Fraude au "rançongiciel" Hive: un banquier russe soupçonné a été interpellé à Paris

Hameçonnage, rançongiciel, vols de mots de passe: les pirates rivalisent d'inventivité pour s’en prendre, via Internet, à vos données ou à votre argent. - Rob Engelaar-AFP
Coup de filet chez les pirates du web. Un Russe, soupçonné d'avoir récupéré en cryptomonnaies l'argent soutiré aux victimes françaises du puissant rançongiciel Hive, démantelé en janvier, a été interpellé la semaine dernière. Le suspect, "âgé d'une quarantaine d'années et qui résidait à Chypre", a été arrêté le 5 décembre alors qu'il se trouvait à Paris, a indiqué Christophe Durand, chef du pôle des cyber-enquêtes du tout nouvel Office anti-cybercriminalité (Ofac).
Plus de 570.000 euros en cryptomonnaies, correspondant à "son fonds de roulement", ont été saisis dans le cadre de la perquisition de son domicile chypriote, menée pendant sa garde à vue grâce à la "réactivité" de la coopération internationale, via Europol et Eurojust, a salué Christophe Durand.
Hive, l'un des principaux réseaux d'attaques au rançongiciel au monde, est accusé d'avoir pris pour cible 1.500 entités dans 80 pays et d'avoir collecté plus de 100 millions de dollars de rançons. Il a été démantelé en janvier par le FBI, en coordination avec les forces de police allemande et néerlandaise, ainsi qu'Europol.
Le rançongiciel aurait fait près d'une soixantaine de victimes en France, dont les entreprises Altice ou Damart, l'Ecole nationale de l'aviation civile (Enac), le conseil départemental de Seine-Maritime, la mairie d'Annecy ou la collectivité de Guadeloupe, selon une source proche du dossier.
Comment fonctionnait la fraude?
Hive fonctionnait sur le modèle de logiciel à la demande (Raas, Ransomware as a Service): ses créateurs le mettaient à disposition d'autres pirates, des "affiliés", qui se chargeaient des attaques avant de partager les gains. Deux affiliés, qui n'ont pas encore été interpellés, "ont utilisé cet outil pour faire des victimes en France", a rapporté Christophe Durand.
Les cyber-enquêteurs de l'Ofac ont "tracé les flux financiers en cryptomonnaies" correspondant aux rançons jusqu'à remonter "aux porte-feuilles gérés" par le banquier occulte avec lequel travaillaient les affiliés, a-t-il ajouté.
Grâce à un travail d'Osint (recherche d'informations en source ouverte), mêlant données techniques et activité sur internet, la PJ a pu l'identifier et le localiser à Paris.
"Il n'y a pas d'impunité, l'image d'Epinal qui consiste à dire qu'il n'y a pas d'interpellations en cyber, on commence à lui donner un coup de canif", s'est réjoui Christophe Durand.