Des ventes autour des recherches sur des comptes de réseau sociaux de TikTok à Snapchat en passant par Instagram. Un outil d’attaques en déni de service, synonyme d’entraves à un système informatique. Et des douteux services “pour la rentrée scolaire” allant du service de swatting, cette façon de provoquer une fausse action policière, à l’alerte à la bombe.
Voici l’offre de services d’un channel louche sur l’application Telegram, des prestations également mises en avant sur un serveur Discord.
Rien de renversant dans le marigot des petits trafics, à un détail près. Le ou la personne derrière ces comptes reprend à son compte un nom désormais bien identifié dans la petite cybercriminalité française, « Epsilon ».
L’arrestation de “Chat noir”
Il y a un an, un groupe du même nom avait été à l’origine d’un infostealer, ces programmes malveillants voleurs de mots de passe. La bande avait défrayé la chronique, en réussissant notamment à mettre la main sur une base de données de Shadow, le spécialiste français du cloud gaming.
Le groupe avait également cherché à se faire mousser en prenant brièvement le contrôle des comptes X (ex-Twitter) des médias BFMTV et RMC. On ignore si la nouvelle boutique siglée « Epsilon » a des liens avec les personnes derrière l’infostealer. Son administrateur a mis simplement en avant auprès de ZDNET.fr des liens d’amitié.
Mais rien n’empêcherait des tiers de vouloir tenter de profiter de la notoriété acquise par ce nom pour lancer leurs propres activités malveillantes. Reste ce clin d’œil graphique troublant de l’administrateur du channel: une photo d’un chat noir aux yeux verts.
Cette filiation est pourtant de mauvais augure. Au printemps dernier, les aventures d’Epsilon s’étaient terminées en queue de poisson avec l’arrestation au printemps de “Chat noir”, en réalité un adolescent de 16 ans. Un revers judiciaire qualifié de simple “petite pause” selon un message posté puis supprimé sur un channel Telegram.
“Beaucoup de bruit”
Marc Nebout, l’un des experts de Sekoia, avait documenté l’an dernier l’activité du groupe. En voulant customiser leur programme malveillant, les créateurs d’Epsilon avaient en réalité introduit des fautes. “Ce genre d’infostealer n’est pas très évolué, cela fait beaucoup de bruit”, signale le chercheur au sein de l’équipe de renseignement sur les menaces Sekoia.io.
Ils sont généralement conçus à partir de modèles trouvés sur le site de partage de code GitHub ou à partir d’un code source acheté à un tiers. “Leurs auteurs se vantent de ne pas être détectés sur VirusTotal, mais la plupart du temps c’est faux, ils sont assez bien détectés en réalité”, remarque l’expert.
“Malheureusement, cela fonctionne souvent” quand même, déplore-t-il, grâce à des manœuvres d’ingénierie sociale. Dans le cas d’Epsilon, un employé de Shadow avait été ciblé sur Discord par un pirate qui, sous couvert de lui signaler le téléchargement d’un jeu sur Steam, lui avait en fait envoyé un lien malveillant.
Un amateurisme qui protège d’une certaine manière ces pirates en herbe, les faisant passer sous les radars. Mais si leur activité prend trop d’éclat, “ils se retrouvent en haut de la pile” des services d’investigation, avertit Marc Nebout. Avec le résultat que l’on sait pour “Chat noir”. Une issue à méditer pour les personnes derrière la reprise du nom Epsilon.