(AFP) – Un ressortissant russe, soupçonné d’avoir récupéré en cryptomonnaies l’argent soutiré aux victimes françaises du puissant rançongiciel Hive, démantelé en janvier, a été mis en examen à Paris et placé en détention provisoire, a-t-on appris mardi auprès de la police judiciaire et du parquet.
Le suspect, « âgé d’une quarantaine d’années et qui résidait à Chypre », a été arrêté le 5 décembre alors qu’il se trouvait à Paris, a indiqué Christophe Durand, chef du pôle des cyber-enquêtes du tout nouvel Office anti-cybercriminalité (Ofac), saisi par la section de lutte contre la cybercriminalité de la juridiction interrégionale spécialisée (JIRS) du parquet de Paris. Selon le parquet, ce résident chypriote né en 1980 voyageait avec un passeport israélien, sous une autre identité que son nom russe. Il est soupçonné d’avoir blanchi l’argent obtenu par le rançongiciel Hive, au préjudice notamment de 59 victimes françaises, et d’avoir fait transiter des millions de dollars par ses portefeuilles.
1.500 entités ciblées dans 80 pays…
Plus de 570.000 euros en cryptomonnaies, correspondant à « son fonds de roulement », ont été saisis lors de la perquisition de son domicile chypriote, menée pendant sa garde à vue grâce à la « réactivité » de la coopération internationale, via Europol et Eurojust, a salué M. Durand. Il a été mis en examen samedi à Paris pour accès et maintien frauduleux dans un système de traitement automatisé de données, d’introduction et modification frauduleuses de telles données, entrave au fonctionnement d’un tel système, et blanchiment de ces délits en bande organisée, selon le parquet de Paris. Il a été placé en détention provisoire mardi. Hive, l’un des principaux réseaux d’attaques au rançongiciel au monde, est accusé d’avoir pris pour cible et d’avoir collecté plus de 100 millions de dollars de rançons. Il a été démantelé en janvier par le FBI, en coordination avec les forces de police allemande et néerlandaise, ainsi qu’Europol. Les entreprises Altice et Damart, l’Ecole nationale de l’aviation civile (Enac), le conseil départemental de Seine-Maritime, la mairie d’Annecy et la collectivité de Guadeloupe, entre autres, font partie des victimes françaises, selon une source proche du dossier.
… dont la France
Hive fonctionnait sur le modèle de logiciel à la demande (Raas, Ransomware as a Service): ses créateurs le mettaient à disposition d’autres pirates, des « affiliés », qui se chargeaient des attaques avant de partager les gains. Deux affiliés, qui n’ont pas encore été interpellés, « ont utilisé cet outil pour faire des victimes en France« , a rapporté M. Durand. Les cyber-enquêteurs de l’Ofac ont « tracé les flux financiers en cryptomonnaies » correspondant aux rançons jusqu’à remonter « aux portefeuilles gérés » par le banquier occulte avec lequel travaillaient les affiliés, a-t-il ajouté. Grâce à un travail d’Osint (recherche d’informations en source ouverte), mêlant données techniques et activité sur internet, la PJ a pu l’identifier et le localiser à Paris. « Il n’y a pas d’impunité, l’image d’Epinal qui consiste à dire qu’il n’y a pas d’interpellations en cyber, on commence à lui donner un coup de canif« , s’est réjoui M. Durand.
