Un malware ne tombe pas du ciel, et n'émerge pas spontanément des profondeurs insondables d'internet. Chaque souche ayant jamais existé a été créée par quelqu'un, qu'il s'agisse d'un fichier créé à la main avec amour ou d'un code rapidement édité à partir d'un code existant, dans le but de déjouer les analyses antivirus. Même s'il existe (littéralement) d'innombrables cybercriminels sur le Web, seules quelques personnes font partie de l'élite et ont mérité le droit de se qualifier de pirates informatiques les plus dangereux du monde. Et aujourd'hui, nous avons entrepris de compiler une liste de certains de ces individus, groupes et organisations. Les individus qui essaieront toujours de vous faire du mal. Les individus à qui nous devons notre travail.

...Cela dit, vous constaterez que cette liste a un point faible : les cybercriminels les plus performants sont ceux qui prennent garde à ne jamais se faire prendre, voire à ne laisser aucun indice de leur présence. La plupart des listes sont donc composées d’organisations quiveulent à tout prix se faire connaître , ou d’individus qui sont connus des autorités parce qu’ils n’ont pas été suffisamment attentifs. Ce qui est très bien : nous conviendrons tous que le piratage de la NSA par Gary McKinnon, qui a coûté 700 000 dollars (environ 632 000 euros), représente un problème majeur. Mais dans le vaste monde du piratage informatique, lui et d’autres relèvent davantage d’une simple nuisance que du cerveau diabolique, du moins par rapport à l’auteur encore inconnu du SoBig.F Worm, qui a causé 37,1 milliards de dollars de dommages dans le monde entier (environ 33 milliards d'euros).

Cela dit, voici quelques-uns des groupes et des pirates informatiques les plus puissants et les plus dangereux que nous connaissons.

Elliott Gunton : Le jeune rebelle

Elliott-Gunton_620x300

Lorsque le génie technique et la révolte juvénile (ou une sorte d’indifférence face au malheur des autres) se rencontrent, un mélange explosif et dangereux se matérialise, et le jeune Elliott Gunton, de 19 ans, l’incarne à la perfection. Il entame sa carrière de cybercriminel très tôt, lorsqu’il se fait prendre, à l’âge de 16 ans, alors qu’il attaque l’entreprise de télécommunicationsTalkTalk. La réprimande ne l’ayant pas effrayé et ne l’ayant pas détourné de ses intentions criminelles, il a depuis lors été accusé au Royaume-Uni de toute une vaste gamme d’activités allant du vol de données personnelles à des fins de falsification, du blanchiment d’argent à l’aide de cryptomonnaies ou de services de criminel à solde, au piratage de comptes Instagram de personnalités connues pour les vendre à d’autres pirates en passant par la détention de photos « indécentes » d’enfants sur son PC.

Comme c’est le cas pour la plupart des cybercriminels, ses activités s’étendent au-delà des frontières de sont pays :aux États-Unis, il est accusé de vol d’identité et du piratage d’EtherDelta, un site d’échange de devises, via leur hôte Web Cloudshare, et d’avoir escroqué des individus à hauteur de millions de dollars pendant près de deux semaines.

Les autorités soutiennent d’ailleurs qu’il a réussi à détourner près de 800 000 dollars (environ 722 000 euros) d’une seule de ses très nombreuses victimes.

Il a donc à son actif une liste de crimes bien nourrie. Malheureusement, si vous vous attendez à un happy ending, vous risquez d'être déçu : même en plaidant coupable des crimes dont il est accusé au Royaume-Uni, il s’en est tiré avec seulement 20 mois de prison (ce qui, au Royaume-Uni, est déjà beaucoup) et une amende relativement insignifiante de 407 359 livres sterling (soit environ 475 000 euros). De plus, il n’aura qu’un accès restreint à un ordinateur et à certains logiciels pendant trois ans et demi.

Aux États-Unis, ses crimes pourraientlui valoir une condamnation à 20 ans de prison, mais il ne s’agit encore que d’une hypothèse lointaine. Depuis la signature du traité d’extradition entre les États-Unis et le Royaume-Uni en 2004, seulement 77 citoyens britanniques ont été extradés aux États-Unis pour répondre de leurs crimes. Il est fort possible qu’il ne soit pas soumis à la justice américaine, et si c’était le cas, encore faudrait-il qu’il soit reconnu coupable.

Elliot Gunton n’est pas le pirate le plus dangereux au monde, mais son histoire montre ce que peut faire une personne seule dotée d’un minimum de savoir-faire, d’un bon PC et d’une solide indifférence envers le malheur d’autrui...et le fait que, bien souvent, les pirates s’en tirent sans avoir été punis à la hauteur de leurs crimes.

Evgeniy Mikhailovich Bogachev : Le Chronos des temps modernes

Il est très rare qu’un cybercriminel de cette compétence soit jamais découvert, mais un malware de l’ampleur et du pouvoir de destruction de GAmeover ZeuS est également très rare.

Bogachev_620x300

Le botnet que cet homme a réussi à injecter dans des millions d’ordinateurs dans le monde les a infectés avec un ransomware, et a volé toutes les données stockées dans leurs systèmes. Cela lui a non seulement rapporté 100 millions de dollars, mais a également attiré l'attention du gouvernement russe, qui semble avoir exploité son réseau pour surveiller et éventuellement se mêler des affaires internationales.

Il a fallu deux ans au FBI et aux autres organisations anti-criminelles internationales pour seulement obtenir le nom de cet homme. Aujourd'hui, ils offrent trois millions de dollars - la plus grosse prime jamais offerte pour un cybercriminel - à quiconque peut aider à le traduire en justice. Malheureusement, grâce à ses liens avec les autorités russes, il est peu probable que cela arrive un jour. Bien qu’il ait été un cybercriminel chevronné, il vit désormais en toute liberté à Anapa, une station balnéaire délabrée de la mer Noire dans le sud de la Russie, avec plusieurs voitures de luxe et son propre yacht privé.

Le gouvernement russe n’a bien entendu jamais confirmé avoir eu recours à ses services. Cependant, compte tenu de son refus de l’arrêter et du fait qu’il ait la pleine jouissance de son temps et de son argent, cela semble plutôt probable.

Aujourd’hui, il opère sous des noms d’utilisateur tels que slavik, lucky12345, pollingsoon, etc. Son prochain grand mouvement ? Nous ne le saurons probablement jamais.

Le groupe Equation et les Shadow Brokers : Le Yang et le Yang

Impossible de parler de pirates informatiques célèbres et dangereux sans parler des pirates cautionnés par les États.

Les Shadow Brokers gagnent leur vie en vendant les cyberarmes du groupe Equation de la NSA

Le groupe Equation est le nom informel de l’unité TAO (Tailored Access Operations) de la National Security Agency des États-Unis, ou NSA. Voilà déjà beaucoup de sigles et de noms propres, mais cela ne fait que commencer, vous allez voir. Fondé vers l’année 2001, ce groupe était un secret d’État bien gardé jusqu’à ce qu’il soit « découvert » en 2015, lorsque deux types de malwares espions ( EquationDrug et GrayFish) ont été associés à l’organisation. Il a également été révélé qu’ils ont exploité des vulnérabilités connues pour assurer que leurs actions ne soient pas détectées, et on suppose que ce groupe est à l’origine de Stuxnet, le ver qui a mis en échec le programme nucléaire iranien pendant un certain temps.

Comme la plupart de acteurs étatiques, le groupe Equation sert à mettre en avant un plan national à l’étranger, les résultats de son « œuvre » pouvant être observés en Iran, en Russie, au Pakistan, en Afghanistan, en Inde, en Syrie et au Mali. L'histoire aurait bien pu s'arrêter là : les pirates d’État existent, c’est connu, et ils s’en sont toujours bien sortis tant qu’ils gardent leurs activités secrètes.

Et puis les Shadow Brokers sont arrivés.

L’origine des Shadow Brokers est fort mystérieuse. Ils ont été « découverts » en 2016, et il semblerait que leur nom quelque peu sinistre soit un hommage, dans la plus pure tradition nerd, à un courtier de renseignements qui porte un nom semblable dans la série de jeux vidéo Mass Effect. Impossible de savoir si c’est intentionnel ou non, tout comme le mystère qui enveloppe leurs origines, les experts ayant avancé toute une gamme de théories les plus disparates, allant des agents de la NSA à des espions étrangers (la Russie, bien entendu, étant le suspect numéro un) : tout n’est que mystère chez eux. Au moins, une chose est sûre : ce groupe porte bien son nom car il ne laisse apercevoir que son ombre.

Mais alors que sa vraie nature est entourée de mystère, ses action, elles, sont bien réelles. En août 2016, un pseudo Twitter appartenant apparemment au groupe, @shadowbrokerss, a annoncé une page Web et un référentiel GitHub contenant apparemment des instructions sur la manière de participer à une vente aux enchères où le gagnant recevrait un certain nombre d'outils utilisés par - roulement de tambour, s'il vous plaît - le groupe Equation ! Cette « vente aux enchères » était déjà très louche, mais aujourd’hui nous savons exactement ce qui était mis en vente : EternalBlue, EternalRomance, et autres prouesses qui sont essentielles à la mise en place de certaines des attaques de malware les plus dangereuses de l’année 2017, y compris les tristement célèbres ransomware Wannacry et NotPetya.

Les Shadow Brokers s’alimentent du groupe Equation, et vendent ses secrets au plus offrant

Mais ce n’est pas tout. Dans les mois qui ont suivi, ils ont dévoilé une liste de serveurs et d’outils utilisés par le groupe Equation, en proposant le « vidage des données du mois » à quiconque serait disposé à payer un tarif, ce qui semblerait confirmer leur accès illimité aux données de la NSA. Et comme nous n'avons manifestement aucune idée de qui sont ces personnes, nous ne pouvons que spéculer et tenter de nous préparer à leur prochaine attaque.

Depuis, les Shadow Brokers n’ont plus fait parler d’eux, ce qui peut vouloir dire soit qu’ils sont satisfaits du chaos qu’ils ont généré, soit qu’ils gardent leurs dernières activités secrètes, soit qu’ils attendent la bonne occasion pour frapper encore. Toutes ces explications sont aussi probables qu’insatisfaisantes, mais telle est la triste réalité des groupes de hackers : ils sont souvent aussi fuyants qu’ils sont dangereux.

Bureau 121 : Les pirates du Mal

Bureau 121, le piratage nord-coréen

Si ses aspirations nucléaires ont été, fort heureusement, revues à la baisse en raison d’une certaine pression politique,les aspirations numériques de la Corée du Nord n’ont en revanche pas cessé de grandir, grâce à une légion de pirates qui travaille jour et nuit pour collecter des fonds pour le régime, et semer le chaos contre les ennemis de l’État. Leur section de piratage, dénommée Bureau 121, s’est certainement rendue coupable d’innombrables cyberattaques et cybercrimes, tout en ayant porté des attaques très médiatisées qui méritent une mention spéciale.

La première, et probablement la plus célèbre, est l’ attaque du ransomware Wannacry, pour laquelle les États-Unis ont récemment imposé des sanctions à la Corée du Nord. Bien que les Shadow Brokers aient peut-être participé à sa création grâce à leur accès aux outils de cyberguerre de la NSA, ce sont les Nord-Coréens qui l'ont conçue et déployée, infectant environ 300 000 appareils et causant 4 milliards de dollars de dommages (environ 3,6 milliards d'euros). Ils sont également responsables d'une fuite massive de données chez Sony Pictures en 2014, une attaque de représailles à la suite de la production d'une comédie de Seth Rogen qui montre leur «  leader bien-aimé» Kim Jong Un humilié et assassiné. Lors de cette attaque, d'innombrables e-mails et détails personnels ont été rendus publics, ce qui a coûté à Sony environ 15 millions de dollars (13,5 millions d'euros) en réparation des dégâts.

Les pirates informatiques nord-coréens sont des victimes au même titre que le reste de la population

Avant de condamner les hackers, il faut cependant rappeler qu’ils sont des victimes du régime au même titre que tous les autres citoyens de la Corée du Nord. Cloîtré dans des appartements surpeuplés, souvent surchauffés, placé sous haute sécurité et en liberté surveillée, le pirate informatique nord-coréen moyen doit « gagner », puis remettre entre 60 000 et 100 000 dollars par an, et ce par quelque moyen que ce soit. S’il n’atteint pas la somme attendue, il s’expose à des retombées qui s’annoncent plutôt sombres.

Il s’agit là de l’illustration parfaite de l’expression « ne détestez pas le joueur, détestez le jeu. ».

Fancy Bear : De grosses pattes sur la démocratie

Fancy Bear, un joli surnom pour une dangereuse organisation de piratage

Quel petit nom charmant, non ? Si seulement le groupe lui-même ressemblait à l'image que son nom évoque, la liste qui suit pourrait sembler moins inquiétante. Malheureusement, nous ne vivons pas dans ce monde-là…

Fancy Bear (qui opère aussi sous d’autres noms) est un groupe qui, nous en sommes sûrs à 90 %, coopère avec les Russes et soutient des activités de guerre cybernétique. S'il n'est pas à l’origine de toutes les fourberies en ligne commises par la Russie (quel groupe à lui seul pourrait y arriver, s'agissant d’une puissance mondiale ?), il est certainement le plus dangereux et s’est rendu responsable de certains des piratages les plus médiatisés de ces dix dernières années.

Il a fait ses débuts en 2008, piratant le gouvernement géorgien pour y semer le chaos juste avant que l'armée russe envahisse le pays. Il a depuis été impliqué dans d'innombrables controverses et conflits dans cette région, allant des menaces de journalistes et de manifestants anti-Kremlin au piratage du parlement allemand pendant plus de six mois en 2014, menaçant de mort les épouses des membres de l'armée américaine, désactivant 20 % de l'artillerie ukrainienne via une application corrompue, jusqu'à la fameuse fuite d'e-mails de la Convention nationale démocrate… Ce ne serait d’ailleurs ni la première ni la dernière fois que ce groupe se mêle d’un processus électoral, d’autres efforts visant à manipuler la démocratie ayant été découverts lors des élections allemandes, françaises et ukrainiennes.

Fancy Bear s’est forgé une réputation en se mêlant des élections

Bien qu’il soit l’un des groupes les plus destructeurs au monde, Fancy Bear ne signe presque jamais son propre travail : il opère le plus souvent sous le pseudonyme Anonymous ou ISIS. Cependant, en fouillant un peu dans la méthodologie et les outils d'une attaque, il est possible d’en savoir plus sur le vrai visage de l'attaquant. Bien entendu, Moscou a nié que Fancy Bear leur soit affilié de quelque manière que ce soit, raison pour laquelle nous ne pouvons être absolument certains que toutes les activités susmentionnées ont été réalisées par les autorités russes…mais nous n’en pensons pas moins.

Quoi qu’il en soit, Fancy Bear ne semble pas avoir l’intention de bouger pour l’instant, et toutes les élections qui approchent laissent pressentir qu’ils referont la une des journaux tôt ou tard.

Alexsey Belan : Yahoo qui ?

Alexsey-Belan_620x300

À 29 ans, ce jeune letton en a certainement fait enrager plus d’un. Bien avant que ses activités le fassent connaître du grand public, il s’était déjà fait un nom dans les cercles de hackers sous le pseudonyme M4G, qui fréquentait les communautés de hackers et même tenait un blog de hacking plus ou moins suivi, bien qu’il n’y détaillât pas ses activités illicites. En plus du piratage de serveurs de jeux vidéo, d'un fournisseur de services cloud basé en Israël et de sites Web consacrés aux communications ICQ, il a commencé à gagner de jolies sommes comme consultant pour d'autres pirates et grâce à la vente de données privées en ligne. Dès 2011, il était dans le radar des forces de l'ordre et en 2012, il était officiellement recherché pour ses méfaits.

Entre 2013 et 2016, Alexsey Belan a volé les données de plus de 700 millions de comptes

Le piratage Yahoo de 2013 a clairement été la plus grande violation de données de l'histoire, avec le vol des données de chacun des 3 milliards de comptes Yahoo. Toutefois, pour autant que nous le sachions, il n'en était pas responsable. Il a plutôt été à l'origine du piratage informatique de 2014, qui a entraîné la fuite des données de plus de 500 millions de comptes. En comparaison, ce n’est pas beaucoup… mais ce n’était qu’une des actions qu’Alexsey Belan aurait menées entre 2013 et 2016, en une suite frénétique d’attaques dirigées contre des sites e-commerce en Californie et au Nevada, dont l’attaque à Yahoo susmentionnée. Pendant cette période, il a piraté et volé des données de 700 millions de comptes au total : 500 millions de comptes Yahoo et 200 millions d'autres comptes de diverses origines. Cela fait beaucoup, beaucoup de données.

Quand les autorités internationales sont venues frapper à sa porte, il s’était déjà éclipsé. Et bien que personne ne sache avec certitude où il pourrait se cacher...tout semble indiquer qu’il se trouverait en Russie. Parce que bien sûr c'est la Russie.

Unit 8200 : Les cracks Kosher

Unit 8200, branche israélienne du cyberintelligence

Aucun groupe au monde n’est aussi fascinant, ni aussi terrifiant, que le groupe Unit 8200, la branche pseudo-clandestine de cyberintelligence du gouvernement israélien. Unit 8200 est un modèle d'efficacité et de compétence, avec une expérience éprouvée dans la fonction publique et les activités de lutte contre le terrorisme et, cas unique dans le monde de la cybersécurité, il est composé en majorité de femmes. Il est également responsable de certains des malwares les plus effroyablement efficaces jamais produits, et de l’espionnage de masse, voire de l’exploitation, des gouvernements aussi bien que des civils à une échelle sans précédent dans le monde civilisé.

Les experts s’accordent à dire que Unit 8200 est l’élite de l’élite

Fondée en 1952 en tant que seconde unité du Service de renseignement, elle est devenue depuis l’unité la plus importante des Forces armées israéliennes. Alors que bon nombre de ses activités sont clandestines (ce qui est un peu normal pour ce genre d’organisation), certains de ses exploits ont pourtant émergé. Ce groupe a déjoué des attaques terroristes partout dans le monde, contribué à la création du virus Stuxnet et produit un malware appelé Duqu 2.0, un malware espion tellement avancé que, selon Kaspersky, il avait plusieurs générations d’avance sur son temps. Il est également engagé dans la lutte active contre les « piractivistes » pro-palestiniens, comme lors des attaques #OpIsrael de 2013.

Unit 8200 est donc l’élite de l’élite, comme le dit, en synthèse, cette citation de Peter Roberts, chercheur principal au Royal United Services Institute de Grande Bretagne : « Unit 8200 est probablement l’agence de renseignement la plus avancée au monde du point de vue technique, et elle se trouve au même niveau que la NSA dans tous les aspects sauf son échelle. Ils ne perdent jamais de vue ce qu’ils recherchent, bien plus que la NSA, et mènent leurs opérations avec un degré de ténacité et de passion qui n’existent nulle part ailleurs ».

PLA Unit 61398 : Les cybercommunistes

PLA Unit 61398, l'unité militaire chinoise de piratage

Nous avons beaucoup parlé des pirates cautionnés par les États un peu partout dans le monde, mais notre liste ne serait pas complète sans nos amis de Chine.

Encore récemment, la Chine niait catégoriquement toute implication dans des opérations illicites en ligne, ou même de disposer d’un groupe de pirates à sa solde. Tout a changé brusquement en 2015, lorsque la Chine a admis ouvertement qu’elle disposait bien d’un groupe de cyberdéfense, en refusant toutefois de donner des détails quant à ses activités. Il est parfaitement normal que la Chine n’ait pas voulu donner de détails, mais nous avons, de notre côté, une idée assez claire de ce que ce groupe manigance.

L’un des scandales les plus importants associés à ce groupe est sans aucun doute l’opération Shady RAT, la plus importante attaque en ligne cautionnée par un État de tous les temps : pendant 5 ans, entre 2006 et 2011, le groupe PLA Unit 61398 a infiltré et a volé les données de plus de 70 entreprises, gouvernements et organisations à but non lucratif.

PLA Unit 61398 se consacre en apparence exclusivement au vol de données des gouvernements, des entreprises et des organisations à but non lucratif

Dans l’ensemble, donc, PLA Unit 61398 semble se limiter à voler des données d’importants acteurs internationaux. En guise d’exemple, en 2014 ils ont été accusés d’avoir mené une attaque visant à voler de très nombreux documents sensibles concernant le système de défense antimissiles israélien. Ils ont recommencé à viser des entreprises américaines après une brève interruption, et ils ont été associés il y a peu à Huawei, une marque qui fait la une des nouvelles avec une certaine insistance ces derniers temps.

En définitive le groupe PLA Unit 61398 est grand (on estime qu’il emploie plus d'un millier de serveurs), ciblé, et peut-être ne constitue-t-il que le sommet de l’iceberg.  Ou alors, plus exactement, l'élite d'une immense armée de pirates en ligne prête à être déployée à tout moment.

C’est tout sauf rassurant.

Machete : « Hack », comme dans « hacker »

machette_620x300

Il est rare que des groupe de pirates qui ne sont pas cautionnés directement par un gouvernement durent très longtemps. La plupart de ces groupes, tels que Lulsec par exemple, se font et se défont en quelques mois. D’autres, comme Lizard Squad, tiennent quelques années jusqu’à ce que leurs leaders soient arrêtés et que leurs subordonnés se dispersent. Même le plus célèbre des groupes de piratage du monde, Anonymous, n’a tenu que cinq ans avant de succomber aux pressions internes en raison de son postulat insoutenable selon lequel quiconque pouvait s’y joindre.

C’est pourquoi le fait que Machete, un groupe de pirates basé en Amérique du Sud,, résiste depuis une bonne dizaine d’années, tient du miracle.

Comme tout bon groupe de pirates qui se respecte et qui dure depuis si longtemps, Machete est entouré de mystères. Karspersky les a dénichés en 2014, mais ils sont actifs depuis bien plus longtemps et se consacrent à diffuser des malwares, à voler des informations, et en général à être les rois de la cybercriminalité au Vénézuela, bien que leurs victimes se trouvent également en Équateur, en Colombie et au Nicaragua.

Leur centre d’intérêt principal est, semble-t-il, l’armée vénézuélienne, qu’ils bombardent d’attaques de phishing soigneusement dissimulées visant à voler des informations sensibles telles que des fichiers décrivant les routes de navigation et la position des navires par le biais de réseaux militaires. Pour s’assurer que leurs e-mails soient lus, ils poussent le raffinement jusqu’à fabriquer leurs messages à la main, en utilisant des informations volées préalablement pour qu’ils aient l’air authentiques. Lorsqu’ils volent de nouvelles informations, ils les utilisent pour générer de nouveaux e-mails de phishing, en alimentant une boucle qui leur a permis, selon certains rapports, de voler « des gigaoctets d’informations par semaine ».

Pour l’instant, tout ce que les autorités sont en mesure de dire sur Machete est qu’ils sembleraient parler espagnol, selon certaines données de frappe ou du presse-papiers. Sinon, ils demeurent fuyants, inconnaissable et, au moins pour l’instant, imparables.

AVG AntiVirus FREE Téléchargement GRATUIT