Alternant chez Orange Cyberdéfense le jour, développeur de programmes malveillants la nuit

Alternant chez Orange Cyberdéfense le jour, développeur de programmes malveillants la nuit


Il était alternant chez Orange Cyberdéfense le jour, développeur de programmes malveillants la nuit. Après 13 mois de détention provisoire, une durée extrêmement rare dans les affaires de cybercriminalité, un jeune homme de 23 ans de l’ouest de la France vient d’être condamné ce mercredi 25 octobre à quatre ans de prison, dont deux avec sursis, par le tribunal correctionnel de Paris. Il a écopé également d’une amende de 50 000 euros, dont 40 000 euros avec sursis.


Le parquet avait requis une peine de cinq ans d’emprisonnement, dont trois avec sursis, assortie d’une amende de 50 000 euros. Le ministère public a également obtenu la confiscation de presque tous les scellés et des crypto-actifs détenus sur deux plateformes crypto. La défense avait de son côté souligné la “prise de conscience” du jeune pirate, arrêté en juillet 2022 à Rennes à la faveur de renseignement glanés dans une autre procédure de cybercriminalité.



Ce dernier “n’avait pas conscience de la gravité de ses actes”, a plaidé son avocat, Clément Pialoux. “J’étais tout seul”, “c’était une sorte d’addiction”, a ajouté cet informaticien aux airs de Tintin, également poursuivi dans une procédure incidente pour la détention d’images pédopornographiques.

Frenchy Shellcode

Au début de l’année 2019, à peine majeur, le jeune homme s’était fait un pseudo – “Frenchy” – sur plusieurs marchés noirs de la cybercriminalité. Ce spécialiste du C++ et du C sharp y vendait pour environ un millier de dollars, suivant les options, un shellcode particulièrement efficace. Ce terme désigne un code malveillant qui permet de détourner un programme de son exécution normale. Celui de “Frenchy”, dénommé Frenchy Shellcode, permettait de masquer aux antivirus l’exécution de programmes malveillants, de type cheval de Troie, ce qui en faisait un outil de choix dans l’arsenal des cybercriminels.


Comme le racontait à l’époque un expert en cybersécurité, le programme de “Frenchy” utilisait la méthode du “Hollow process”. La machine cible était trompée par le lancement et la suspension d’un processus, remplacé par l’exécution d’une charge malveillante téléchargée depuis un serveur. “Je n’avais pas de motivation financière, ce qui m’intéressait c’était le défi technique”, assure-t-il trois ans plus tard aux juges de la 13e chambre.


“On peut entendre que l’argent était accessoire, mais ce n’est plus audible après la centaine de milliers d’euros acquise et l’argent flambé”, s’étouffe le substitut du procureur Paul Simon. Selon les investigations policières, “Frenchy” a encaissé plus de 19 bitcoins entre février 2019 et février 2022, soit au cours actuel environ 622 000 euros. L’accusation a retenu, en faisant une moyenne des cours de la reine des cryptos, l’équivalent d’environ 500 000 euros. Lors de l’instruction, le mis en cause avait évalué ses gains à l’équivalent d’un peu plus de 200 000 euros.

Solide expérience 

Mais quelque soit l’ampleur de ses gains frauduleux, “Frenchy” avait indiscutablement acquis une solide expérience dans la cybercriminalité. Sur l’un des marchés noirs qu’il fréquente, il publie par exemple un long texte pour pointer les faiblesses des nombreux crypters disponibles sur le marché, cette famille de logiciels qui permet de chiffrer et de dissimuler des programmes malveillants, également appelée des « packers ».


“J’ai d’abord été client, je les ai utilisés pour accéder aux ordinateurs de mes amis”, avant ensuite de s’intéresser à la programmation pour coder son premier FUD (pour Fully UnDetectable), expliquait-il alors en février 2020. L’internaute soulignait alors que son crypter personnel, une référence à “Frenchy Shellcode”, avait atteint son plein potentiel et qu’il ne voulait plus causer de dégâts.


A l’audience, le jeune français a effectivement expliqué avoir abandonné le peaufinage de son shellcode. Mais pour se concentrer sur d’autres programmes du même genre… “Pendant le Covid, je travaillais toute la journée, du matin au soir”, se souvient-il devant le tribunal. “Cela prenait tout mon temps, puis je me suis rendu compte que mes programmes étaient utilisés à des fins malveillantes, j’ai voulu arrêter à ce moment-là”, ajoute-t-il.



Ses explications à propos de ses tentatives de création d’un outil de test de pénétration destiné à concurrencer l’un des piliers du secteur, l’éditeur Cobalt Strike, ont toutefois laissé dubitatif le ministère public. Le parquet a rappelé en effet que le jeune homme a ensuite travaillé pendant plusieurs mois pour “MarkTwain”, un internaute interlope qui lui versait 2500 euros par mois pour son aide technique.

Quasi salariat 

Ce dernier “attaquait des scammeurs [des arnaqueurs] pour revendre les informations qu’il récupérait à des entreprises légitimes pas très regardantes”, assure “Frenchy”. Il s’agissait plus vraisemblablement de pirater des escrocs à l’investissement crypto pour ensuite revendre des listes d’utilisateurs déjà floués à d’autres cybercriminels.



“Ces 2500 euros mensuels, cela veut dire que des recettes tombent en permanence, c’est un signe de la sophistication et de l’estime dont il jouissait” dans le milieu, analyse le magistrat Paul Simon. La justice avait initialement poursuivi “Frenchy” pour extorsion en bande organisée, avant que ce dernier ne bénéficie d’un non-lieu pour ces faits.



Malgré cet abandon partiel des charges, le ministère public a souligné à l’audience les liens “plus qu’équivoques” de “Frenchy” avec des groupes de rançongiciels majeurs tels que REvil ou Sodinokibi. Exemple avec ce chat lu à l’audience, où le correspondant de “Frenchy” lui demande s’il a des contacts dans cette industrie malveillante. Ils ne travaillent qu’avec ceux qui peuvent leur fournir des accès administrateurs dans des entreprises ayant un chiffre d’affaires de plus de 100 millions de dollars, répondait-il, manifestement très bien renseigné.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.