Cybercriminalité : Comment les enquêteurs ont aidé les victimes du rançongiciel « Hive » à récupérer leurs données
Une dizaine de drapeaux, des logos de différents services de police et un message rédigé en russe que Google traduit ainsi : « Ce site Web a été confisqué par le FBI dans le cadre d’une action concertée des forces de l’ordre en application de la loi anti malware. » Les autorités américaines et allemandes ont annoncé jeudi le démantèlement d’un des principaux réseaux d’attaques au rançongiciel au monde, baptisé « Hive ». Il accusé d’avoir ciblé quelque 1.500 entités dans 80 pays et d’avoir collecté plus de 100 millions de dollars de rançons depuis juin 2021.
En France, 58 victimes de Hive – principalement des sociétés ou des collectivités – ont été recensées par la police judiciaire, et 26 d’entre elles ont déposé plainte. Parmi elles, les entreprises Altice ou Damart, l’Ecole nationale de l’aviation civile, la mairie d’Annecy, ou la collectivité de Guadeloupe. Les pirates derrière ce rançongiciel pratiquaient la « double extorsion ». Après s’être infiltrés dans un système informatique, ils « chiffraient les machines et volaient les données qu’elles contenaient », explique à 20 Minutes la commissaire Valentine Altmayer, de la sous-direction de la lutte contre la cybercriminalité de la direction centrale de la police judiciaire.
« Cartographier l’infrastructure d’attaque »
Les victimes recevaient ensuite un mail leur demandant de payer une somme d’argent en échange d’un code qui leur permettait de débloquer leurs ordinateurs et de récupérer leurs données. « Ils les menaçaient aussi de divulguer les informations dérobées et allaient jusqu’à appeler les victimes et à les menacer sur les réseaux sociaux pour leur mettre la pression », poursuit la policière. Pour tenter d’identifier les auteurs, les enquêteurs français se sont attachés à analyser les indices laissés par les pirates informatiques puis ont partagé leurs éléments avec les services de 13 autres pays dans le but de « cartographier l’infrastructure d’attaque ».
En octobre dernier, le conseil départemental de Seine-Maritime a ainsi été victime d’une « attaque informatique d’ampleur ». Les services publics départementaux avaient dû fonctionner un temps en « mode fortement dégradé », avait détaillé son président, Bertrand Bellanger, à l’occasion d’une conférence de presse. Mais ce que les pirates ignoraient, c’est que le FBI était parvenu, quatre mois auparavant, à pénétrer dans les réseaux de Hive. L’agence américaine a ainsi récupéré la clé de chiffrement qu’elle a offerte aux victimes dans le monde entier les mois suivants. Cette coopération a permis d’éviter de payer 130 millions de dollars de rançons, a fait savoir Christopher Wray, le directeur du FBI, lors d’un point presse.
« Exploiter les données collectées lors de l’opération »
Avec l’aide de l’Anssi (Agence nationale de la sécurité des systèmes d’information), la police judiciaire est ainsi « intervenue discrètement pour permettre au conseil départemental de Seine-Maritime de récupérer ses données » avec ce code, raconte la commissaire Altmayer. La manœuvre a permis à la collectivité normande de « récupérer 62 téras de données et de remettre en état les systèmes d’information du conseil départemental en moins d’un mois », poursuit-elle.
Le démantèlement de Hive a non seulement permis « de contenir la menace » que ce rançongiciel faisait planer mais également de faire progresser les investigations. Les enquêteurs du monde entier ont ainsi « récupéré énormément de données pour essayer d’identifier les cybercriminels » qui étaient à la manœuvre, assure Valentine Altmayer. Les policiers qui travaillent sur cette affaire vont désormais se retrouver en février prochain, à Orlando en Floride, durant une semaine, pour « exploiter les données collectées lors de cette opération, voir ce qu’on peut en tirer, se répartir le travail restant et avancer ensemble », conclut-elle.
