D'après Europe 1, les négociateurs du GIGN ont été sollicités pour leur expertise en matière de négociation et de gestion de crises suite à la cyberattaque survenue à l'hôpital de Corbeil-Essonnes.
L'hôpital, attaqué dans la nuit du samedi au dimanche 21 août, se voit réclamer une rançon de 10 millions de dollars, « qui ne sera pas payée selon les recommandations des autorités » précise Europe 1.
Le négociateurs du GIGN auraient été sollicités par le centre de lutte contre les criminalités numériques (C3N), chargé de l'enquête supervisée par la section cybercriminalité du parquet.
« Ce sont des spécialistes de la négociation et de la gestion de crise. Au même titre que des enlèvements ou des séquestrations, ils interviennent en changeant de milieu, celui du cyber », explique un connaisseur du dossier.
En deux ans, les négociateurs de la gendarmerie sont intervenus sur « 10 à 20 » négociations numériques liées à des rançongiciels, expliquait à l'AFP en mai dernier le général de division Marc Boget, commandant de la gendarmerie dans le cyberespace (ComCyberGend).
Commentaires (53)
#1
Je dois passer à coté d’un élément mais je comprend pas l’intervention d’un négociateur …
A moins que l’auteur du rançongiciel fasse la discussion avec la Direction de l’hôpital, c’est quoi l’intérêt ?
#1.1
As-tu déjà vu un ransomware moderne à l’œuvre ? Les pirates dialoguent avec la victime par messagerie instantanée donc les négociateurs ont leur place.
#1.2
S’il y a discussion, ça peut se jouer.
Mais le pirate étant en position de force (maitrise des données, dans un autre pays, etc …), où est l’intérêt (mis à part conseiller la Direction dans sa communication avec les pirates) ?
#1.3
Les moyens mis en œuvre pour protéger une des fonctions de l’état n’est pas forcément du même calibre que pour protéger une menuiserie qui emploie 27 personnes dans le département de la Saône.
#1.5
Leur objectif est de mettre en place une stratégie et de gagner du temps pour comprendre qui sont les hackers et pour récolter des indices et des preuves
https://www.europe1.fr/societe/info-europe-1-cyberattaque-a-lhopital-en-esssonne-les-negociateurs-du-gign-engages-dans-la-gestion-de-la-crise-4130143
cadeau
#1.4
même remarque pour ma part, je pense qu’il me manque des infos sur la manière dont ça se passe en pratique. L’idée d’une négociation, c’est quand-même que les 2 parties trouvent un accord, si possible mutuellement profitable. Là, si on part de l’idée que l’hôpital annonce d’emblée qu’il ne paiera rien, j’ai un peu de mal à voir ce que peut leur proposer un négociateur…
(d’un autre côté, c’est un peu pareil dans le cas d’une prise d’otages “traditionnelle”…)
Je dois avoir regardé trop de films !
#1.6
L’hôpital annonce publiquement qu’il ne paiera pas. C’est pour les journalistes, c’est ce que veux entendre le grand public, mais ce qui va se passer en pratique, nous ne le saurons jamais.
#1.7
Si, ça sera écrit dans le rapport financier de l’hôpital. Il n’est pas forcément publié mais bon.
#1.8
Je suis pas sûr que les fonds sortiront directement de la poche de l’hôpital. Ce serait trop visible.
Il doit bien y avoir quelques caisses noires qui trainent en cas de coup dur.
#1.9
Les hôpitaux n’ont pas de fonds propres pour payer une rançon. C’est le contribuable qui va payer. Oui VOUS
et moi aussi.
#1.10
Quand on parle d’hôpitaux, c’est du public donc dans tous les cas, le budget provient de l’état donc des contribuables.
#2
Ici Jahid Jehen le négociateur : je propose 2 millions !
9 millions pas moins !
JIJN: pour toi 3 millions et on en parle plus.
8 millions !
JIJN: allez 4 millions, je rajoute 2 respirateurs artificiels, on boit le thé de l’amitié et mon cousin te livre demain.
#2.1
JIJN ??? T’es drogué ou alcoolique ??? GIGN
#2.2
T’es con ou t’as pas d’humour ? HUMOUR
#2.3
Mais tu as trop but malgré tout !
#3
Un négociateur du GIGN? La vie sauve
#3.1
Un bon coup de cross dans l’accès wan et restauration de sauvegardes off site.
Et pour les services qui ont vraiment besoin d’internet utilisation de postes cloisonnés le temps du nettoyage du reste du SI.
#3.2
Ça dépend pas mal de l’infrastructure de l’établissement en fait.
Dans le mien, quelques services ont un outil qui est hébergé à distance….
Nous avons des procédures de retour au papier en cas de soucis mais c’est extrêmement pénible de changer de mode de fonctionnement. Heureusement, ce n’est jamais arrivé.
On pourra toujours nous sortir un blabla technique pour justifier la remise en marche du SI de l’hôpital.
#4
1- Les clichés moisis à 2 balles
2- Généralement ces attaques viennent des pays de l’est.
#5
Donc si l’hôpital remarche normalement dans les 48 H, personne ne le verra soupir !
#6
Le pirate est en position de force, il est en calbut derrière son PC, je vois pas ce qui peut être négocié sans moyens de pression
#7
tiens un pisse-vinaigre
#8
Des pizzas et un hélico
#9
C’est pas parce que le pirate est en position de force qu’il n’y a rien à négocier. Si tu me voles ma voiture et me demande 10.000 € pour la rendre, je refuserai. Par contre je suis tout à fait prêt à payer 500 € pour récupérer l’ordinateur portable que j’ai oublié dedans.
Dans le même esprit, il est possible que l’hopital négocie de récupérer l’accès à certains systèmes pour une fraction du prix.
#10
Meme pas lors d’un exercice ?
#11
Malheureusement, la gendarmerie a finalement donné l’assaut et abattu le routeur ADSL.
#11.1
merde, je croyais que c’était la fibre ou le disque dur contaminé !
on va avoir une affaire des données contaminées, qui va remonter en haut lieu entre la Santé et les Sceaux :o
je pense surtout que cela va s’annoncer sur un terrain diplomatique.
N’oublions pas que le numérique commence un peu à grignoter sur la géopolitique internationale.
si vraiment c’est des russes derrière, n’oublions pas que nous ne sommes pas en position de faiblesse de manière générale :
on défend l’ukraine, politiquement et militairement
n’oublions pas Alexander Vinnik …. qui est sous verrous en france
et surement d’autres leviers…
n’oublions pas que les américains ont fait plier la russie sur un groupe de hacker (démantelé au lieu d’etre extradés)
donc l’idée est sans doute une stratégie de contre-attaque selon ces termes :
”
”
a annonce de cyberattaque
b annonce de non paiement
c négociation avec les hackers
d si pas d’aboutissement avec eux, on confie la patate chaude à orsay
e si les ambassadeurs n’aboutissent à aucun accord d’extradition ou de procédure de déblocage des données auprès du hacker, cela se résoudra par téléphone entre macron et poutine directement….
f si vraiment ca n’a pas avancé, la france envoie les serveurs piratés en russie “démerdez vous, de l’autre coté le matos médical sera pour l’ukraine
g et en bouquet final, on modifie le système de l’hosto sur un astra linux, pour les remettre en condition de “j’utilise ton linux, voyons si t’arrives à transformer ton projet cyrillique en passoire
scénario retransmis à netflox, vous inquiétez pas..
#12
Par curiosité,
vous récupérez parfois les données pour les archiver ? Ou simplement vous savez comment récupérer les données, les exploiter dans un autre système ?
#12.1
Je ne suis pas dans le secret des dieux mais il y a un système de backup qui permet de retrouver quelques données.
#12.2
Quand j’étais étudiant, les dossiers papiers était stockés dans un bâtiment dédié du service des Archives. Pour récupérer un dossier médical, il fallait passer par eux. M
Avec la numérisation, j’ignore si il y a des données médicales “gelées” dans une infrastructures hors ligne. Mais l’hôpital n’est pas trop dépendant de ce genre de données : ils ont besoin des données sur les patients actifs pas sur les archivés.
#13
Si nous avons déjà testé la procédure mais jamais en situation réelle.
#14
Je suis pour une négociation, je propose 1 million de dollars ( € ) + un passeport français à celui qui nous apportera la tête du pirate.
Si maintenant un type prend notre offre au pied de la lettre, on n’y peut rien.
#14.1
Des fois on demande les oreilles et la queue comme preuve pour les nuisibles…
#15
Quand on me dit hôpital et service hébergés à distance, je m’interroge sur la criticité de ces services. Quid si le prestataire est en faillite ou décide que ce n’est plus rentable et tire la prise ?
#15.1
Faillite ? Pas rentable ? Tu crois que ça se passe aussi simplement, sans signes avant-coureurs ? Quoique…
#15.2
Si tu n’est pas complètement inconscient, les données hébergés dans un système cloud sont sauvegardées à la maison (et/ou chez un autre hébergeur non lié financièrement).
Mais comme on dit, avec des si, on met Paris en bouteille.
#15.3
sauf que pour la plus parts des PMe , le “cloud” leur interdisent la sauvegarde locale “bah vous comprenez on peut pas extraire comme ça vos données … oui oui c’est nous qui les avons mis mais maintenant on peut pas les ressortir “
#16
Le principal comportement d’un bitlocker, ransomware, est d’abord de s’infiltrer dans le SI cible, s’approprier les droits nécessaires pour ensuite pouvoir se déplacer latéralement.
Si ça se trouve, ça fait déjà des semaines que le groupe d’attaquants est déjà *dans les murs” pour analyser et affiner l’attaque.
Les derniers outils en matière de ransomware permettent d’ajuster avec finesse la stratégie de chiffrement : les backup en premier (vérifiez vous toutes les heures l’état des backup ou vous ne le faites qu’une fois par jour, le matin de préférence?), l’authentification en second (LDAP, AD en général dans les hôpitaux), puis le reste. Tout cela est très facilement scriptable.
Pour les négociateurs, ils peuvent jouer un rôle : le gain de temps par exemple permet de mieux analyser d’où vient l’attaque et de quelle manière elle s’est propagée. L’identification de la source de l’attaque et depuis combien de temps ils se “baladent” dans le SI va permettre d’en apprendre plus sur le groupe et pourquoi pas les démanteler. Le “quelle manière” va surtout servir dans la reconstruction du SI : sécuriser la faille critique exploitée pour mieux reconstruire le cœur du système.
#16.1
La France se fait pas trop remarquée, mais elle n’est pas non plus à poils en terme de CyberAttaque il me semble.
Partie de la doctrine qui n’est que rarement abordée, à la manière de l’arme nucléaire, contrairement à d’autres pays.
Puis, si le mec est identifié, t’envois des barbouzes pour négocier en Face2Face avec lui
Bah, les hosto et d’autres structures du même accabit c’est généralement un problème d’OS périmés et d’usage de softs pas ou peut mis à jour, parce que ça coute cher en terme de matos/soft et en terme de personnel pour garder un niveau convenable.
Sans compter les softs compatibles avec des OS pas sécurisés mais que le comptable utilise, et vu que c’est lui qui sorts les soux, bah il est roi.
La sécu c’est toujours, ou du moins trop souvent le parent pauvre. Puis bon, c’est bien connu “ça n’arrive qu’aux autres”.
#17
Pour l’avoir vécu, oui. Bon c’était pas un service critique mais c’est toujours pénible. Ça fait une bonne piqûre de rappel.
#18
Avant de détailler la négociation que tu sembles bien connaitre entre les deux parties, il faudrait peut être déjà bien savoir ce qu’est le GIGN et non pas le JIJN comme tu l’as écrit à deux reprises (donc ce n’est pas une faute de frappe).
Initialement, je ne voulais pas relever et reprendre ton post, mais, un peu plus loin tu as mouché un inpactien (que je ne connais pas) en le traitant de “pisse vinaigre”, alors j’ai penser qu’il fallait te calmer.
#18.1
Merci pour ton intervention, mais franchement la prochaine fois, entre les pisse-vinaigres, les drogués et les alcooliques, va faire un peu de tri avant d’aider ton prochain
#19
Très bonne idée : “les gars vous nous filé la clé de decryptage ou on donne l’assaut, joué pas avec nous, on est le GIGN”.
Vas-y jean-mi, connecte ton pc et fait un tracert
Ce qui est marrant c’est que publiquement, ils disent que c’est pour gagner du temps et recolter des indices, bordel la pirates doivent être en PLS
#20
JahIdJeheN est au GIGN ce que Hassan Sehef est à la SNCF. Je pensais que c’était assez évident à un lecteur d’hebdogiciel.
#21
Pour les lecteurs de valeurs actuelles, c’est “Jeanne-îde Géhenne”
#22
Hassan Cehef c’est Bruno Carette qui nous campe un épicier arabe des plus accommodants.
J’avais pas fait attention pour l’aspect géhenne.
J’aurai pu appeler le négociateur Jean-Yves Jaouenn, ç’aurait été plus proche phonétiquement mais si les bretons ont beaucoup de qualité mais ils ne sont pas réputés pour l’art de la négociation.
(Quoique Leclerc et ses fournisseurs ça doit être assez sanglant)
#23
Ils sont où les “négociateurs” quand microsoft, apple, google, facebook et leurs copains nous volent nos données au quotidien sur leurs clouds en ligne ?
#24
Pourquoi il ne pourrait pas intervenir ?
Essayer de faire de l’“humour” à base d’un ramassis de clichés, n’enlève pas le fait qu’il s’agit d’un ramassis de clichés.
#24.1
Tu te méprends.
Je l’invite à aller au delà du message auquel il répond et consulter un peu plus l’historique de chacun afin de bien cerner qui manie la pointe d’humour, de vinaigre, ou le troll de compétition.
Après, si tu n’aimes pas Hassan Céhef, c’est une chose; mais Raton Laveur 54 a du aussi mélanger qui répond à qui.
Bref, on est sur NXi
#25
Si JIJN le négociateur passe par là entre deux hôpitaux et un démontage/remontage de son pistolet, il y aurait une négociation à mener entre certains participants aux commentaires.
… sissi possible, bien sûr.
Pour continuer dans la veine des commentaires, on aurait aussi bien besoin d’un négociateur dans les administrations & entreprises françaises : une société états-unienne demande une rançon pour que des systèmes d’exploitation & logiciels pourris s’étalant comme des pieuvres dans les systèmes d’information fonctionnent.
Ils appellent ça “licence” mais ça coche toutes les cases de la description d’une rançon. Il faudrait songer à arrêter de les payer, celles-là, aussi.
Il y en a pour plus de 20 millions au total, qui plus est mensuellement.
#25.1
Pour continuer dans la veine des commentaires idiots, sans intérêt dont on aurait pu se passer !
Que vient faire apple dans cette galère !
#26
EXCLUSIF. Les experts du GIGN ont établi le contact par mail en fin de semaine dernière avec les pirates qui paralysent le système informatique du Centre hospitalier Sud Francilien. Ils ont pu, selon nos informations, faire baisser la rançon demandée de 10 à 1 million de dollars.
d’ici une semaine ce sont les pirates qui vont donner du pognon
#26.1
C’est cool de faire baisser une rançon qu’on sait qu’elle ne sera pas payée…