Cybercriminalité : une vague d’arrestations spectaculaires... mais un coup d’épée dans l’eau?
Le 8 novembre, Europol a annoncé l’arrestation de six hackers liés au gang de cybercriminels REvil. Ce groupe, connu pour ses attaques au rançongiciel, s’était attiré les foudres du gouvernement américain après deux attaques retentissantes en juin et juillet. Ce coup de filet rare démontre la capacité des forces de l’ordre à lutter contre la menace cyber, mais, pour y parvenir, il a fallu déployer des moyens colossaux. Autrement dit, la lutte contre les rançongiciels ne pourra pas passer uniquement par les autorités.
Les forces de l’ordre internationales semblent déterminées à faire de la traque du gang REvil un exemple pour les autres cybercriminels. Particulièrement actif depuis sa création en 2019, ce groupe s’est distingué plus tôt dans l’année par deux attaques au rançongiciel retentissantes : l’une contre le producteur de viande JBS, provoquant ainsi l’arrêt du traitement et de l’acheminement de viande dans toute une partie des États-Unis; l’autre, contre le fournisseur de logiciel Kaseya, une attaque à effet domino qui lui a permis de paralyser plusieurs centaines d’entreprises.
Ces cyberattaques ont dépassé la limite du tolérable pour le président Joe Biden et le gouvernement américain, déjà remontés par l’affaire autour du gestionnaire d’oléoducs Colonial Pipeline quelques semaines plus tôt. Les autorités américaines ont donc sorti l’artillerie lourde, et accéléré la coopération internationale, dont on voit aujourd’hui les résultats, au travers de l’opération baptisée “GoldDust”.
Cybercriminalité : une vague d’arrestations spectaculaires... mais un coup d’épée dans l’eau?
5 hackers liés à REvil arrêtés
Dans le cadre de cette opération, le 8 novembre, Europol a annoncé l’arrestation de deux affiliés (des hackers partenaires de Revil) en Roumanie. Ces cybercriminels auraient réussi plus de 5.000 infections de systèmes informatiques, demandé plus de 200 millions d’euros de rançon, pour empocher, au final, chacun plus d’un demi-million d’euros.
L’annonce de ce coup de filet était aussi l’occasion pour la justice américaine de révéler qu’en octobre, la police polonaise avait intercepté Yaroslav Vasinskyi, alias “Mr Rabotnik”. Ce hacker ukrainien de 22 ans, partenaire de REvil depuis sa création en 2019, est accusé d’être responsable de l’affaire Kaseya.
Cette vague d’arrestations suit celle de trois autres individus liés à REvil en Corée du Sud. En tout, la coalition policière de 17 pays a permis d’écrouer six cybercriminels liés au gang en l’espace de quelques mois. Cette effort inédit marque une véritable avancée dans la lutte contre la cybercriminalité : d’après IBM, REvil avait, à lui seul, récolté plus de 123 millions de dollars en 2020, et volé 21,6 téraoctets de données. Mais au final, il ne représente qu’une petite fraction de l’activité florissante d’un secteur du rançongiciel qui ne cesse de se développer.
Les cerveaux des rançongiciels toujours hors de portée
Pour comprendre l’impact des arrestations, il faut se pencher sur le modèle de fonctionnement des rançongiciels : le ransomware-as-a-service. Les individus qui codent le logiciel malveillant, aussi appelés opérateurs, ne lancent pas les cyberattaques eux-mêmes. Ils recrutent donc des hackers partenaires, appelés “affiliés” dans le jargon, pour faire le sale boulot. Si la cyberattaque aboutit et que la victime du rançongiciel paie, les opérateurs garderont environ 30% du montant et partageront le reste avec leur affilié, plus exposé aux représailles.
Concrètement, la vague d’arrestations menée par Europol a touché uniquement des affiliés, la main-d’oeuvre des attaques, mais pas les cerveaux de REvil. Du moins, pas à ce stade de l’enquête. « Les affiliés et les opérateurs travaillent en silos : ils ne parlent que par communications chiffrées, et ils gardent leur vraie identité secrète», rappelle à La Tribune Alexandru Catalin Cosoi, directeur de l’unité d’investigation et de criminalistique de Bitdefender, une entreprise de cybersécurité qui a participé à l’enquête.
Autrement dit, arrêter les affiliés ne permet pas forcément de remonter à la tête de l’organisation. « Quand on arrête un affilié, s’il était encore connecté à ses comptes, on peut récupérer son argent et parler à ses contacts, mais c’est tout », constate l’expert.
Mais ce n’est pas tout : pour ne pas être inquiétés, les opérateurs vivent dans des pays comme la Russie, qui refusent de collaborer avec les forces de l’ordre internationales sur les questions de cybercriminalité.
Les “affiliés” arrêtés, des profils hautement compétents, triés sur le volet
Si l’opération GoldDust n’a arrêté “que” des affiliés, il ne s’agit pas d’affiliés comme les autres. REvil était reconnu pour ses critères de sélection élevés. « Dans le cas de Gandcrab [l’ancêtre du
REvil, Ndlr], il suffisait de contacter les opérateurs pour devenir affilié. Ils donnaient leur rançongiciel à tout le monde car ils voulaient toucher le plus de victimes possibles, individus comme entreprises », développe Alexandru Catalin Cosoi.
« Quand une partie des opérateurs de Gandcrab l’ont délaissé pour créer REvil, ils se sont mis à viser uniquement les grosses organisations, pour extorquer de gros montants. Ils ne pouvaient pas se permettre d’avoir des débutants susceptibles de faire des erreurs basiques qui feraient capoter les opérations. Ils organisaient donc des interviews complexes, et ils ne recrutaient que des personnes qui prouvaient qu’ils avaient déjà des accès intéressants à des systèmes informatiques, ou qu’ils manipulaient particulièrement bien la technique. »
Résultat: même si le nombre d’affiliés exact de REvil est inconnu, en arrêter six d’un coup reste un tour de force, car il s’agit d’individus parmi les plus compétents du secteur. C’est en partie pour cette raison que les forces de l’ordre ont dû travailler pendant deux ans sur l’affaire, afin de profiter de chaque erreur des hackers pour constituer un dossier suffisamment solide pour les arrêter.
La saisie d’une clé de chiffrement a permis de débloquer 1.400 victimes
Mais la vraie réussite de l’opération GoldDust se trouve dans l’obtention en juillet de la clé de chiffrement de REvil, un algorithme qui permet au gang de générer une autre clé, dite privée, par victime. Ces dernières servent à chiffrer les données des victimes, ce qui les rend illisibles, et mène à la mise hors service des systèmes informatiques. En tant normal, les cybercriminels proposent à leur cible de payer une rançon en échange du déchiffrement des données.
Cybercriminalité : une vague d’arrestations spectaculaires... mais un coup d’épée dans l’eau?
Grâce à la clé, BitDefender a pu créer un ”décrypteur” capable d’inverser le chiffrement du rançongiciel gratuitement. Mis en ligne sur le site No More Ransom (tenu par Europol et des entreprises du secteur), l’outil a débloqué plus de 1.400 victimes, soit 50.000 systèmes informatiques de victimes. Les autorités estiment à 475 millions d’euros le montant de
ainsi évitées. L’outil ne fonctionne que sur les victimes touchées avant le 13 juillet car, après cette date, REvil a généré une autre clé.
”pertes potentielles”
Reste une zone de mystère dans l’affaire : les forces de l’ordre gardent secret le mode d’obtention de la précieuse clé, même auprès de Bitdefender. À noter que ce genre de morceau de code particulièrement précieux est généralement très bien protégé, et sa récupération pourrait être liée à une compromission de l’infrastructure des opérateurs.
Les cybercriminels ne sont plus à l’abri, mais il faut des moyens colossaux
Si cette vague d’arrestations prouve que les cybercriminels ne sont pas hors de portée des forces de l’ordre, elle rappelle aussi le volume colossal de moyens humains (17 pays coordonnés) et de temps (2 ans) nécessaire pour arrêter six individus parmi les milliers que compte le secteur. Autrement dit, les autorités ne peuvent pas à elles seules arrêter le phénomène du rançongiciel.
Le principal levier contre les rançongiciels ne cesse d’être matraqué par tous les experts : ne pas payer la rançon, afin de réduire la rentabilité des cybercriminels. Malgré ce consensus, plus de 50% des victimes l’ont payée en 2020, d’après une étude de Kaspersky. « Même si la pression des autorités devient de plus en plus forte, tant qu’il sera possible de devenir multimillionnaires en deux attaques, les cybercriminels continueront », estime Alexandru Catalin Cosoi.
En revanche, avec une force anti-REvil sur le dos, difficile d’imaginer les opérateurs du groupe revenir sous le même nom. « Je pense qu’ils vont faire une pause, mais compte-tenu de leur mentalité, je ne pense pas qu’ils vont arrêter. Une partie d’entre eux va quitter le cybercrime par peur, mais les autres vont surement réapparaître d’une façon ou d’une autre l’année prochaine. En attendant, ils doivent analyser ce qui leur est arrivé pour l’éviter à l’avenir. »