Bye-bye AvCheck. L’opération Endgame, cette action policière internationale visant à priver les cybercriminels de leurs joujoux préférés, a fait une nouvelle victime. Depuis ce mardi 2 mai, la page d’accueil d’AvCheck, un « outil de vérification antivirus à grande vitesse », comme il se présentait, affiche en effet un message annonçant sa saisie.
En soit, un service permettant d’analyser la détection de contenu malveillant par un logiciel antivirus n’a rien d’illégal. C’est même indispensable pour les chercheurs en sécurité informatique. Mais contrairement à VirusTotal, ce service de Google Cloud, AvCheck avait une particularité très intéressante pour les cybercriminels.
Il promettait en effet l’anonymat à ses utilisateurs et ne partageait pas les résultats des vulnérabilités trouvées avec les éditeurs concernés, vingt-six au dernier décompte. Résultat : pour la police néerlandaise, AvCheck était devenu l’un des plus importants services du genre utilisé par des cybercriminels.
La France impliquée
Le passage par ce type d’outil constitue « une étape essentielle dans le déploiement de logiciels malveillants », expliquent, pédagogues, les policiers néerlandais. « Un cybercriminel veut savoir si son malware est détecté ou non par les scanners de virus, poursuivent-ils. Un service tel qu’AvCheck joue donc un rôle de facilitateur crucial dans l’écosystème cybercriminel. »
Avant de saisir le site, les enquêteurs américains ont fait des achats, sous fausse qualité, pour appuyer les poursuites judiciaires. On ignore si les personnes derrière le site ont été identifiées. Outre ces deux pays, la France, l’Allemagne, le Danemark, l’Ukraine et le Portugal ont également participé ou apporté leur soutien.
L’apparition du service d’AvCheck sur l’url saisie peut être située au cours de l’année 2018, il y a sept ans. A l’époque, le portail, très épuré, promettait de pouvoir faire des analyses sur vingt-deux moteurs d’antivirus.
Service opaque
Comme dans les dernières versions du site, il n’y avait aucune précision sur l’organisation derrière ce service. Il était accessible uniquement sur inscription. Quant aux tarifs mentionnés, ils allaient alors de un dixième de dollar par fichier à un abonnement de cent dollars mensuels permettant de tester 1200 fichiers par jour. Des factures qu’il fallait enfin payer en crypto-monnaie.
A titre d’exemple, le compte de « Frenchy » comptabilisait plus d’un millier d’analyses entre août 2020 et mai 2022. Ce jeune informaticien de l’ouest de la France a été condamné en novembre 2023 à quatre ans de prison, dont deux avec sursis, pour avoir mis au point un shellcode destiné à tromper les antivirus.
« A l’audience, le prévenu a reconnu avec une franchise certaine qu’il n’allait certainement pas tester ses outils sur VirusTotal », avaient relevé dans leur décision les juges de la 13e chambre correctionnelle du tribunal judiciaire de Paris. De peur, soulignaient les magistrats, de voir ses outils perdre en efficacité.