La démarche est suffisamment rare pour être signalée : la fédération néerlandaise de football, la KNVB, reconnaît publiquement avoir versé une rançon au groupe de cybercriminels LockBit pour éviter de voir des informations confidentielles divulguées. En avril dernier, la fédération est contactée par le tristement célèbre groupe de criminels, qui explique lui avoir dérobé des données et menace de les publier. Problème : faute de traces suffisantes, les experts mandatés par la fédération sportive, issus du prestataire spécialisé Fox-IT, ne parviennent pas à déterminer précisément l'étendue du volume des données exfiltrées. « Nous nous sommes donc retrouvés face à un dilemme, sans aucune option qui nous convienne », écrit la KNVB sur son site.

Toutefois, les enquêteurs et la fédération parviennent à la conclusion que les fichiers potentiellement récupérés par LockBit contiennent des données personnelles dont la diffusion pourrait porter atteinte à la vie privée des personnes concernées. D'où la décision de payer la rançon réclamée par les cybercriminels. « Empêcher une telle diffusion l'emportait en fin de compte sur le principe de la KNVB de ne pas se laisser extorquer la rançon », tranche la fédération. L'institution a-t-elle négocié avant de payer ? Quelle somme a été versée ? Autant de précisions qui ne sont pas rendues publiques, la fédération se contentant d'indiquer avoir conclu avec les pirates des accords de non-publication et de suppression des données, « sous la direction d'experts ».

La KNVB persuadée de la bienveillance des pirates

Notons que l'intrusion a été dûment notifiée à l'autorité néerlandaise chargée des données personnelles et aux services de police. Des autorités qui ont dû être tenues au courant de la décision de la KNVB de s'acquitter de la rançon. Si la fédération sportive consacre une page web de questions/réponses à cette affaire, c'est avant tout pour prévenir les potentielles victimes dont les données personnelles pourraient être exposées ou exploitées dans des arnaques. Même si la fédération néerlandaise, fondée en 1889, ne s'attend pas à ce qu'elles soient utilisées à mauvais escient ou diffusées ultérieurement du fait du paiement de la rançon. « Nous fondons cette attente sur l'opinion d'experts externes qui nous ont guidés. Leur expérience montre que les cybercriminels respectent les accords qu'ils ont conclus », indique la KNVB, qui regroupe les clubs de football des Pays-Bas et organise les compétitions nationales et les matchs internationaux des 'Oranje'.