en fait fourni les bases parfaites.
«Lorsque vous supprimez tous les éléments techniques, ransomware ressemble beaucoup à une situation de négociation d’otages. Surtout quand vous regardez l’état émotionnel des acteurs de la menace et des victimes », a-t-il déclaré.
«Les ransomwares sont l’une des rares cyberattaques où vous, en tant que victime, interagissez avec le cybercriminel. D’un point de vue psychologique, c’est très intéressant; tout le monde veut quelque chose de quelqu’un d’autre.
Sommaire
Une mise à la terre unique
Un emploi avec le Royal Netherlands Marine Corps était, pour Fokker, un antidote à la corvée du travail de bureau qu’il a pris après avoir obtenu un diplôme en informatique. Il ne s’agissait pas nécessairement du combat, mais plutôt de faire quelque chose de différent.
Il a passé huit ans en tant que Marine au total, dont les cinq dernières avec la Direction des opérations spéciales travaillant à la lutte contre le terrorisme, la contre-piraterie et le sauvetage des otages, ce qui l’a amené à travers le monde.
Dans le nord de l’Afghanistan, où il a été stationné pendant un certain temps, Fokker a été chargé de la reconstruction de la province, qui consistait à aider les civils locaux à construire des infrastructures telles que des écoles et des puits d’eau, et à assurer la sécurité des ingénieurs dans le processus.
Dans une autre affectation en Somalie, il faisait partie d’une équipe basée sur un navire de la marine, dont le travail consistait à surveiller les activités des pirates dans la région.
«Nous avons fait beaucoup de reconnaissance à courte distance la nuit pour voir où se trouvaient les camps principaux et qui était prêt à partir; c’était beaucoup de collecte de renseignements », a-t-il dit. «S’il y avait une indication qu’un bateau pirate était sur le point de partir ou opérait en mer, ou s’il y avait une situation d’otage, nous intervenions.»
Aussi glamour que cela puisse paraître, Fokker a déclaré qu’il était finalement fatigué du style de vie, qui le tenait loin de chez lui pendant presque quelques semaines chaque année. Il a choisi de laisser passer un rôle d’officier supérieur dans la Marine Corp au profit d’une autre saveur de combat.
«J’ai vu la nature de ce qui se passait dans le monde», nous a-t-il dit. «Même si je n’étais pas activement dans le domaine de la cybersécurité, je pouvais voir que c’était l’avenir.»
La cybersécurité vient d’appeler
Bien que Fokker ait jeté son dévolu sur un emploi dans le domaine de la cybersécurité, il n’est pas immédiatement passé à la vie civile, mais a plutôt assumé le rôle d’expert en enquêtes numériques auprès de la police nationale néerlandaise.
En tant que membre de l’équipe du crime organisé, il s’est attaqué aux pionniers de la drogue, aux assassins et à d’autres criminels d’une classe similaire, en écoutant leurs téléphones et en analysant les enregistrements. À l’occasion, cependant, il s’est retrouvé caché dans les sous-bois dans un costume de ghillie visant à «renifler leur Wi-Fi», prouvant que la cyber-enquête ne se déroule pas toutes derrière un bureau.
Il a également joué un rôle dans diverses enquêtes sur les logiciels malveillants et les suppressions de botnet pendant son séjour avec la police. Selon Fokker, malgré la taille réduite du pays, les Néerlandais se trouvent au cœur de nombreuses enquêtes internationales sur les cybercriminels.
«Les Pays-Bas sont petits, mais de nombreuses dorsales Internet se terminent dans le pays, c’est donc un hub central et il y a beaucoup de hébergement Web, » il a dit. «Depuis le tout début, la police néerlandaise a été impliquée dans de nombreuses enquêtes, simplement parce que c’est là que les cybercriminels hébergent leurs systèmes.»
Cependant, alors que la police parvient à gérer la cybercriminalité la plus grave qui soit – les «choses terribles», comme l’appelait Fokker – l’étendue de leur influence est limitée à certains égards. Le principal problème est que seul un petit pourcentage des victimes de la cybercriminalité déposent un rapport officiel, ce qui limite la portée des enquêtes policières.
« [The police’s] le point de vue sur la cybercriminalité n’est pas nécessairement incomplet », nous a dit Fokker,« mais il pourrait se limiter aux rapports qui arrivent dans leur assiette. Et le paysage global des menaces pourrait en fait être beaucoup plus vaste. »
Pour illustrer son propos, il a fait signe aux chiffres officiels de l’Internet Crime Complaint Center (IC3), qui suggèrent que le compromis par courrier électronique professionnel est la forme d’attaque la plus menaçante. Cependant, toute personne opérant dans le domaine de la cybersécurité vous dira que les dommages causés par les ransomwares sont bien plus importants; il n’est tout simplement pas signalé via les canaux officiels.
Un autre problème est que le partage de renseignements peut être difficile, car les entités gouvernementales sont bloquées par des processus spécifiques et la politique internationale.
«En ce moment, je peux raccrocher le téléphone avec vous et appeler la NCAA ou le FBI et je peux partager des informations sans problème. Dans la police, les différentes règles et traités internationaux rendent ce type de collaboration beaucoup plus difficile », nous a dit Fokker.
Chez McAfee, dans le secteur privé, il affirme bénéficier d’un niveau de flexibilité et de dynamisme qui ne lui était pas disponible dans le poste précédent.
«Je pense que c’est le meilleur travail au monde», a-t-il déclaré. «Nous pouvons chasser les cybercriminels, comprendre ce qui se passe et protéger nos clients. Et si nous avons des informations précieuses qui pourraient conduire à une attribution ou être utiles à la police, dans certaines circonstances, nous les partagerons. «
Lorsqu’on lui a demandé s’il y avait jamais une réticence dans l’industrie à partager des renseignements avec d’autres fournisseurs de sécurité, en raison de la concurrence entre eux, Fokker rit.
«Personne ne cherche à voler la technologie ou à critiquer les autres», dit-il. «En fait, tout le monde a une pièce du puzzle et nous essayons tous de travailler ensemble pour construire une image aussi complète que possible. Ce n’est pas aussi féroce que vous pourriez l’imaginer.
Un autre type de négociation d’otages
Aujourd’hui, Fokker passe beaucoup de temps à réfléchir à un type de cybermenace en particulier: les ransomwares.
Selon toutes sortes d’études, les attaques de ransomwares sont de plus en plus élaborées, plus efficaces et plus lucratives pour les opérateurs, qui ont été enhardis et exigent des frais de rançon de plus en plus élevés.
Un rapport rédigé par des chercheurs de Coveware, par exemple, a révélé que le paiement moyen de la rançon avait atteint un niveau record au premier trimestre 2021, à 220 298 $. La hausse a été attribuée à un groupe particulièrement opportuniste, appelé CloP, qui a capitalisé sur une vulnérabilité spécifique pour saisir les données d’une multitude d’organisations.
Des données récentes de Kaspersky, quant à elles, montrent que les ransomwares sont également de plus en plus ciblés, les attaques contre des victimes de premier plan telles que des entreprises et des agences gouvernementales augmentant de 767% sur un an.
Ce qui fascine Fokker, cependant, c’est l’élément psychologique des attaques de ransomware et l’étrange dynamique établie entre l’attaquant et la victime.
«Comme pour les situations d’otage dans la vie réelle, les victimes sont très vulnérables dans les premières minutes et heures après une attaque. Souvent, ils essaient de se repérer et prennent parfois des décisions trop hâtives sans prendre le temps d’évaluer ce qui se passe », a-t-il expliqué.
Il y a un élément de stratégie pour atténuer les ransomwares qui ne s’applique pas aux attaques traditionnelles de logiciels malveillants, dit-il. Ce n’est pas seulement un problème technique, mais un problème psychologique qui oblige la victime à «évaluer le criminel» et à réagir en conséquence.
«J’ai également vu de nombreux cas de syndrome de cyber Stockholm, où les victimes qui finissent par négocier sont reconnaissantes envers l’auteur», nous a dit Fokker. «C’est presque comme une véritable situation d’otage où quelqu’un forme un lien émotionnel avec son ravisseur.»
Payer ou ne pas payer
En 2017, dans le but d’aider les nombreuses victimes des ransomwares, Fokker a fondé un projet appelé No More Ransom, qui archive des décrypteurs gratuits qui peuvent aider les gens à récupérer leurs données sans céder aux demandes de rançon.
Le service s’est rapidement développé et est devenu le premier portail de ransomware construit sur le dos de la collaboration entre les forces de l’ordre et le secteur privé; approprié, compte tenu du cheminement de carrière personnel de Fokker.
No More Ransom propose actuellement des outils de décryptage pour une gamme de différentes souches de ransomwares, telles que Avaddon, Zigggy, Fonix, Judge et Darkside, et d’autres sont constamment ajoutées. Il aide également les gens à diagnostiquer le type d’infection dont ils souffrent, en recoupant les informations fournies avec les URL malveillantes connues et les adresses Bitcoin.
Lorsqu’aucun décrypteur n’est disponible, cependant, la question est de savoir s’il faut ou non négocier avec l’attaquant. Selon le site Web No More Ransom, le conseil est de ne jamais payer la rançon, point final.
«Payer la rançon n’est jamais recommandé, principalement parce que cela ne garantit pas une solution au problème. Il existe également un certain nombre de problèmes qui peuvent mal tourner accidentellement. Par exemple, il peut y avoir des bogues dans le logiciel malveillant qui rendent les données chiffrées irrécupérables, même avec la bonne clé », lit-on dans le Page FAQ.
«De plus, si la rançon est payée, cela prouve aux cybercriminels que le ransomware est efficace. En conséquence, les cybercriminels poursuivront leur activité et chercheront de nouvelles façons d’exploiter les systèmes. »
Cependant, Fokker admet que le mélange complexe de facteurs en jeu signifie que le problème n’est pas si simple en réalité, en particulier pour les entreprises.
«Dans les tranchées, certaines entreprises sont confrontées à une menace différente, car elle se transforme en décision commerciale. Par exemple, ils peuvent se trouver dans une situation dans laquelle ils devraient licencier des employés s’ils refusent de payer la rançon et que des données ont été divulguées. Il y a des tonnes d’entreprises qui sont dans une situation où elles n’ont d’autre choix que de payer. »
Le but ultime, dit-il, est que l’approche de la cybersécurité mûrit au point où les victimes de ransomware n’auront plus à prendre cette décision. En ayant solide sauvegardes en place et une stratégie claire en prévision d’une attaque, l’espoir est que le modèle commercial des ransomwares puisse être brisé une fois pour toutes.
