LongCut logo

J’ai enquêté sur la traque du cybercriminel le plus recherché au monde

By Ludoc

Summary

Topics Covered

  • 350 000 entreprises en suspens
  • En 6 heures, il a chiffré toutes les données
  • Un détail subtil dans l'URL peut vous faire tomber dans le piège
  • Le créateur de LockBit toujours en liberté
  • En un seul clic, tout peut basculer

Full Transcript

Le 7 décembre 2023, en un seul clic, plus de 350 000 entreprises ont été paralysées instantanément.

Plus d'accès, plus de serveurs, plus de travail.

C'est la terre qui s'effondre.

Je ne sais pas ce qui va se passer.

Des centaines de milliers de salariés se retrouvent brutalement coupés du monde.

C'est une catastrophe absolue.

Et un message apparaît.

C'est un message de rançon.

5 millions de dollars.

Si on paie, est-ce que tout va s'arrêter?

Et très vite, l'attaquant est identifié.

Et ce qui était une simple enquête locale va vite devenir une traque internationale.

On va alors partir aux États-Unis, pour rencontrer d'anciens agents Homeland Security et NSA qui ont réussi à infiltrer le réseau de l'attaquant.

Ça a impliqué ma femme et mes enfants.

Engager quelqu'un pour me faire du mal, ça a été un choc.

Tout en suivant les investigations avec les équipes d'Orange Cyberdéfense directement impliquées dans cette affaire.

Il faut couper les communications de l'attaquant.

Il y a des vies humaines en jeu.

Six patients, dont plusieurs en réanimation, ont dû être évacués.

La course contre la montre est lancée...

Et on va suivre ensemble l'enquête étape par étape.

J'ai eu accès à ses données bancaires.

À travers la France, la Suède, l'Allemagne, l'Angleterre, les États-Unis et la Russie.

Ce qui a été fou, c'est toute la mise en scène.

On va retracer tout le travail du FBI et d'Europol, jusqu'à la découverte de l'identité de l'attaquant, en mai 2025, à New-York.

On va comprendre ensemble comment un simple clic peut paralyser tout un pays.

Et pourquoi aujourd'hui, un simple e-mail peut devenir l'arme la plus puissante du XXIème siècle.

Il a ainsi tenu à souligner son invincibilité et l'impossibilité d'être arrêté.

Le plus menaçant, le plus inquiétant au monde.

Il m'a dit que je suis en train de mettre ma famille à l'abri.

Il est 4h50, et je reçois un appel téléphonique.

Vu l'heure, ça ne paraissait pas tout à fait normal.

Alors je me connecte, et j'observe de nombreuses machines éteintes, et en cours de redémarrage.

Donc il y a quelque chose qui ne va pas.

Préoccupé par la situation, Mathieu appelle alors un de ses collègues pour vérifier avec lui, à distance, ce qu'il se passe.

Et on perd la main tous les deux simultanément sur nos ordinateurs.

Donc là, la situation commence à se tendre un petit peu.

Donc j'envoie un message à Joseph Veigas pour l'alerter de mon déplacement.

5h16, je vois ce message qui m'indique qu'il y a une panne sur plusieurs machines.

À ce moment-là, le scénario qu'on a tous en tête, c'est une panne importante d'équipement.

Et je décide donc de prendre la route pour aller sur le data center.

Au fur et à mesure que je me rapproche, les messages deviennent de plus en plus inquiétants.

Je lui indique simplement que beaucoup de machines sont arrêtées.

Quand tu dis beaucoup, c'est beaucoup comment?

Il me dit "Oui, vraiment beaucoup!"

Là, je décide de passer un coup de fil à l'autre Mathieu, chez nous, le directeur technique.

C'est 6h du matin.

Je pars de chez moi pour me rendre sur site.

Le premier objectif, c'est de trouver d'où vient la panne.

Quand j'arrive sur le parking, je descends de ma voiture, et là, il y avait une atmosphère, un sentiment, qu'il se passait quelque chose d'inhabituel.

Et on s'aperçoit qu'on est en train de subir une cyberattaque.

On a plusieurs machines qui sont crypto-lockées.

Là, c'est un peu la terre qui s'effondre.

On sait qu'on va droit dans le mur.

Et le problème, c'est que ce n'est pas seulement COAXIS qui va être touchée, mais plus de 350 000 entreprises à travers la France, puisque les serveurs touchés hébergent les données sensibles de cabinets d'experts comptables, de laboratoires de santé, ou encore d'avocats.

En bref, COAXIS stocke sur ses serveurs tous les documents confidentiels et les logiciels de ses clients.

Donc, du jour au lendemain, des milliers de sociétés ne vont plus avoir accès à leurs dossiers, à leurs calendriers, et à leur comptabilité.

On est à ce point vital pour ces entreprises, que sans nous, la plupart de leurs fonctions ne peuvent pas être exécutées.

J'appelle de suite Orange Cyberdéfense, le support, pour leur signaler.

Mon téléphone sonne, j'apprends qu'il s'est passé quelque chose.

Notre priorité, c'est de prendre des actions rapides.

Ça veut dire qu'il faut très vite essayer de couper les communications de l'attaquant.

On ne sait pas s'ils sont encore là, ou s'ils ne sont plus là.

Donc, il faut qu'on abatte les connexions avec les data centers.

En coupant l'accès au serveur, ils empêchent l'attaquant de continuer ses actions.

Mais très vite, une découverte va tout changer.

On cherche sur ces fameux stockages, et on s'aperçoit qu'un fichier a été déposé.

Je me souviens être allé dans son bureau, et il me montre un fichier.

Et j'ai très vite compris.

C'est un message de rançon.

C'est un fichier en anglais qui pose des conditions, moyennant bien sûr finance, pour pouvoir avoir des clés de déchiffrement.

Par deux fois, dans ce fichier de rançon, il est présenté la somme de 5 millions de dollars, comme un exemple.

Et on rentre dans un chantage, en disant: "Si jamais vous ne payez pas votre rançon, nous exposerons sur le darkweb les données de vos clients".

On appelle ça un ransomware.

À la suite d'une action d'un ransomware, vous avez votre disque dur qui contient toujours toutes vos informations, mais dans des coffres-forts que vous ne pouvez plus ouvrir.

Et l'attaquant va repartir avec la clé.

Vous êtes ensuite victime de chantage.

Il faut payer une rançon pour recevoir la clé qui permet de retrouver vos fichiers.

Les ransomware sont une attaque qui se développe depuis une dizaine d'années.

Des sortes de prises d'otages numériques.

Ils réclament des millions d'euros...

Elles ont commencé à devenir massives et très très visibles à partir de 2017.

Et maintenant, ça ne cesse de se développer.

Et ça se développe non seulement vis-à-vis des grands groupes, mais également des entreprises de taille plus réduite, plus modestes.

Aujourd'hui, c'est le mode d'attaque qui crée les dégâts les plus importants dans les entreprises.

Sans le savoir, vous avez forcément vu passer une attaque ransomware un jour, dans l'actualité.

Et à chaque fois, c'est la même méthode.

Les pirates introduisent un virus informatique dans le serveur d'une entreprise, et lui demande une rançon sous peine d'effacer toutes ses données.

Mais avant d'en arriver là, l'attaquant doit d'abord trouver un moyen pour infiltrer le système informatique.

Pour comprendre ce qui s'est passé, on doit remonter le fil, jusqu'à ce qu'on va appeler le premier événement, en lien direct avec l'incident.

Reste donc à savoir, pour COAXIS, comment est-il entré?

C'est allé très très vite.

Dès les premières heures, on a pu rapidement savoir par où il était rentré.

L'attaquant n'a pas exploité une faille de sécurité.

On sait que ça part d'un client à nous.

Quand on apprend que c'est un collaborateur, nos équipes et celles d'Orange ont mené des investigations complémentaires.

La veille de l'incident, à 22h43, l'attaquant se connecte donc au serveur de COAXIS, et lance son offensive.

Son attaque, il la déroule très rapidement.

Il s'intéresse assez peu au système, il ne prend pas beaucoup le temps de regarder ce qu'il peut y trouver.

Il a un objectif, c'est de chiffrer les données.

Après avoir cartographié l'ensemble du système informatique de COAXIS, l'attaquant identifie les serveurs les plus critiques.

Et à 2h52, l'attaquant cible les données clients et les sauvegardes, et programme le début du chiffrement à 4h32.

Et en quelques minutes, les premières données deviennent inaccessibles, les accès aux sauvegardes sont coupés.

Bref, tout est bloqué.

Le lendemain matin, l'enquête se poursuit.

Et un élément intrigue les équipes d'Orange Cyberdéfense.

Qui est ce fameux collaborateur à l'origine de l'attaque?

Son identité est très vite découverte, et quelque chose ne colle pas.

On parle de quelqu'un qui est commercial dans une entreprise agroalimentaire, et qui n'a jamais fait montre d'une quelconque habileté ou compétence à ce sujet.

Ce n'est vraiment pas un as de l'informatique.

Deuxième incohérence, l'heure de l'attaque.

À 22h43, le collaborateur n'était pas devant son ordinateur.

Est-ce que la personne dont on trouve la trace d'une connexion en pleine nuit, à 2h du matin, était connectée sur l'infrastructure à 2h du matin?

Très rapidement, cette personne est interrogée, et confirme que non, elle ne s'est pas connectée elle-même.

Mais alors, si ce n'est pas le collaborateur, qui se cache derrière cette connexion?

Ça ne faisait aucun doute pour nous que c'était une usurpation d'identité.

Ce client s'est fait usurper ses identifiants, on ne sait pas comment.

Il y a un vecteur d'attaque qui est le plus populaire parmi tous les vecteurs d'attaque, c'est le phishing.

Une attaque, ce n'est pas juste un super codeur qui d'un seul coup développe un truc incroyable sur une vulnérabilité incroyable, inconnue de tout le monde.

Il y a un truc qui coûte beaucoup moins cher pour pirater une boite, c'est d'utiliser les humains qui en font partie.

Parce que nous, on a des failles qui sont a priori incorrigibles.

Le phishing, c'est une arnaque qui joue sur la peur et l'urgence.

La victime reçoit un message sur son téléphone, ou un e-mail sur son ordinateur.

Le message prétend venir de sa banque, d'un réseau social, d'un service de livraison, ou, dans ce cas précis, d'un prestataire avec qui il travaille.

On lui annonce alors qu'il y a un problème très grave sur son compte, d'où le sentiment d'urgence, et que pour le régler, la personne doit cliquer immédiatement sur un lien ou télécharger un fichier.

Sous la pression, la victime ne va malheureusement se poser aucune question, puisque le message reprend les logos, le ton et la mise en page du site officiel.

Tout semble vrai, la personne est donc en confiance, et clique.

Mais la page sur laquelle la victime est redirigée, elle, n'est pas officielle.

Son URL ressemble au véritable site, et pourtant, si on regarde de plus près, il y a un petit détail qui change tout.

Le I de Microsoft est remplacé ici par un L minuscule, ce qui est subtil mais suffisant pour piéger la victime.

Vous tapez votre mot de passe et votre identifiant de connexion, mais comme vous êtes en réalité sur une page créée par les attaquants, ils volent vos identifiants de connexion.

Mais il arrive aussi que le pirate devine le mot de passe, sans même devoir le voler.

Vous seriez surpris, dans les entreprises, du nombre de mots de passe basiques qu'on trouve, même chez des experts, même dans des systèmes techniques très perfectionnés.

Un mot de passe, la réalité, c'est que tout le monde utilise à peu près les mêmes techniques.

Le nom de vos enfants, avec une majuscule, et puis à la fin, on vous demande un caractère spécial, vous mettez un point d'exclamation...

Ou un point d'interrogation.

Et donc tout ça, ça s'exploite.

On ne se rend pas compte de la quantité d'informations qu'on expose sur Internet.

L'attaquant va regarder votre Instagram, LinkedIn, tous vos réseaux...

Et donc très rapidement, des données qui vous semblent personnelles, dans des mots de passe, le nom du chien, de la grand-mère ou de la date de mariage, ne le sont pas tant que ça.

Tout ça, ce sont des informations qu'on peut peut-être trouver sur internet.

Personne n'est à l'abri de se faire voler ses identifiants de connexion.

Et comme les mots de passe sont souvent les mêmes d'un service à l'autre, ces identifiants volés ont suffit à donner à l'attaquant un accès direct aux serveurs de COAXIS.

Mais alors, si l'attaque ne vient pas d'un client de COAXIS, de qui vient elle vraiment?

On apprend le nom du cyber assaillant assez rapidement.

Cette cyber attaque est revendiquée au nom de LockBit.

Les plus nuisibles au monde.

Pour nous, ce n'est pas une surprise que ce soit LockBit.

LockBit est vraiment la franchise n°1 à travers le monde.

Le FBI estime que dans le monde entier, 44% des attaques par rançongiciel ont été commises par LockBit.

LockBit est le groupe le plus menaçant, le plus inquiétant au monde.

Face à la gravité de la situation, COAXIS n'a plus le choix, et malgré la menace de LockBit, ils décident d'alerter les forces de l'ordre.

En portant plainte, on va permettre à l'OFAC, l'office anti-cybercriminalité de la police judiciaire, de récupérer les éléments techniques, de faire des recoupements, de comprendre la philosophie de l'attaque.

Il faut le faire.

Ça montre que vous êtes une victime, et que vous n'êtes pas un acteur de cette cyberattaque.

Lorsqu'une plainte n'est pas déposée, les faits ne sont pas révélés, ils ne sont pas intégrés.

Sans elle, on ne peut pas mener une enquête.

On va récolter divers éléments de compromission.

Ça peut partir d'une adresse IP, d'une adresse mail...

On va étudier tous ces éléments-là.

Et ce piratage sur COAXIS, ce n'est pas la première attaque de LockBit dans le monde.

LockBit est très organisé, mondialisé et évolutif.

Par rapport au tout début, vous aviez des gens plutôt solitaires, une ou deux personnes...

Là, aujourd'hui, c'est une organisation.

Comme on l'a vu plus tôt, le groupe cybercriminel a notamment ciblé des sociétés aux États-Unis et en Europe depuis plusieurs années.

Nos partenaires internationaux vont avoir également des faits commis sur leur territoire.

Il faut que l'on partage pour pouvoir avancer dans nos enquêtes.

Ces gangs opèrent à l'international, ils frappent des cibles partout dans le monde.

Il faut une coopération internationale.

Et il faut, d'une manière ou d'une autre, entrer dans ce gang.

Est-ce qu'on peut infiltrer ce gang?

On va alors passer d'une petite enquête locale...

à une incroyable traque mondiale.

Et pour comprendre comment fonctionne LockBit, plusieurs agents aux États-Unis vont tenter de l'infiltrer, jusqu'à mettre leur propre vie et leur famille en danger.

Ils savaient où je vivais, ça impliquait ma femme et mes enfants.

Engager quelqu'un pour me faire du mal, ça a été un choc.

J'ai travaillé pour le gouvernement pendant plusieurs années, et la plus grande partie de mon temps a été dédiée au cyberespionnage et aux criminels soutenus par un État.

La nouvelle cible que je voulais abattre, c'est LockBit.

Avant, les groupes criminels construisaient leur propre ransomware, et allaient eux-mêmes essayer de pirater des entreprises et extorquer l'argent.

LockBit, ils vont transformer ces outils en un service qu'ils vont fournir à tout un tas de sous-traitants, de petites mains, on va appeler ça des affiliés.

Des affiliés sont des acteurs individuels qui vont travailler pour LockBit.

Ce sont ces affiliés qui vont mener les infiltrations, les attaques contre les victimes.

LockBit leur fournit une interface qui leur permet de gérer les négociations avec les victimes, la gestion des rançons, ce genre de choses.

En échange, LockBit garde une partie de la rançon, et l'autre partie, c'est l'affilié qui la récupère.

C'est l'uberisation du ransomware.

Ils veulent se démarquer et être compétitifs, ce qui est relativement nouveau sur ce marché.

Ça leur permet d'attirer de nombreux affiliés et partenaires utilisant leur solution et leur infrastructure.

Pour le coup, c'est comme une mafia, on veut gagner de l'argent.

Et c'est ce qui est le plus perturbant pour les gens, en fait.

Car ce n'est pas eux qui sont visés, c'est leur argent qui est visé.

C'est via ce système d'affiliés que nos enquêteurs américains vont tenter d'infiltrer LockBit.

Ce que j'ai fait, c'est que je me suis connecté, et j'ai utilisé ce qu'on appelle une couverture.

Je me suis donc créé un faux profil, celui d'un jeune pirate informatique, et j'ai postulé.

Ils avaient un programme de recrutement, et j'ai postulé pour rejoindre le groupe.

Il a fallu que je passe une sorte d'entretien d'embauche.

On a commencé à parler, et je ne parle pas russe, lui oui.

Du coup, j'ai commencé la conversation en allemand.

La première chose qu'il me dit c'est: "Je ne parle pas allemand".

Dans leurs exigences, vous devez parler anglais, car la plupart de vos victimes vont parler anglais.

Du coup, j'ai dit: "On peut essayer en anglais".

À partir de là, il fallait que je fasse des fautes d'anglais en parlant comme lui.

Et on a parlé comme ça durant cet entretien.

Une des raisons qui m'a permis d'avoir ce travail, c'était ma capacité à parler le russe depuis ma naissance.

Quelqu'un qui parle uniquement anglais, il y a tout de suite, je ne dirais pas de la paranoïa, mais de la suspicion.

Heureusement, j'ai commencé en allemand, je n'ai pas commencé en anglais.

Mais il m'a posé des questions sur le folklore russe.

Et si vous n'êtes pas russe, vous ne pouvez pas le savoir.

Le pseudo que j'ai pris est très proche d'un film russe très populaire, qui est lié au crime organisé.

Ça a permis peut-être que ma candidature soit retenue.

Et du coup, je suis entré.

Comme je ne prétendais pas être russe, il est possible qu'il ne s'attendait pas à ce que je réponde juste.

Je pense avoir eu un peu de chance.

Et ça s'est terminé ainsi, sur une bonne impression.

Il m'a dit que je devais gagner en expérience, et il a laissé le canal ouvert en me laissant l'accès.

Donc, j'ai gardé un lien de communication.

Côté américain, le contact avec LockBit est donc établi via une couverture.

Mais pour COAXIS en France, c'est devenu une question cruciale.

Faut-il entrer en contact avec LockBit, payer la rançon, et ainsi récupérer la clé de déchiffrement?

Et si on paie, est-ce que tout va s'arrêter?

Parce qu'on a envie de sortir de ça.

Il y a un choix.

Est-ce que je dois entamer un échange avec l'attaquant, ou est-ce que pour l'instant, je dois l'ignorer?

C'est un choix assez important.

Un patron d'entreprise, c'est quelqu'un qui a mis sa vie dans sa boîte.

Et à ce moment-là, tout change.

Comment je continue à aider mes clients, alors que je n'ai plus les outils pour le faire?

Et comment je vais payer mes salariés demain?

Ils ont des familles, des enfants... C'est ça qui se passe.

Donc ça, c'est des vies en face.

Payer la rançon, on en discute le vendredi après-midi, entre nous.

Et on a pris une décision.

Un, on ne se connecte pas à leur infrastructure, et deux, on n'envisage pas de payer la rançon.

Pas de rançon, pas de clé de déchiffrement, et donc pas de solution immédiate pour les 350 000 sociétés impactées.

On a décidé de tout reconstruire, pour ne pas laisser l'avantage à ces cyber assaillants d'avoir, quelque part, le plan de la banque.

Si vous reconstruisez exactement à l'identique, vous reprenez une attaque la semaine suivante.

Donc ça ne sert à rien.

On a 25 ans de système d'information de nos clients à reconstruire en quelques semaines.

Tout mettre par terre et dire "Je vais tout reconstruire", c'est une décision qui est très lourde, et qui demande énormément de temps.

La reconstruction va prendre plusieurs semaines, ce qui va provoquer la panique chez plusieurs clients de COAXIS.

Sans accès à leur comptabilité, impossible de faire les bulletins de paie, et donc impossible de payer leurs employés.

À quelques jours de Noël, des milliers de familles ne vont pas pouvoir acheter leurs cadeaux.

Et la pression va monter...

jusqu'au point de non-retour.

On a eu quelques réactions extrêmement agressives.

À Toulon, un lundi matin, dans une société d'intérim qui utilise les services de COAXIS, deux employés demandent à leur patron de les suivre.

Les trois hommes marchent dans le parking jusqu'à une voiture, s'arrêtent, et ouvrent le coffre.

À l'intérieur, deux kalachnikov.

L'un des hommes les pointe du doigt, fixe du regard son patron, et le menace.

À la fin de cette semaine, soit ils sont payés, soit ils s'en servent.

Il me dit: "Si vendredi l'infra est pas remontée, je ne sais pas ce qui va se passer.

Je suis en train de mettre ma famille à l'abri."

Aux États-Unis, l'enquête progresse.

Mais plus les échanges avec LockBit avancent, et plus les agents commencent à se douter de quelque chose.

Je parlais à LockBit presque tous les jours, sur des sujets très variés.

Il était sympa, poli, calme et retenu.

Et tout à coup, il s'emportait avec des injures, et il n'était pas en mesure de reprendre la conversation qu'on venait juste d'avoir.

Et j'ai compris qu'ils étaient peut-être deux, deux personnes qui utilisent le même compte.

L'un est jeune, il aime la culture pop, il est plus amical, il faisait des blagues.

Mais l'autre ne parlait que de business, en étant plus direct.

Et je lui ai donné le surnom de Grincheux.

Ces deux personnalités sont très différentes, mais il y avait des spéculations: sont-ils père et fils, sont-ils des frères, sont-ils frères et sœurs, ou un couple?

Qu'est-ce qui se passe?

Sur la scène cybercriminelle, il n'y a pas spécialement de profil type.

Ça peut être du jeune, du moins jeune, des hommes, des femmes, des plus ou moins expérimentés.

C'est plus des motivations qui vont les faire rentrer dans cet univers-là.

On va avoir la motivation financière, qui est une motivation majoritaire.

On va avoir aussi la quête de reconnaissance, l'égo, flatter l'égo du cybercriminel.

Mais il n'y a pas vraiment de catégorie type dans le monde cybercriminel.

Les échanges semblent donc confirmer qu'il y a deux personnes derrière LockBit, Et petit à petit, les agents vont devenir de plus en plus proches avec eux.

Je me souviens, c'était très étrange, mais ils étaient intrigués par la séparation et le divorce de Brad Pitt et Angelina Jolie.

Et ils m'ont posé tellement de questions à ce sujet...

J'étais très confus à ce moment-là.

Ces personnes sont très humaines, très normales.

Malgré leurs crimes, j'ai apprécié la personne à qui je parlais, un gars très sympa.

Et l'attaque de l'hôpital St Anthony arrive.

Dans cet hôpital, il y a une unité de cancérologie pour les enfants.

Je peux convaincre LockBit de leur remettre la clé de déchiffrement.

Il faut que les enfants aient accès à leur traitement, donc je lui en ai parlé.

J'ai eu une réponse très froide, disant qu'ils étaient une organisation à but non lucratif, mais que leurs documents financiers montrent en fait qu'ils sont avides d'argent, et qu'il faut les faire payer.

Je lui ai dit: "Ce sont des enfants.

Je te connais, tu n'es pas un monstre, tu es juste un criminel cupide.

Donnons à ces enfants le traitement dont ils ont besoin."

Je n'ai pas réussi à le convaincre, j'étais...

Ça m'a affecté personnellement.

J'étais tellement furieux!

Je me suis assis devant mon écran, pour ce qui m'a semblé des heures.

Je ne sais pas combien de temps ça a duré.

On n'en a malheureusement pas toujours conscience, mais derrière chaque attaque, il peut y avoir des vies en jeu.

Cette nouvelle cyberattaque contre un hôpital.

Six patients, dont plusieurs en réanimation, ont dû être évacués.

LockBit a revendiqué cette action.

LockBit qui revendique l'attaque informatique qui a touché les hôpitaux.

Quand ils attaquent les hôpitaux, les maisons de santé, ça a un impact sur les gens très direct.

Il y a des vies humaines en jeu, des traitements ou des soins ne peuvent pas se faire correctement.

Et ça peut même attaquer le fonctionnement d'un hôpital, qui est un organe vital.

Le jour de Noël, côté COAXIS, la reconstruction avance bien.

On sait qu'on est en train de sortir la tête de l'eau.

Nos équipes sont présentes le jour de Noël.

On a quand même arrêté à 13h de travailler, pour laisser nos collaborateurs, et nous laisser profiter un petit peu de l'instant.

L'ambiance est joyeuse, tout semble aller mieux.

Jusqu'à ce que...

Le 26 décembre, au petit matin, une nouvelle revendication de LockBit apparaît.

Le groupe cybercriminel affirme détenir des données sensibles des clients de COAXIS, et menace de les publier.

C'est vraiment une catastrophe.

Des données de nos clients risquent d'être exposées.

On a un compte à rebours, cela se termine le 9 janvier.

Si COAXIS ne paie pas la rançon avant le 9 janvier, LockBit mettra en ligne les données sensibles des clients que la société était censée protéger.

On appelle ça la double extorsion.

Un des gros problèmes avec les ransomware, c'est que lorsque vous chiffrez les informations, la victime a une option.

Elle peut refuser de payer la rançon, si elle a une sauvegarde de données.

Je ne paie pas, je vais tout réinstaller grâce aux sauvegardes.

Pas de rançon.

La solution des cybercriminels à ça est de chiffrer les données de la victime.

Mais avant ça, ils volent beaucoup de données très sensibles.

Et comme ça, si une victime ne coopère pas, et dit: "Je me fiche que les données soient chiffrées, j'ai une sauvegarde", le gang de ransomware peut dire: "Oui, mais nous avons vos données sensibles, et si vous ne payez pas, nous les publierons sur internet pour que tout le monde les voit".

Ça permet d'avoir deux moyens de pression sur la victime, et de pouvoir faire du chantage en menaçant de publier les données.

C'est une catastrophe absolue.

C'est à dire que ça peut, si vous êtes un business, ça peut vous tuer tout simplement, en procès, en dédommagements que vous allez devoir faire pour vos clients.

On a contractualisé avec nos clients, au fil des années, autour du fait qu'on les sécuriserait, que leurs données soient parfaitement protégées.

On se dit qu'on a un mur qui peut arriver en face, qui pourrait amener énormément de conséquences si de la donnée était exfiltrée.

La situation devient donc encore plus critique pour les clients de COAXIS.

Non seulement ils ne peuvent plus travailler, mais maintenant leurs données sensibles risquent d'être dévoilées.

La pression est remontée.

La présidente de l'Ordre des experts-comptables me dit: "Joseph, après cette revendication, est-ce que tu as quelque chose à me dire?"

Là, on est très surpris.

Déjà, le timing: on est trois semaines après.

Au début de l'attaque LockBit, il se dit que COAXIS c'est une PME du Sud-Ouest, ils vont forcément rentrer en contact, parce qu'ils ne sont pas bien accompagnés.

On n'envisage pas de payer la rançon.

Là, ils ont dû laisser passer du temps, en se disant "Au final, ils ne nous ont jamais contactés".

Donc ils balancent cette revendication.

C'est une deuxième tentative de LockBit d'obtenir un gain avec la rançon.

Le 9 janvier, le compte à rebours s'est arrêté.

Ça a fait "pschitt".

Il n'y avait pas eu d'exfiltration de données de nos clients.

La bonne nouvelle, c'est qu'on avait des systèmes de surveillance, donc on avait d'ores et déjà cette certitude-là, au bout de 48h, que l'attaquant n'avait pas pu exfiltrer la moindre donnée client.

C'était un coup de bluff de LockBit, et on espère que ça sera le dernier.

Ça a été un "ouf" de soulagement.

LockBit a donc tenté le tout pour le tout, sans succès.

Et le rapport de force, entre le plus grand groupe cybercriminel du monde et les forces de l'ordre, va basculer.

Avant, les forces de l'ordre réussissaient à accéder à un serveur géré par des cybercriminels, et à le mettre à l'arrêt.

Et ensuite, ils mettent un grand panneau sur le site en disant que ce site a été saisi par...

Et il y a tous les logos des différentes forces de l'ordre.

Le Département de la Justice, le FBI, le NHDCU, ils y sont tous.

Et le même jour, ils donnent une conférence de presse, et passent à autre chose.

Ce n'était pas très efficace.

C'était mieux que rien, mais pas très efficace.

L'opération Cronos est très différente.

Dix différents gouvernements y sont impliqués, et travaillent ensemble.

L'idée était de rassembler ces forces de police, et partager ces informations pour lancer une action, et mettre fin à ce groupe.

Et ces partages-là nous permettent de faire avancer les enquêtes, énormément.

Une des choses qu'ils ont faites, et je suis fier d'en avoir fait partie, était d'ajouter un aspect psychologique.

Ce qui a été fou avec l'opération Cronos, c'est toute la mise en scène.

Il y a eu deux grandes phases.

La première en février 2024.

Deux mois après l'attaque de COAXIS, les dix pays partenaires parviennent à prendre le contrôle de l'infrastructure de LockBit.

En Ukraine et en Pologne, des affiliés qui travaillent pour LockBit sont arrêtés.

Le site, les serveurs et de nombreux comptes de cryptomonnaie sont saisis.

L'idée était qu'au moment où cette conférence de presse avait lieu, où ils annonceraient aux médias du monde entier que LockBit avait été piraté, à ce moment précis, ils prendraient le contrôle de LockBit, et publieraient leurs contenus.

Le 20 février 2024, Le site de LockBit passe donc sous le contrôle des forces de l'ordre.

Mais l'opération ne s'arrête pas là.

Ils n'ont pas juste mis une bannière de saisie du site.

Ce qu'ils ont fait, c'est qu'ils ont remplacé le site de LockBit par une copie.

Dans l'onglet des victimes, au lieu d'y voir les sociétés, ils y ont mis les actes d'accusation contre les affiliés.

Des informations et des captures d'écran sur l'identité de ces personnes.

L'une des marques de fabrique de LockBit, c'est sa confiance en lui, son arrogance, sa fierté.

Et donc, il a toujours affiché à quel point il était certain de ne pas pouvoir être identifié, interpellé par les forces de police.

Et donc à un moment, pour les provoquer, il va lui même offrir une prime de 10 millions de dollars pour ceux qui arriveraient à trouver son identité réelle.

Et un mois après cette annonce, le FBI va le troller à son tour.

Le FBI va mettre en place un compte à rebours, comme ceux que LockBit utilise pour menacer des victimes.

Sauf que là, ils disent: "On va révéler l'identité du chef de LockBit."

Et ils vont aller jusqu'à donner volontairement quelques éléments.

Juste pour maintenir le suspens.

On ne va pas révéler son nom aujourd'hui, mais il ne conduit pas une Lamborghini, il conduit une Mercedes.

Et il ne vit pas à New-York, comme il le prétendait, mais en Russie.

Et à ce moment-là, LockBit a tout simplement mis de nouveaux serveurs et relancé son infrastructure.

Et au début, les journalistes ont dit: "Il n'y a pas eu de vrai impact, ils sont de retour comme à chaque fois."

Mais en réalité, ce qui se passait en coulisses, lorsque les affiliés et les pirates se connectaient à leur compte, ils avaient désormais un message personnalisé, avec leur nom d'affilié.

Ils avaient un message personnalisé de l'Agence nationale contre le crime.

"Nous savons qui vous êtes, ce qui se passe, ce que vous avez fait.

Voici nos informations à votre sujet.

Bientôt, on frappera à la porte, et vous serez probablement arrêté."

L'idée était donc de complètement démoraliser psychologiquement ce groupe de ransomware.

En résumé, c'est leur faire ce qu'ils font à leurs victimes.

Ils ne sont plus anonymes, leurs données sont révélées.

On peut consulter leur code source, leur portefeuille de crypto-monnaies, leurs journaux de connexion.

Et une grande partie de ce jeu psychologique qu'ils jouaient était de dire aux gangs de ransomware: "Parlons de confiance, vous pensez que le ou les responsables de LockBit sont dignes de confiance, que vous ne serez pas piratés, et que votre identité est protégée?

Oubliez ça.

Nous avons infiltré cette infrastructure, et nous avons maintenant vos identités.

Vous ne pouvez plus leur faire confiance."

Et grâce à ça, il a perdu les meilleurs criminels, parce qu'ils n'avaient plus confiance en LockBit.

L'impact, c'est qu'il n'y a plus eu personne pour faire le travail.

Mais le coup de grâce a eu lieu en mai.

Ils allaient révéler son nom.

Quelques jours plus tard, dans un message publié en ligne, LockBit ne montre alors aucun signe de panique.

Il annonce avoir relancé son infrastructure, et se moque ouvertement de l'agent qui a réussi à l'infiltrer.

Il va même jusqu'à lui suggérer de travailler pour lui, pour gagner beaucoup plus d'argent.

Je me demande combien il a été payé, et à combien était son bonus?

Si c'est moins qu'un million de dollars, tu devrais venir bosser pour moi, tu gagneras beaucoup plus.

Il a ainsi tenu à souligner son invincibilité, et l'impossibilité d'être arrêté.

Pour lui, l'opération des autorités n'est qu'une tentative maladroite d'intimidation, et ils n'ont aucune chance de le retrouver.

J'ai pas peur, et ils ne m'arrêteront jamais.

Mais en coulisses, la réalité est très différente, et LockBit va à son tour contre-attaquer.

J'ai reçu un appel du FBI de New-York.

Ce sont eux qui sont en charge de LockBit.

Et un superviseur des agents spéciaux m'a dit: "Nous avons des communications que nous avons récupérées, qui indiquent que LockBit est très énervé contre vous, et essaie de trouver une façon de vous faire du mal, ici aux États-Unis.

Et ils sont prêts à donner beaucoup d'argent pour ça.

Lorsque le FBI m'a contacté pour me dire qu'ils cherchaient quelqu'un pour m'attaquer physiquement, ça a été un choc.

Et il a fallu que je fasse un choix sur ce que j'allais faire.

J'ai tout de suite pensé à ma femme et ma famille, à ma femme et mes enfants.

Les conséquences de ce travail ont toujours été très claires pour moi.

Ce sont des humains, des personnes.

Les personnes peuvent réagir, les personnes peuvent faire toutes sortes de mauvaises choses.

Vous n'êtes pas juste face à une IA ou à un ordinateur.

Mais quand ça implique ma famille, je l'ai pris très au sérieux.

La première décision possible: se retirer.

Penser à ma sécurité, passer à autre chose, et laisser les forces de l'ordre gérer.

Ça a été une prise de conscience.

Je devais prendre du recul, et réfléchir à ce que je faisais.

Ou sinon, les attaquer avec tout ce que j'ai.

Et ça a toujours été ce que je suis.

Et une méthode pour retrouver l'identité d'un criminel, c'est de suivre la piste de l'argent.

Pour être payés, les criminels ne peuvent évidemment pas utiliser un compte bancaire classique, qui les relierait directement à leur identité.

Un virement en dollars ou en euros, il ne ferait pas long feu.

Le compte en question serait forcément bloqué instantanément.

Et s'il est sur un territoire européen, on s'imagine que dans la seconde, les fonds sont saisis.

Donc ça c'est pas possible.

Ça laisse pas tant d'options, en fait.

Il y aurait la valise de cash qu'on cache à un endroit.

Alors, c'est déjà arrivé.

Mais ce qui est plus simple dans la plupart des cas, c'est une monnaie virtuelle.

Pourquoi ils utilisent la crypto-monnaie?

Parce que c'est pratique.

C'est leur façon de récupérer l'argent, des millions de dollars.

Dans le fichier de rançon, les criminels indiquent toujours une adresse de portefeuille Bitcoin à laquelle la rançon doit être versée.

Cette adresse est publique, on peut donc suivre la trace du paiement très facilement.

Le bitcoin, contrairement à ce qu'on croit souvent, n'est pas une monnaie anonyme, c'est une monnaie pseudonyme.

C'est à dire qu'on peut suivre la transaction, et savoir exactement sur quel portefeuille elle atterrit.

On sait donc où va l'argent, mais sans forcément savoir à qui il appartient.

Parce que contrairement à un simple IBAN de banque classique, l'identité qui se cache derrière l'adresse est beaucoup plus difficile à retrouver.

Jusqu'au jour où le cybercriminel souhaite dépenser cet argent, et doit donc la convertir.

C'est là que les enquêteurs entrent en jeu.

Dès que vous utilisez votre crypto-monnaie pour acheter quelque chose de traçable, il y a de fortes chances que les forces de l'ordre puissent le découvrir, et révéler votre identité.

Mais les criminels sont devenus meilleurs pour blanchir les crypto-monnaies.

Parce que forcément, au moment de transférer ces bitcoins vers une banque, l'identité réelle du compte bancaire est nécessaire.

Les cybercriminels vont alors utiliser plusieurs techniques pour brouiller les pistes.

Ils utilisent plusieurs tactiques et techniques entre les transferts, dont le changement d'une crypto-monnaie à une autre.

Et ils vont très souvent utiliser une mule financière.

Ce sont des personnes dont l'identité est utilisée pour ouvrir un compte, et ensuite encaisser l'argent en leur nom.

Quelqu'un qui ne réalise pas toujours qu'il est une mule, d'ailleurs.

Souvent, on lui dit: "Vous allez avoir un travail, vous serez plutôt bien payé.

On vous envoie des virements, et vous devez juste faire des transactions."

C'est quand même bizarre comme job, mais certains ne se rendent pas vraiment compte, ou ne veulent pas voir, qu'ils vont participer à du blanchiment d'argent.

C'est un peu une étape du jeu du chat et de la souris, entre les autorités et les pirates, pour récupérer à la fin leur argent, sur un compte à l'étranger, en dollars.

Les cybercriminels savent donc parfaitement effacer leurs traces.

Mais il reste une chose qu'ils ne maîtrisent pas, ce sont les fuites de données.

Les données personnelles d'environ 1,6 million demandeurs d'emploi ont été piratées.

Les données personnelles de patients et d'employés de Vivalia...

Des sites se font voler leurs bases de données.

Un bon moyen de le voir, c'est d'aller sur haveibeenpwned.

Et ça va vous montrer tous les leaks dans lesquels vous apparaissez, et où des données personnelles figurent.

Même les criminels peuvent être touchés.

Et quand ça arrive, certaines de leurs informations apparaissent dans ces fuites.

J'ai trouvé l'un de ces comptes avec son mot de passe.

J'ai cherché d'autres comptes, et j'en ai trouvé un sur le même forum russe de piratage où LockBit réside.

Peut-être une coïncidence, mais ça correspond à son profil de cybercriminel.

Avec cette adresse mail, j'ai trouvé une annonce de voiture, une Mercedes.

Et pendant l'opération Cronos, une des informations a révélé que LockBit conduisait une Mercedes.

OK, il faut que je creuse de ce côté, je me suis mis à chercher où il vit.

J'ai trouvé cet appartement, dans un immeuble qui n'avait rien de luxueux.

Je ne sais pas si ça correspond, mais je me suis mis à y réfléchir.

LockBit a cette personnalité sur les forums, où il aime se faire passer pour Tony Montana, du film Scarface.

Il se comporte comme il imagine qu'un gangster devrait se comporter.

Mais la personne, ou les personnes, que j'ai appris à connaître sont plus discrètes et réservées.

Elles ne semblaient pas tape-à-l'œil.

Elles sont plus préoccupées par la sécurité de leurs opérations.

Donc, de ce point de vue, ça correspondait.

Il ne vivrait pas dans un endroit exotique, avec des voitures, des yachts, et tout ce qu'il dit en ligne.

J'ai eu accès à ses données bancaires, aux repas qu'il s'est fait livrer, aux équipements informatiques qu'il a commandés, et même au code d'entrée de son immeuble.

C'était intéressant de voir la quantité d'informations que je pouvais obtenir.

On avait trouvé le coupable.

Et là, les choses se sont enchaînées.

Le 7 mai 2024, le compte à rebours du FBI touche à sa fin.

Et quand il arrive à zéro, l'identité de LockBit est enfin révélée.

Le mystère est donc levé.

L'homme derrière LockBit s'appelle Dmitry Khoroshev.

Il a 31 ans, vit en Russie, et il devient le cybercriminel le plus recherché au monde.

La chasse à l'homme va donc commencer.

Mais si vous vous souvenez bien, ce n'est pas le seul derrière LockBit.

J'ai réalisé qu'il était peut-être deux.

Deux personnes qui utilisent le même compte.

L'opération Cronos a donc retrouvé le plus jeune des deux, mais reste à savoir qui est le second, et surtout, où il se cache.

En août 2024, à Haïfa, en Israël, un certain Rostislav Panev est appréhendé avec son matériel informatique.

Il est extradé aux États-Unis cinq mois plus tard, et les éléments qu'ils vont trouver dans son ordinateur sont accablants.

On y trouve les identifiants permettant d'accéder à l'interface d'administration de LockBit, mais aussi différents codes sources qui ont servi au piratage des sociétés.

Et très vite, il est considéré comme le deuxième créateur de LockBit.

Il n'a, a priori, pas de lien familial avec Dmitry Khoroshev.

Ils se seraient rencontrés en ligne, il y a longtemps, et auraient créé une relation à distance.

Et du côté de Dmitry Khoroshev, malgré la révélation de son identité et de son implication dans LockBit, il n'a toujours pas été extradé, et reste en totale liberté.

La Russie ne semble pas déterminée à l'arrêter, et encore moins à le livrer aux Américains.

En effet, il y a des pays qui sont peu coopératifs.

Tant que ces acteurs ne s'attaquent pas à des intérêts russes, les autorités russes refusent de coopérer et d'aller les arrêter.

La Russie n'est vraiment pas disposée à extrader ses citoyens vers d'autres pays.

C'est d'ailleurs inscrit dans la constitution du pays.

Un citoyen russe ne peut pas être extradé, et la Fédération s'engage à lui assurer sa protection.

Pour les cybercriminels russes, leur intérêt, c'est de ne pas attaquer la Russie, parce qu'il ne faudrait pas se mettre en mauvaise passe vis-à-vis des autorités, vis-à-vis des siloviki.

Il y a ce choix en fait, du coup, de se déporter vers des pays qui vont être considérés comme des adversaires, ou des ennemis de la Russie.

Et donc par activisme politique, on les attaque, parce qu'on veut affaiblir ces pays pour soutenir la Russie.

Dans le cas de LockBit, ces groupes-là, en Russie, ne peuvent pas exister sans l'aval des autorités, justement parce qu'ils sont trop importants pour passer inaperçus.

Par exemple, Pavel Sitnikov, on sait qu'il a travaillé pour LockBit.

Et lui s'est vanté, pour vendre ses programmes malveillants, d'être proche du renseignement russe.

De ce point de vue-là, LockBit, en tout cas par certains de ses contributeurs, a probablement des liens avec les autorités russes.

Les gangs de ransomware ne veulent pas faire de politique.

Je ne veux pas forcément travailler avec le gouvernement russe, mais de temps en temps, si le gouvernement russe vous ordonne de faire quelque chose, vous devez continuer à le faire, faire ce qu'ils veulent pour continuer à opérer.

J'ai parlé à beaucoup de criminels, et un sujet revient souvent.

Ils doivent parfois renseigner ou travailler pour le gouvernement russe, afin de pouvoir agir librement, et avoir sa protection.

Un État peut avoir intérêt à favoriser ou à promouvoir, ou à rendre possible, des attaquants privés, pour leur bénéfice.

Et c'est ce qui se passe pour la Russie.

Les criminels qui ont mené l'attaque viennent de Russie.

Moscou utilise ainsi le cyberespace comme un champ de confrontation indirecte contre l'Occident, sans assumer officiellement la responsabilité des attaques.

Ces cyberattaques, ça permet de faire ce qu'on appelle du déni plausible pour les autorités russes, et donc de dire: "Ce n'est pas nous qui avons mené l'attaque, ce sont des cybercriminels, donc ça ne nous concerne pas."

En semant le chaos dans les entreprises et les hôpitaux, ils parviennent à affaiblir économiquement et psychologiquement les pays visés, en gardant une forme de distance, comme s'ils n'étaient pas impliqués.

Et si on remonte un peu, c'est une méthode que les États-Unis ont eux même utilisé quelques années plus tôt, déclenchant presque malgré eux le début de la cyber guerre moderne.

En 2008, les États-Unis s'inquiètent des progrès que fait l'Iran avec son programme nucléaire.

Ils veulent intervenir pour les freiner, voire même les stopper.

Mais plutôt que de bombarder directement les sites avec des missiles, ils vont opter pour une arme bien plus redoutable et discrète.

Un simple fichier dans une clé USB, branchée sur une installation nucléaire iranienne, pour la saboter.

L'opération portera le nom de Stuxnet, et elle est aujourd'hui considérée comme la première cyberattaque menée par un État contre un autre, marquant le début de la cyberguerre moderne.

Et quelque chose de très marquant, c'était déjà utilisé comme une arme dans un conflit qui est aujourd'hui un conflit encore d'actualité.

Stuxnet a donc ouvert la voie, et très vite, les autres puissances se sont mises à créer leur propre version.

L'Iran en représailles, la Corée du Nord, et évidemment la Russie, se sont vite lancés dans la course.

En 2014, des hackers iraniens infiltrent les systèmes du Sands Casino, détruisant des données, et provoquant plusieurs jours de paralysie informatique.

En 2015, le groupe russe Sandworm attaque le réseau électrique ukrainien, provoquant une coupure de courant pour 230 000 personnes.

En 2016, le groupe Shadow Brokers s'introduit dans le système de la NSA, et dérobe et met en ligne un outil pour s'introduire, et contrôler Windows.

En 2017, des hackers russes utilisent cet outil pour créer NotPetya, un ransomware qui va piéger le logiciel comptable des entreprises ukrainiennes.

Le malware se propage à l'échelle mondiale, touchant des géants américains comme Maersk ou FedEx.

NotPetya marque alors l'un des premiers exemples majeurs où la Russie utilise un ransomware comme une arme de guerre numérique.

On découvre alors à quel point ce type d'attaque peut désorganiser un pays ciblé, comme l'Ukraine, mais aussi perturber l'économie mondiale.

En 2017, l'OTAN reconnaît officiellement le cyberespace comme un domaine opérationnel.

Comme l'air, la mer, et la terre.

Ça signifie que les cyberattaques peuvent désormais justifier une réponse militaire collective.

Et dans ce domaine, on pourrait croire que la Russie est la seule à coopérer avec des cybercriminels.

Mais vous allez voir que ce n'est pas vraiment le cas.

Aux États-Unis, officiellement, le gouvernement a statué en 2003, en disant: "On arrêtera tout hacker patriote qui dit nous aider par patriotisme."

Ça ne signifie pas que ces liens n'existent pas dans la pratique.

On a d'anciens cybercriminels qui sont recrutés soit par des entreprises aux États-Unis, soit probablement aussi par des services comme le FBI, pour travailler sur la cybercriminalité, après coup.

Et si je prends le cas de Dmitry Smilyanets, par exemple, il a été arrêté par le FBI et sa peine de prison, qui devait être assez lourde au départ, a été réduite.

Sûrement, c'est parce qu'il a réussi à passer des accords avec le FBI, notamment, pour continuer à travailler sur la cybercriminalité russe dans le cadre de ses fonctions en entreprise.

Donc, d'une certaine manière, on a des liens, quand même, entre cybercriminalité et État, aux États-Unis.

Ça peut être le cas partout ailleurs, ça pourrait être le cas en France.

Dans cette guerre du cyberespace, les attaques de ransomware, comme LockBit, ne sont que la partie émergée de l'iceberg.

Il y a aussi les manipulations électorales...

Condamnons ces cyberattaques!

Les ingérences avec les fake news...

Les sabotages d'infrastructures...

Les attaques financières...

Ou encore des malwares conçus pour détruire purement et simplement des systèmes entiers.

Mais derrière ces attaques, un élément revient souvent.

Ce n'est pas une faille technique qui est exploitée en premier, c'est une faille humaine.

Dans la majorité des cas, c'est en profitant d'une erreur humaine que les pirates arrivent à infiltrer les systèmes.

Un employé qui clique sur le mauvais lien, un mot de passe trop faible, ou une vigilance qui baisse au mauvais moment.

L'arnaque au livreur Amazon, il n'y a aucun virus dedans.

Il y a juste la capacité à vouloir récupérer votre mot de passe.

Même les systèmes les plus sophistiqués...

ne résistent pas au facteur humain.

La plupart des incidents de cybersécurité peuvent être attribués à une erreur humaine.

C'est pour ça qu'aujourd'hui, un simple email, un simple clic, peut devenir l'arme la plus puissante du XXIème siècle.

Donc, on doit réfléchir à la façon dont on se protège, et on doit réfléchir à la façon dont on améliore notre hygiène numérique.

Si les personnes ne sont pas formées, il y a des vulnérabilités.

Il y a quelqu'un en conférence qui m'avait dit: "Non, mais moi, je sais repérer, parce qu'il y a des fautes d'orthographe dans les mails."

Mais il se trouve que maintenant, avec l'IA, alors là...

C'est pas juste qu'il n'y a pas de fautes d'orthographe, en fait, c'est que le mail est parfait.

Logos, standards, ils reprennent exactement les formulations de communication d'une entreprise.

Et surtout ça leur prend encore moins de temps qu'avant.

Donc forcément, on a encore plus de gens qui vont cliquer, et on peut encore moins leur en vouloir.

Le premier réflexe, c'est d'essayer de se reconfigurer un peu le cerveau.

Les pirates, la première émotion sur laquelle ils vont jouer, c'est l'urgence.

Quelqu'un qui vous appelle au téléphone, votre banque, votre patron, et il y a une action rapide à faire dans l'heure, sinon une grande catastrophe arrivera.

Ça ressemble à ça: warning, warning, warning!

Est ce que je suis 100% sûr de la personne à qui je m'adresse?

Cette technique, elle s'appelle le spoofing téléphonique.

C'est à dire que sur votre téléphone, il peut s'afficher un numéro qui a l'air légitime, celui de votre banque, de la police, d'un service client, voire même un numéro que vous connaissez.

Mais en réalité, ce n'est pas le vrai numéro de l'appelant.

C'est une sorte de masque numérique appliqué à l'appel.

Les pirates peuvent donc imiter le numéro de quelqu'un d'autre dans le sens de l'appel, mais évidemment pas dans l'autre sens.

Donc, si quelqu'un vous appelle et que vous avez un doute, raccrochez et rappelez le numéro officiel pour être sûr.

Mais le meilleur conseil, c'est de ne pas agir.

Ce sera toujours moins grave que les catastrophes qui peuvent advenir après avoir cédé à cette pression.

Trop de soupçons, c'est mieux que pas assez de soupçons, de manière générale.

Quand il y a un doute, on ne clique pas.

On ne fait pas, c'est basique.

Un deuxième truc simple, il faut trouver les trois, quatre, cinq comptes les plus importants, ceux qui donnent accès à tout le reste.

Donc votre adresse mail, votre banque, vos réseaux sociaux les plus importants, vos comptes professionnels.

Sur tout ça, il faut absolument activer la double authentification.

Pour faire en sorte que si votre mot de passe fuite, ça ne suffit pas à se connecter.

Et il y a un autre point aussi, qui est assez simple: ne pas avoir des activités professionnelles sur un laptop personnel.

Parce qu'en mélangeant les univers, c'est comme ça que vous introduisez des vulnérabilités, des failles, que les hackers qui vous scrutent vont utiliser pour entrer dans les systèmes.

L'enjeu est devenu tellement capital que l'État a mis en place une plateforme pour prévenir et accompagner ces attaques: Cybermalveillance.gouv.fr

Vous y retrouverez tous les conseils face à cette menace, mais pas seulement.

Nous avons également mis en place avec le ministère de l'Intérieur, le 17 Cyber, 17cyber.gouv.fr,

pour aider les victimes directement par tchat avec un policier, un gendarme, 24h sur 24, 7 jours sur 7.

Et le nombre de victimes que recueille cette plateforme explose d'année en année.

3,8 millions en 2023, 5,4 millions en 2024.

Et les chiffres sont encore plus importants en 2025.

Toujours plus de victimes, mais heureusement, avec de bonnes pratiques et un bon accompagnement, il est possible de s'en remettre.

Notre objectif était d'avoir remonté tout le monde pour le 31 décembre, au plus tard.

On n'aura pas pu le tenir, ça aura été plus compliqué que prévu, et on aura remonté tout le monde le 8 janvier.

On a réussi à mener cette reconstruction complète du système d'information en un mois.

C'est très très court.

La bonne nouvelle, c'est qu'on avait des sauvegardes qui étaient déconnectées des systèmes de production.

Ça, c'est clé.

L'attaquant n'a pas pu du tout accéder à ça.

C'est un élément très important qui a permis à COAXIS, non sans mal, au prix d'efforts très importants, de pouvoir relancer une activité.

C'est important de communiquer.

Même si le premier réflexe, c'est de se dire: "Bon, maintenant que c'est derrière moi, on essaie de se faire oublier."

C'est une erreur.

C'est encore un sujet qui est extrêmement mal connu.

Parfois, on me demande: "Il faut que vous nous garantissiez, qu'on n'aura jamais de souci."

Mais je le dis clairement: Vous, vous me garantissez que vous n'allez pas cliquer sur des choses non légitimes, que vous allez utiliser des mots de passe suffisamment forts, et les changer régulièrement?

Non, vous me le garantissez pas.

Donc moi, je vous les impose maintenant.

Les cyberattaques, ce ne sont pas juste des contournements de machines.

C'est une erreur qu'une personne n'aurait pas dû faire.

Ce n'est pas juste une machine qui tombe.

Oui, on a eu une immobilisation du système d'information de nos clients.

Par contre, on n'a perdu aucune donnée.

On a pu restituer les données aux clients, et remettre leur écosystème en fonctionnement, sans aucune perte.

Et ça, c'est quelque chose qui était primordial pour nous, et qui nous a permis de sortir la tête haute de cette crise-là.

Parfois, on me pose la question: "Finalement, est-ce que ce n'était pas un mal pour un bien?"

Non.

Pour l'instant, on n'a pas digéré encore, quand même.

Pendant plus d'un an à travailler sur ce documentaire, j'ai découvert un monde qui m'a complètement fasciné.

J'ai pu travailler avec Orange Cyberdéfense, échanger avec les équipes de COAXIS, et voyager à travers le monde, en rencontrant les plus grands experts en cybersécurité pour cette enquête.

J'espère que, comme moi, vous avez appris beaucoup de choses, pour comprendre comment fonctionne une attaque, quels bons réflexes à avoir pour les éviter, quels enjeux géopolitiques se cachent derrière, et surtout, pourquoi en un seul clic, tout peut basculer pour une personne, pour une entreprise, voire même, pour un pays.

Loading...

Loading video analysis...