En octobre 2022, le Département de la Seine-Maritime était visé par une cyberattaque d'ampleur. Au terme de plus d'un an d'enquête, un homme a été interpellé à Paris le 5 décembre 2023. Le réseau dont il fait partie aurait fait une soixantaine de victimes en France, et plus de 1 500 à l'international. Entretien avec Christophe Durand, commissaire divisionnaire à l’Ofac, responsable du pôle cyberattaques.
Le 5 décembre 2023, un homme était interpellé à Paris par l'Office anti-cybercriminalité (Ofac). Poursuivi pour blanchiment d'extorsion en bande organisée, il risque jusqu'à 20 ans de réclusion.
Le pirate, de nationalité russe, était membre du réseau Hive, responsable de nombreuses cyberattaques à l'international qui auraient rapporté 100 millions de dollars américains. Le Département de la Seine-Maritime a été visé par l'une de ces attaques d'ampleur en octobre 2022.
La cybercriminalité explose à l'heure où les entreprises s'emparent du numérique. Entretien avec Christophe Durand, commissaire divisionnaire à l’Ofac, responsable du pôle cyberattaques.
Des systèmes bien rodés
France 3 Normandie : Qui est l'homme interpellé le 5 décembre 2023 ?
Christophe Durand : C'est un homme de nationalité russe, vivant à Chypre et âgé d'une quarantaine d'années. Il est ce que l'on définit comme un banquier occulte : il se charge, en sortie de processus, de récupérer les rançons payées par les victimes de rançongiciels, et de les échanger ou transférer à la demande des cybercriminels qui, eux, sont dans l'action.
C'est toute l'ambiguïté de cette activité : ces banquiers occultes se qualifient d'échangeurs en cryptomonnaies, une activité réglementée sur le territoire européen mais qui, pendant longtemps, ne l'a pas été en Russie. De grandes sociétés ont des échangeurs déclarés, qui répondent à nos réquisitions. Lui, on ne savait pas qui il était.
L'interpellation de cet homme a été la première arrestation que l'on ait effectuée sous la bannière Ofac : le décret de restructuration de l'activité cyber au niveau national date du 1er décembre.
Depuis la fin des années 1980 et l'avènement d'Internet, le chiffrement s'est généralisé. Les rançongiciels utilisent cette technologie pour en abuser.
Christophe Durandà France 3 Normandie
Comment fonctionnent les rançongiciels ?
Il s'agit de crime organisé cyber. De petites entreprises internationales, souvent, qui ciblent une entreprise, une collectivité territoriale ou plus rarement, des particuliers.
Les pirates pénètrent les systèmes d'information de ces entreprises par Internet. Une fois qu'ils ont trouvé les clés d'accès, ils les revendent à d'autres qui vont, eux, développer des techniques d'attaque (vols de données, espionnage industriel, différentes valorisations qui sont opérées grâce à ces accès).
Un logiciel malveillant (malware) va ensuite chiffrer les données importantes de la structure ciblée et exiger de la victime le paiement d'une rançon en échange de la clé de chiffrement. Depuis la fin des années 1980 et l'avènement d'Internet, le chiffrement s'est généralisé. Les rançongiciels utilisent cette technologie pour en abuser.
Les cybercriminels ont toujours un coup d'avance...
Depuis 2019, les entités victimes se sont adaptées : sur nos conseils, elles ont des sauvegardes beaucoup plus robustes. La menace des cybercriminels était moins percutante. Mais depuis, ils ont compris que leur process n'était pas parfait, donc ils l'ont amélioré en faisant de l'exfiltration de données : ils les volent, pour ensuite les publier sur le dark web.
L'autre modalité de ce business model, c'est la revente du service. Je développe le malware, je le rends suffisamment robuste et efficace, je développe l'infrastructure d'attaque et je propose à des gens d'utiliser mon produit. La condition de cette utilisation étant de toucher une commission (par exemple 20%) si vous arrivez à faire une victime.
Dans Hive, c'est ce modèle-là, appelé ransomware. Ce qui fait que l'on a plusieurs affiliés, plusieurs clients de ce réseau.
On ne sait pas qui est le criminel qui tient l'arme, mais on lui saisit son arme.
Christophe Durandà France 3 Normandie
Vous êtes donc parvenu à démanteler le réseau Hive ?
Lors d'une enquête, on récupère d'abord un maximum d'éléments auprès de la victime pour essayer de déterminer l'infrastructure attaquante (où sont situés les ordinateurs dans le monde, comment les serveurs sont organisés entre eux pour pouvoir attaquer). Une fois que l'on a une connaissance fine de la structure attaquante, on peut décider, si les serveurs nous sont accessibles, d'aller les arrêter.
C'est ce qui a été fait dans le cadre de Hive. Le 26 janvier 2023, on a saisi un maximum de serveurs au niveau international, ce qui a incapacité ce groupe criminel. Depuis, on n'a plus d'attaques. C'est un démantèlement technique. Si je devais faire une analogie, je dirais que l'on ne sait pas qui est le criminel qui tient l'arme, mais qu'on lui saisit son arme.
À lire aussi : Une cyberattaque d'ampleur cible le département de Seine-Maritime
Avant le démantèlement, on a pu se procurer des clés de déchiffrement, et on a été en mesure d'aider le Département de la Seine-Maritime, qui a pu récupérer une très grosse partie de ses données. L'activité de la collectivité est vite revenue à la normale, mais une attaque de cette ampleur peut engendrer des dégâts pendant des mois.
La coopération internationale, une nécessité
Comment enquêtez-vous sur ces phénomènes ?
Dans le cas de Hive, en travaillant sur certains affiliés qui avaient fait des victimes en France, on a découvert que les fonds qu'ils récupéraient en cryptomonnaie allaient ensuite à Hive.
La difficulté, c'est qu'on a beaucoup de pseudonymes de clients, c'est du virtuel. Les clients ne se connaissent que par leur pseudo et ne se font confiance que s'ils honorent les contrats qui les lient. Vous pouvez vous construire une réputation dans le milieu, mais les gens ne vous connaissent pas sous votre vraie identité. À l'Ofac, on a une équipe hybride : on travaille main dans la main avec des enquêteurs et des ingénieurs experts en cybersécurité et cybercrime.
Quand on a une attaque, la première question que l'on se pose c'est quel outil a été utilisé. On le détermine en récupérant des traces et indices auprès des victimes. Les ingénieurs croisent ça avec des bases de données en interne, qui permettent de déterminer si ce mode de fonctionnement correspond à un groupe déjà connu de nos services.
Tout est dans le virtuel, sauf quand on cherche des preuves. Il faut saluer l'organisation de nos collègues chypriotes qui ont mené la perquisition.
Christophe Durandà France 3 Normandie
L'Ofac est le service central pour la France. La section J3 du parquet, spécialisée en cybercriminalité, confie l'enquête de terrain à une entité (la police judiciaire, la gendarmerie...). Nous sommes ensuite amenés à coopérer avec le monde entier.
Pour Hive, 12 pays ont été impliqués dans l'opération. Lorsque nous avons arrêté notre suspect à Paris, une perquisition a pu être menée à son domicile chypriote pendant sa garde à vue en France grâce à Europol (toutes les polices européennes) et Eurojust (le même principe pour les magistrats).
D'où viennent ces rançongiciels ?
Il y a de gros bassins de cybercriminels que nous n'avons évidemment pas tous identifiés. On peut créer une communauté virtuelle et venir de différents pays, mais les grandes tendances, c'est l'Est de l'Europe pour des attaques en Europe et aux Etats-Unis. Il y a également des foyers en Asie, qui nous concernent moins directement.
Chaque région du monde a une zone de concentration de cybercriminels. Pour Hive, on pense plutôt à l'Est de l'Europe. L'arrestation abonde en ce sens.
Il vaut mieux placer un ransomware à 3 000 kilomètres de chez soi que de cambrioler une banque à 2 kilomètres.
Christophe Durandà France 3 Normandie
Comment évolue la cybercriminalité, est-ce un nouvel enjeu de traquer ces pirates ?
On ne peut même plus parler d'explosion de ce phénomène : on est sur une progression exponentielle des cyberattaques depuis une dizaine d'années. Elles sont de plus en plus efficaces, se sont industrialisées.
Plus les sociétés se numérisent, plus la surface d'attaque s'élargit. Les cybercriminels sont opportunistes : plus il y a de cibles, y compris des particuliers, plus ils font de l'argent. Le premier niveau, c'est donc cette surface d'attaque qui augmente.
Le deuxième niveau, c'est une sophistication des attaques. Comme les pirates gagnent beaucoup d'argent, ils réinvestissent dans le développement de produits de plus en plus performants. Il vaut mieux placer un ransomware à 3 000 kilomètres de chez soi que de cambrioler une banque à deux kilomètres. Ça rapporte beaucoup plus, et en termes de traces et d'indices, c'est plus facile de s'éloigner des scènes de crime...
