WannaCry : Retour surprise dans une PME parisienne après quatre ans d’absence

WannaCry : Retour surprise dans une PME parisienne après quatre ans d'absence

Mais qu’a donc voulu faire l’attaquant, en déployant fin novembre 2021 le rançongiciel WannaCry dans l’informatique de cet éditeur parisien de logiciels pour les professionnels de la finance ? Etait-ce le reflet de son amateurisme ? Ou était-ce la manière la plus simple de déstabiliser l’entreprise avec un logiciel malveillant facilement accessible ? Décidément, l’affaire jugée dans la soirée du jeudi 7 avril devant la 23e chambre correctionnelle du tribunal de Paris dédiée aux comparutions immédiates est bien étonnante.

Car la tentative d’extorsion de cet automne a été singulièrement bâclée. Impossible de joindre le pirate ni de lui verser une rançon : les adresses bitcoin de paiement n’avaient pas été personnalisées. Quant à la rançon demandée, elle est anecdotique : à peine 300 dollars en bitcoins, alors que les cybercriminels comptent aujourd’hui en millions d’euros.

Mais même désuet, WannaCry, ce malware autorépliquant apparu en mai 2017 a toutefois fait de très sérieux ravages. Ils ont été ici évalués à un préjudice de 90 000 euros. Le chiffrement de deux fichiers de l’entreprise a empêché ses clients de faire des opérations financières. La société a péniblement réussi à reconstruire partiellement une partie des données, faute visiblement d’avoir pu utiliser l’outil de désinfection aujourd’hui disponible.

publicité

Un suspect, un ancien employé

Seul suspect dans ce dossier, Stéphane (*) est poursuivi pour le piratage informatique et la tentative d’extorsion. C’est un ancien employé de la société victime. Il était chargé jusqu’à la mi-octobre de l’infrastructure et de la cybersécurité. Selon l’accusation, il a voulu se venger de son ancien employeur, sans doute par rancœur. Parti à la faveur d’une rupture conventionnelle, Stéphane a en effet été poussé vers la sortie à cause de problèmes de communication et de ses horaires de travail nocturnes déroutants. Ce trentenaire qui vit chez ses parents est désormais étudiant en alternance.

Selon les enquêteurs de l’Office central de lutte contre la criminalité liée aux technologies de l’information, c’est lui qui ouvre le 12 octobre le compte de service à l’origine de l’attaque informatique. Après son départ, il se connecte à cinq reprises à ce compte, une intrusion prouvée par l’enregistrement de l’adresse IP familiale. Les enquêteurs remarquent dans certains cas une connexion venant d’un réseau privé virtuel (VPN) suivant, à la seconde près, la déconnexion du suspect. Pour l’accusation, c’est le même utilisateur qui vient de basculer sur VPN, d’où viendra finalement l’attaque destructrice de la fin novembre.

L’intrusion sur le serveur de cloud, où seront supprimées des sauvegardes des données, s’est également faite par un compte dont l’identifiant était au nom du suspect. De même, l’attaquant connaissait visiblement bien l’entreprise et les mots de passe des comptes, en l’absence d’emploi de technique de force brute pour casser les mots de passe. « Même s’il est doué en informatique, ce n’est pas un pirate professionnel », résume la substitute Charlotte Brée. Et la magistrate de demander une peine de 10 mois d’emprisonnement avec sursis, une amende de 5 000 euros et une interdiction d’exercer dans le secteur de l’informatique pendant deux ans.

« Pour rien dans ce qu’il s’est passé ensuite »

A la barre, Stéphane, qui reconnaît seulement l’intrusion informatique, cherche timidement ses mots. « Je me suis bien connecté au système d’information, mais j’avais un accord oral avec l’entreprise », assure-t-il. « Je ne pensais pas que c’était illégal. Je n’y suis pour rien dans ce qu’il s’est passé ensuite. » A propos de l’emploi de son identifiant, il relève que son compte utilisateur était partagé dans l’équipe. Il avait d’ailleurs, explique l’informaticien, transmis avant son départ un fichier Excel mentionnant ses couples identifiant/mot de passe.

Pour sa défense, Me Armando Frignati, son avocat, souligne également l’absence d’investigation sur deux autres adresses IP relevées dans l’enquête. Une façon de suggérer que les enquêteurs sont passés à côté des véritables auteurs de l’attaque, qui se seraient dissimulés derrière un réseau privé virtuel. « S’il y a quelque chose que vous ne comprenez pas, vous ne devez pas le retenir », rappelle l’avocat, qui demande la relaxe, à destination d’un tribunal fatigué. Des magistrats qui n’avaient pas caché leur réticence à juger cette affaire dans une chambre réservée aux procédures rapides et simples, comme les vols de téléphones ou les violences sur ascendant. « Le dossier d’enquête est très construit, la défense tente de semer la confusion », rétorque aussitôt l’avocate de l’entreprise, Anna Caresche, avant de se prendre la tête dans les mains. Il est presque minuit. La présidente annonce que le délibéré sera rendu le 12 mai.

(*) Le prénom du prévenu a été changé

Leave a Reply

Your email address will not be published. Required fields are marked *