Un hacker soupçonné d’être l’auteur de 115 attaques en France interpellé au Canada

Mikhail V., un citoyen russo-canadien de 33 ans résidant dans l’Ontario, était, il y a encore une semaine, un nom inconnu du public. Mais plus pour très longtemps, tant il intéresse aujourd’hui la justice de la France et des Etats-Unis. Sortant peu de chez lui et séparant avec prudence sa vie secrète en ligne et sa vie personnelle, selon le portrait dressé par une source proche du dossier, il a été arrêté à la fin du mois d’octobre par les autorités locales, épaulées par six gendarmes français ayant fait le déplacement au Canada.

L’homme est soupçonné d’être un important pirate travaillant avec plusieurs groupes de rançongiciel (ou ransomware), ces hackers qui s’introduisent dans le réseau informatique d’entreprises et d’organisations, y volent des données, rendent les machines inutilisables en chiffrant les fichiers puis demandent des rançons. Selon le parquet de Paris, Mikhail V. est soupçonné d’avoir travaillé avec quatre des groupes les plus importants de ces dernières années : Ragnar Locker, Lockbit, BlackCat et DarkSide.

Potentiellement lié à 1 800 victimes dans le monde

Les premières constatations techniques, et notamment l’analyse d’un serveur que le Canadien administrait, pourraient relier ce suspect à plus de 1 800 victimes dans le monde, et 115 en France. Un nombre impressionnant qui en ferait un « affilié » très actif, du nom donné aujourd’hui aux pirates spécialisés dans l’intrusion informatique et qui travaillent de concert avec les développeurs de rançongiciels.

L’enquête cherche encore à dresser le portrait complet des victimes du citoyen canadien. Selon nos informations, confirmant celles du site spécialisé ZDNet, sur le territoire métropolitain, Mikhail V. est entre autres soupçonné d’être relié à une attaque menée en janvier et présentée par ses auteurs comme ayant visé le ministère de la justice, mais qui avait en réalité touché un cabinet d’avocats à Caen.

Cette arrestation fait suite à l’ouverture par la section spécialisée J3 du parquet de Paris, en septembre 2020, d’une enquête préliminaire confiée au centre de lutte contre les criminalités numériques (C3N) de la gendarmerie. En septembre 2021, l’enquête avait déjà permis une première opération avec l’interpellation de deux personnes en Ukraine.

Lire aussi Article réservé à nos abonnés Rançongiciels : comment les autorités françaises remontent la trace des cybercriminels

Un autodidacte passionné

Mikhail V., d’origine russe, est arrivé au Canada à l’adolescence et commençait déjà à fréquenter des forums de discussion liés à la cyberdélinquance avant sa majorité, selon une source proche du dossier. Jamais condamné par la justice, on soupçonne aujourd’hui cet autodidacte d’avoir participé à diverses activités illicites, dont de la vente de faux papiers et du trafic de données bancaires. Une fois intégré dans l’univers des rançongiciels, il se serait cependant largement concentré sur cette activité.

D’après un document judiciaire américain, une première perquisition canadienne menée en août à son domicile, dans le sud de l’Ontario, a permis de trouver sur son ordinateur des captures d’écran de conversations en ligne, dont certaines avec un dénommé « Lockbitsupp », le pseudonyme aujourd’hui célèbre d’une des têtes du groupe russophone Lockbit. Les enquêteurs ont également découvert des éléments laissant penser que Mikhail V. avait accès à des outils fournis par Lockbit à ses affiliés, ainsi que la trace d’un portefeuille de cryptomonnaie ayant reçu des fonds provenant d’une rançon payée par une victime du groupe.

Le pirate est aujourd’hui visé par un mandat d’arrêt international émanant de la France et des Etats-Unis ; il attend aujourd’hui son extradition vers ce dernier pays, où il risque une peine de cinq ans de prison, selon le communiqué publié par le ministère américain de la justice. En France, une information judiciaire est ouverte pour les chefs d’extorsion en bande organisée, de participation à une association de malfaiteurs et d’atteinte à un système de traitement automatisé de données.

Lire aussi : Article réservé à nos abonnés Cyberassurance : derrière la question des rançons, l’enjeu économique

Des groupes très scrutés

Les groupes avec lesquels l’homme est suspecté d’avoir travaillé représentent le haut du panier de la cybercriminalité : s’il n’a qu’une poignée de victimes françaises à son actif, le désormais inactif groupe DarkSide avait notoirement semé le chaos dans les réseaux d’oléoducs américains en frappant l’entreprise Colonial Pipeline. Une attaque qui avait conduit les Etats-Unis à montrer les muscles, et contraint certains groupes cybercriminels à faire temporairement profil bas. BlackCat, aussi surnommé Alphv, ne compterait, lui aussi, selon une source française, que quelques victimes connues dans l’Hexagone, mais fait preuve d’une sophistication technique qui inquiète les experts. Le groupe Ragnar Locker a fait, de son côté, de nombreuses victimes, dont le groupe de distribution de matériel informatique LDLC, en France, ou l’éditeur de jeux vidéo japonais Capcom.

Lockbit, quant à lui, est un groupe qui se distingue par le nombre impressionnant de victimes qu’il revendique, notamment du fait d’une importante campagne de recrutement d’affiliés. Dans un récent entretien accordé à VX-Underground, un collectif d’experts spécialisés dans les logiciels malveillants, un membre du groupe assurait ainsi travailler avec près d’une centaine d’affiliés. En France, le groupe est notamment soupçonné d’être derrière l’attaque du centre hospitalier de Corbeil-Essonnes, qui a mis en difficulté l’établissement médical.

Lire le décryptage : Cyberattaque contre l’hôpital de Corbeil-Essonnes : ce que l’on sait sur les données diffusées

Florian Reynaud et Louis Adam