Les forces de l’ordre ont interpellé, le 9 février dernier en Ukraine, plusieurs membres d’un groupe de cybercriminels, à l’origine de plusieurs attaques informatiques dans le monde dont celle du quotidien Ouest France, ont annoncé des sources policières et proches du dossier, ce jeudi.

Cette « opération internationale », qui a été menée en coordination avec des policiers français et ukrainiens ainsi que le FBI, a mis un « coup d’arrêt » à la diffusion d'un rançongiciel baptisé « Egregor », détaille la police dans un communiqué.

« Double extorsion »

Selon les premiers éléments d’enquête communiqués par les services de sécurité ukrainiens (SBU), au moins 150 entreprises ont été attaquées, principalement aux Etats-Unis et en Europe, pour des pertes estimées à environ 66 millions d’euros. Au moins trois personnes ont été interpellées dans ce coup de filet, selon une source proche du dossier. Les domiciles des suspects ont été perquisitionnés et le matériel informatique saisi est « toujours en cours d’exploitation » par les enquêteurs français envoyés sur place, selon la police.

C’est un signalement par Europol en septembre qui avait conduit le parquet de Paris à ouvrir en France une enquête confiée à la sous-direction de la lutte contre la cybercriminalité (SDLC). Le groupe pratiquait la technique de la « double extorsion » : d’une part le chiffrement et le vol des données de l’entreprise ciblée, d’autre part la menace de publication de ces données compromises sur un site Web si la société refusait de payer une rançon en bitcoins, la plus célèbre des monnaies virtuelles.

Des attaques différentes pour les hôpitaux français

Le rançongiciel se propageait par une intrusion préalable « via l’envoi de courriels d’hameçonnage et des accès au bureau à distance de Windows mal sécurisés », détaille la police française. Particulièrement sophistiqué, « Egregor » pouvait prendre le contrôle des imprimantes connectées aux ordinateurs infectés et imprimer la note de rançon, « amplifiant encore l’impact psychologique de l’extorsion », souligne-t-on de même source.

Plusieurs sociétés françaises ont été visées par « Egregor », dont le quotidien Ouest France, le transporteur Gefco ou le géant du jeu vidéo Ubisoft. Deux attaques au rançongiciel ont visé ces derniers jours les centres hospitaliers de Villefranche-sur-Saône (Rhône) et de Dax (Landes), mais elles ne portent pas la signature d'« Egregor ». Celui-ci fonctionnait sur le modèle de logiciel à la demande (Raas, Ransomware as a Service) : ses créateurs le mettaient à disposition d’autres pirates, des « affiliés », qui se chargeaient des attaques avant de partager les gains.

« Une nébuleuse » ?

Les interpellés font partie « plutôt de l’équipe de conception et de réalisation », confie Catherine Chambon, la sous-directrice de la lutte contre la cybercriminalité à la direction centrale de la police judiciaire. Si Catherine Chambon qualifie l’opération contre « Egregor » de « démantèlement plutôt efficace », elle appelle à rester « très prudent et modeste » face à ce qui s’apparente à « une nébuleuse ».

Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), « Egregor serait lié à la fin d’activité du groupe d’attaquants à l’origine du rançongiciel Maze », à l’origine notamment d’une attaque contre Bouygues Construction en janvier 2020. A son tour, « Egregor » pourrait-il renaître sous une autre forme ? « C’est possible, cela peut être la vie d’un ransomware », répond Catherine Chambon. « L’idée c’est d’insécuriser petit à petit les cybercriminels, qu’ils se sentent moins en impunité. Même si, dès lors qu’une criminalité existe, elle a peu de chance de disparaître ».