Un banquier occulte russe écroué en France

Un ressortissant russe, soupçonné d’avoir récupéré en cryptomonnaie l’argent soutiré aux victimes françaises du puissant rançongiciel Hive, démantelé en janvier, a été mis en examen à Paris et placé en détention provisoire, a appris mardi 12 décembre l’Agence France-Presse (AFP) auprès de la police judiciaire et du parquet.

Le suspect, « âgé d’une quarantaine d’années et qui résidait à Chypre », a été arrêté le 5 décembre alors qu’il se trouvait à Paris, a précisé Christophe Durand, chef du pôle des cyberenquêtes du tout nouvel Office anti-cybercriminalité (OFAC), saisi par la section de lutte contre la cybercriminalité de la juridiction interrégionale spécialisée (JIRS) du parquet de Paris.

Selon le parquet, ce résident chypriote né en 1980 voyageait avec un passeport israélien, sous une autre identité que son nom russe. Il est soupçonné d’avoir blanchi l’argent obtenu par le rançongiciel Hive, au préjudice notamment de 59 victimes françaises, et d’avoir fait transiter des millions de dollars par ses portefeuilles.

Lire aussi : Article réservé à nos abonnés Derrière les attaques par rançongiciel, un écosystème criminel continue de fleurir

Plus de 570 000 euros en cryptomonnaie, correspondant à « son fonds de roulement », ont été saisis lors de la perquisition de son domicile chypriote, menée pendant sa garde à vue grâce à la « réactivité » de la coopération internationale, par Europol et Eurojust, a salué Christophe Durand.

Plus de 1 500 entités ciblées dans 80 pays

Il a été mis en examen samedi 9 décembre à Paris pour « accès et maintien frauduleux dans un système de traitement automatisé de données », « d’introduction et modification frauduleuses de telles données », « entrave au fonctionnement d’un tel système », et « blanchiment de ces délits en bande organisée », selon le parquet de Paris. Il a été placé en détention provisoire mardi.

Hive, l’un des principaux réseaux d’attaques au rançongiciel au monde, est accusé d’avoir pris pour cible 1 500 entités dans 80 pays et d’avoir collecté plus de 100 millions de dollars de rançons.

Ce réseau a été démantelé en janvier par le FBI américain, en coordination avec les forces de police allemande et néerlandaise, ainsi qu’Europol. Les entreprises Altice et Damart, l’Ecole nationale de l’aviation civile (ENAC), le conseil départemental de Seine-Maritime, la mairie d’Annecy et la collectivité de la Guadeloupe font partie des victimes françaises, selon une source proche du dossier.

Hive fonctionnait sur le modèle de logiciel à la demande (Raas, Ransomware as a Service) : ses créateurs le mettaient à disposition d’autres pirates, des « affiliés », qui se chargeaient des attaques avant de partager les gains. Deux affiliés, qui n’ont pas encore été interpellés, « ont utilisé cet outil pour faire des victimes en France », a rapporté M. Durand.

Les cyberenquêteurs de l’OFAC ont « tracé les flux financiers en cryptomonnaie » correspondant aux rançons jusqu’à remonter « aux portefeuilles gérés » par le banquier occulte avec lequel travaillaient les affiliés, a-t-il ajouté.

Grâce à un travail d’Osint (recherche d’informations en sources ouvertes), mêlant données techniques et activité sur internet, la police judiciaire a pu l’identifier et le localiser à Paris. « Il n’y a pas d’impunité, l’image d’Epinal qui consiste à dire qu’il n’y a pas d’interpellations en cyber, on commence à lui donner un coup de canif », s’est réjoui M. Durand.

Lire aussi : Article réservé à nos abonnés Les villes face aux rançongiciels : « Quand on est touché, on se sent vite pestiféré »

Le Monde avec AFP