Affaire Alexander Vinnik : « Celui qui était aux commandes de Locky n’était pas forcément un super technicien »

by admin
Affaire Alexander Vinnik : « Celui qui était aux commandes de Locky n’était pas forcément un super technicien »

Peine confirmée pour Alexander Vinnik ! Ce jeudi 24 juin, la cour d’appel de Paris a condamné ce russe, surnommé M. Bitcoin, à cinq ans de prison pour son rôle dans le blanchiment des rançons de Locky, ce rançongiciel qui avait sévi en 2016. Une décision similaire à celle prononcée en première instance, en décembre 2020. Ses avocats ont aussitôt annoncé qu’ils allaient faire un pourvoi en cassation.

Sans surprise, l’arrêt de la cour d’appel est conforme aux réquisitions de l’avocat général. En mai dernier, ce magistrat avait abandonné en rase campagne les charges relatives à la cybercriminalité, à l’extorsion et à l’association de malfaiteurs, faute de preuves. Le magistrat Jérôme Marilly avait alors brossé le portrait d’un Alexander Vinnik simple prestataire de services de blanchiment pour les opérateurs du rançongiciel Locky. Prenant ainsi acte de la décision du tribunal correctionnel, qui avait relaxé Alexander Vinnik sur ces poursuites.

Première historique – c’est la première fois que l’on jugeait en France une personne pour son implication dans un rançongiciel, un phénomène criminel devenu l’une des premières menaces informatique -, cette affaire inédite est riche d’enseignements. Elle montre d’abord que la coopération judiciaire internationale permet d’obtenir des résultats. Alexander Vinnik avait été arrêté en juillet 2017 en Grèce pendant ses vacances à la demande des autorités judiciaires américaines. Qui avaient ensuite transmis via Europol les informations nécessaires pour faire avancer l’enquête française, alors au point mort.

publicité

La grande lessiveuse de l’argent sale des années 2010 aurait blanchi plusieurs milliards de dollars

Le futur judiciaire de M. Bitcoin, également demandé par la justice russe, doit désormais s’écrire aux États-Unis. Outre-atlantique, on le soupçonne d’avoir été à la tête de la plateforme d’échanges de cryptomonnaies BTC-e. La grande lessiveuse de l’argent sale des années 2010 aurait blanchi plusieurs milliards de dollars.

En creux, l’issue judiciaire du dossier en France illustre toutefois les difficultés des enquêtes judiciaires sur les rançongiciels. Les investigations sur Locky, scindées en deux volets, le blanchiment et l’infrastructure du rançongiciel, ont en effet donné des résultats mitigés. Là où les enquêteurs de la gendarmerie avaient réussi à tracer les flux financiers de la blockchain vers la plateforme BTC-e, leurs homologues de la préfecture de police de Paris se sont heurtés à des impasses.

Des difficultés détaillées lors du procès en appel par le commandant de police en charge du dossier à la brigade d’enquêtes sur les fraudes aux technologies de l’information. En 2016, avec Locky, les enquêteurs misent sur une nouvelle technique pour éviter d’être pris de vitesse. Pour une précédente enquête sur Cryptowall, les policiers avaient eu le sentiment de perdre leur temps en tentant, à partir des victimes, de retrouver la trace des serveurs de commande et de contrôle.

« C’était l’une des premières versions d’un RaaS, sous la forme d’une affiliation »

Ayant ainsi appris, après des informations publiées par la société Fortinet, que deux serveurs de Locky étaient localisés en France, les policiers demandent aussitôt l’ouverture d’une enquête. Avant même donc d’avoir connaissance d’une victime. Les premières surveillances des deux serveurs suspects, inactifs, ne donnent rien. Puis, grâce à des investigations allemandes, les policiers français comprennent que le serveur n’est qu’une simple passerelle montée pour entraver la découverte du serveur final.

« La durée d’un serveur de commande et de contrôle est généralement d’un jour et demi, avait rappelé à la barre le responsable de l’enquête, Aurélien D. Dès que les opérateurs avaient l’impression d’avoir laissé une trace, ils faisaient tomber leur infrastructure. » Des serveurs compromis, comme par exemple celui d’une auto-école qui n’avait pas été mis à jour. Finalement, les enquêteurs n’arriveront pas à saisir le panel de contrôle, la preuve qui a manqué pour confondre les opérateurs de Locky.

Cependant, les policiers réussissent à avoir une connaissance assez fine du groupe cybercriminel. « C’était l’une des premières versions d’un rançongiciel-as-a-service, sous la forme d’une affiliation », explique Aurélien D. Pour la Befti, il s’agit d’un petit groupe de confiance avec seulement huit places, dont trois pour les créateurs. Les policiers estiment également qu’il n’y avait qu’une seule infrastructure de paiement.

« Les cybercriminels ont fait évoluer leur logiciel, de la même manière que MacOS passe de Capitan à Sierra »

« Celui qui était aux commandes de Locky n’était pas forcément un super technicien, mais il s’appuyait sur d’autres personnes », poursuit le policier. Et de remarquer, à propos des nombreuses extensions de chiffrement qui se sont succédé, « que les cybercriminels, même s’ils ne sont pas ISO 9001, ont fait évoluer leur logiciel, de la même manière que MacOS passe de Capitan à Sierra ». « Hors criminalité, ce serait une entreprise informatique très organisée », conclut l’enquêteur. Et suffisamment performante pour échapper au régulateur.

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading