La traque aura duré plus d'un an. La police espagnole annonce, le 13 février, avoir arrêté onze personnes soupçonnées d'être des membres d'un des réseaux les plus sophistiqués en matière de cybercriminalité.
Les pirates, des Russes, des Ukrainiens et des Géorgiens, avaient créé un "super-virus", nommé Reveton, spécialisé dans le cyber-kidnapping. Ce logiciel malveillant est capable de s'infiltrer dans un n'importe quel ordinateur. Il bloque alors l'accès au PC et aux données stockées dans la machine. Lorsque l'utilisateur veut utiliser son ordinateur, un message s'affiche et demande à son propriétaire de payer une rançon, comme pour un vrai kidnapping, entre 100 et 200 euros, pour le débloquer.
Ces virus font partie de la catégorie des "rançongiciel", ou "ransomware" en anglais. Et ils sont devenus l'arme préférée des cybercriminels.
Le subterfuge parfait
Selon le rapport annuel sur la cybercriminalité de Symantec, chaque seconde, 18 internautes sont victimes de piratage dans le monde, soit plus d'un million et demi de personnes chaque jour. Et le cyber-kidnapping prend une place de plus en plus importante.
L'éditeur d'antivirus McAfee a déjà enregistré 120.000 virus de ce genre en 2012, soit quatre fois plus qu'un an auparavant, rapporte Slate. Car le "ransomware" est bien plus efficace que le phishing, dont le but est d'obtenir de la victime ses coordonnées bancaires afin de vider son compte.
Des experts en sécurité informatique américains ont d'ailleurs récemment estimé que le cyber-kidnapping rapporte plus de 5 millions de dollars par an. Une estimation qui n'est que la partie visible de l'iceberg. "Seules 3% des personnes infectées paient la rançon, mais ce nombre est en augmentation", souligne Candid Wueest de Symantec. "Et comme il s'agit d'une somme relativement faible, les victimes ne portent pas plainte pour éviter la paperasse." Les hackers ne sont donc pas inquiétés et peuvent récolter jusqu'à 30.000 euros par jour, selon Symantec.
"Le cas de Reveton est particulièrement intéressant", raconte Pierre Siaut, expert en sécurité à TrendMicro, au "Nouvel Observateur", qui a participé à la traque des hackers à l'origine de Reveton. "Ce virus affiche un message qui ressemblait en tout point à ceux envoyés par la police : le logo, les références aux articles de loi nationale, le type d'amendes."
Pour la victime, le subterfuge est total et la tentation de payer la rançon bien plus forte. "Reveton est tellement perfectionné qu'il arrive même à identifier la langue du propriétaire de l'ordinateur et donc son pays. Ce qui lui permet de créer un message plus vrai que nature avec des références très précises à la législation du pays de l'utilisateur."
Selon la police, l'organisation à l'origine de Reveton aurait réussi à extorquer des millions d'euros dans plus de 30 pays, principalement européens. Europol, l'agence de police européenne, estime qu'au moins 20.000 personnes auraient été victimes de Reveton en Europe.
Traquer les hackers
Dans un cas classique de cyber-kidnapping, la rançon est, le plus souvent, réclamée en argent virtuel. L'internaute doit alors convertir ses euros en monnaie virtuelle via des services comme Ukash, pour ensuite entrer un code dans son ordinateur bloqué. La machine ne bougera pas d'un iota, mais l'argent sera automatiquement transféré jusqu'au pirate qui ira le blanchir sur un site de casino ou de poker en ligne où il joue quelques minutes avant de se retirer en empochant de véritables euros.
"Dans le cas de Reveton, le message demandait de payer avec des coupons", explique Pierre Siaut. "La victime allait l'acheter dans une station-service et n'avait plus qu'à rentrer le code pour payer." Selon l'expert en sécurité, c'est ce qui a rendu la traque des hackers à l'origine de Reveton si difficile. "Les coupons sont pratiquement impossibles à tracer sur internet."
Pierre Siaut confie alors qu'il a fallu détecter les traces laissées par Reveton et les hackers plutôt que de suivre la piste de l'argent. "On a découvert que les hackers avaient piraté les bases de données des sites informations. Ils ont alors récupéré les adresses mails des abonnés et envoyé de fausses publicités qui amenaient sur de faux site." Ensuite, Reveton, caché entre les lignes de codes du faux site, n'avaient plus qu'à utiliser les vulnérabilités présentes dans les navigateurs internet pour s'installer sur l'ordinateur de la victime.
Les pirates auraient aussi réussi à cibler les internautes susceptibles d'avoir des activités illégales sur internet, comme la visite un pédopornographique. "Cela rendait la menace d'une amende plus crédible pour l'utilisateur" relève Europol.
"Ces arrestations, ce sont le résultat de plusieurs mois de recherches, d'investigations, d'analyses pour aider la police. On avait une équipe dédiée", termine Pierre Siaut. Et le pire, c'est que Reveton est toujours en activité. "On a pas pu l'abattre totalement." Europol a, pour l'instant, détecté pas moins de 48 mutations de Reveton en activité.
