Non, la Police n’avait pas arrêté les hackers de Rex Mundi

Non, la Police n’avait pas arrêté les hackers de Rex Mundi

Cette information d’Europol sur un coup de filet contre des cybercriminels avait été largement relayée. En juin 2018, l’agence de police européenne annonçait l’arrestation de plusieurs personnes en France et d’un développeur en Thaïlande.

Ils étaient soupçonnés d’avoir participé à une importante tentative d’extorsion visant en mai 2017 une société de services financiers anglaise : au téléphone, un maître-chanteur francophone avait demandé 730 000 livres sterling, une somme destinée à acheter son silence sur une faille de sécurité.

publicité

Des copycats

Ce francophone se réclamait alors de Rex Mundi. Ce groupe de hackers, très actif depuis 2014, s’était spécialisé dans l’extorsion, en menaçant ses victimes de divulguer des données volées.

Mais cinq ans plus tard, rien n’indique que les hackers de Rex Mundi aient vraiment participé à cette tentative d’extorsion. Ce dossier, étudié par la 13e chambre du tribunal judiciaire de Paris depuis vendredi 10 juin, s’est en effet conclu par des poursuites contre trois jeunes hommes qui ne sont manifestement pas membres de ce groupe.

Moush, aujourd’hui âgé de 26 ans, sans emploi à l’époque, voulait se reconvertir dans la cybercriminalité après s’être essayé au trading. Jonathan, le développeur, est lui spécialisé dans la création de sites web. Il s’était établi en Thaïlande après avoir ouvert un bar à Carcassonne et lancé avec succès une variante d’un jeu multijoueurs en ligne. Quant à Gaëtan, le dernier mis en cause, il vivotait en Saône-et-Loire entre un shop sur le marché noir, Alphabay, et une société de dépannage informatique.

Comment devenir un cybercriminel ?

Au premier jour du procès, Moush, soupçonné d’être le maître-chanteur, a ainsi expliqué aux juges comment il avait tenté de profiter de la notoriété de Rex Mundi. En 2017, cela fait alors plusieurs mois que l’ancien apprenti boulanger, un temps chauffeur de VTC, tente de percer dans la cybercriminalité. Mais malgré la lecture de fiches Wikipédia et un surf assidu sur des sites louches, sa nouvelle carrière piétine. Il offre par exemple ses services à un groupe de ransomware, mais sa proposition est refusée. « Je n’avais pas le niveau, les vrais hackers ne sont pas sur Alphabay mais sur des sites qui recrutent par cooptation », convient-il à la barre.

Selon ses dires, il finit par obtenir un bon tuyau en discutant avec l’un des membres du groupe Rex Mundi, un groupe cybercriminel connu pour plusieurs piratages aux alentours de 2014. Au gré des échanges, ce dernier s’enorgueillit d’une opération de chantage fructueuse menée contre une entreprise de la finance, la maison mère de la victime britannique. Par vantardise, pour prouver son CV criminel, le contact de Moush donne le mode d’emploi de l’attaque. Le portail de connexion présente une vulnérabilité. On peut utiliser un script de force brute pour tenter de deviner les mots de passe. Il serait ainsi possible de mettre la main sur des cartes bancaires, l’activité de cette entreprise. Au final, la société victime déplore 1 400 comptes clients compromis.

Une information que Moush ne peut cependant pas exploiter seul. Il n’a en effet pas les compétences pour écrire ce script PHP de 20 à 30 lignes. Après avoir laissé plusieurs mois s’écouler en gardant l’information sous le coude, le jeune homme sollicite Gaëtan. Les deux se connaissent, Moush ayant déjà acheté un ransomware auprès de Gaëtan auparavant. Ce dernier le met alors en relation avec Jonathan, son partenaire sur Alphabay, qu’il avait embauché plusieurs années auparavant pour refaire le site internet de sa société d’informatique.

Identifié par sa carte SIM

Si l’enquête a mis en évidence l’attrait de ces deux hommes pour la cybercriminalité, cette activité illégale leur rapporte des revenus relativement modestes, eu égard à leur investissement. Gaëtan aurait ainsi gagné environ 10 000 dollars en vendant sur Alphabay des sites d’hameçonnage, des rançongiciels ou encore un outil d’administration à distance. Un site que fréquentait d’abord Jonathan pour acheter du cannabis. Avant d’élargir sa palette de créateur de sites web aux pages d’hameçonnage, pour des gains modestes, environ 5 000 euros sur deux ans.

Quoiqu’il en soit, le chantage contre l’entreprise britannique va tourner court. Après avoir envoyé un long mail grandiloquent de menaces, Moush téléphone à plusieurs reprises à la victime. Mais lors d’un appel, il se trompe de carte SIM. Du pain béni pour les policiers de l’office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, qui l’identifient ainsi facilement.

Pendant ce temps-là, le négociateur dépêché par la Police anglaise fait traîner les échanges. Alors que Moush croit avoir réussi à obtenir un accord, il est finalement interpellé à son domicile, chez ses parents, à Bagnolet. La suite de l’enquête permettra aux policiers d’identifier ses deux complices. Le procès, qui doit se terminer vendredi 17 juin, doit désormais établir les responsabilités exactes des trois hommes, passibles d’une peine de sept ans d’emprisonnement pour la tentative d’extorsion.

Leave a Reply

Your email address will not be published. Required fields are marked *