C’est une prise judiciaire d’envergure dans la lutte contre la cybercriminalité. Le parquet de Paris vient d’annoncer que Mikhail Vasiliev, arrêté à la fin du mois d’octobre au Canada près de Toronto, est suspecté d’être lié à au moins 115 attaques contre des victimes françaises. Dont, selon nos informations, la fausse attaque qui avait soi-disant visé le ministère de la Justice français au début de l’année 2022 – en réalité, un simple cabinet d’avocats à Caen.
Retenez bien ce nom, Mikhail Vasiliev. Après Alexander Vinnik, il s’agit vraisemblablement du deuxième dossier majeur bouclé par la justice française autour d’attaques par rançongiciels, ce fléau de la cybercriminalité.https://t.co/zGoCsToJfM
— Gabriel Thierry (@gabrielthierry) November 15, 2022
Agé de 33 ans, ce russo-canadien est soupçonné d’être un affilié de LockBit, la franchise mafieuse la plus active du moment. Ce gang, qui vient de tenter de faire chanter le groupe d’électronique de défense Thales, a revendiqué sur son site d’extorsion plus d’un millier d’attaques informatiques depuis sa création en 2019.
Cette « cible de haut niveau », selon le parquet de Paris, serait également un affilié des plateformes de rançongiciel BlackCat, RagnarLocker et DarkSide. Les 115 attaques informatiques qui lui sont imputées ne sont donc vraisemblablement pas toutes liées à LockBit.
Investigations complexes
Alors que la justice peine habituellement à identifier les auteurs d’attaques par rançongiciel, l’arrestation montre que les services d’enquête peuvent quand même réussir à faire aboutir ces investigations complexes.
Jusqu’ici, la justice française n’avait réussi à traduire en justice qu’un seul cybercriminel d’envergure dans une affaire de rançongiciel, Alexander Vinnik, finalement condamné sur le seul blanchiment des rançons du malware Locky.
Comme pour Alexander Vinnik, l’arrestation de Mikhail Vasiliev est le résultat d’une intense coopération internationale. Ainsi, une procédure judiciaire avait été ouverte en France en septembre 2020 à la suite d’attaques par rançongiciel. L’enquête avait alors été confiée au Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie, ainsi qu’aux sections de recherches de Marseille et de la gendarmerie maritime, débouchant notamment, à la fin septembre 2021, sur les arrestations de deux hackers en Ukraine.
Identifié par les enquêteurs américains
Mais une procédure judiciaire avait également été ouverte aux Etats-Unis, où la franchise mafieuse est visée par une enquête du FBI depuis mars 2020.
Plus d’un an plus tard, en novembre 2021, une entreprise du New Jersey est ainsi victime d’une attaque informatique, une affaire qui est désormais reliée à l’affilié présumé. Les enquêteurs américains ont en effet obtenu des résultats très probants en réussissant à identifier le suspect, Mikhail Vasiliev, résidant au Canada. Une première perquisition discrète à son domicile menée en août 2022 confirme que cette piste est bien chaude.
Après analyse de l’informatique du suspect, les policiers canadiens retrouvent en effet des éléments compromettants. Ce sont des copies d’écran de messages avec l’administrateur de LockBit, un fichier expliquant comment déployer le rançongiciel sur un système d’information, ou encore une liste de couples identifiant-mot de passe d’employés d’organisations qui ont été victimes du gang aux alentours de janvier 2022.
Mikhail Vasiliev est finalement interpellé le 26 octobre 2022 par la police canadienne alors que l’un de ses onglets de navigation internet est ouvert sur une page de connexion administrateur de LockBit.
Première demande d’extradition des Etats-Unis
Selon la justice américaine, des indices montrent que le suspect a également surfé sur la page du builder, l’exécutable qui lance le déploiement du rançongiciel, mais aussi sur des pages de chat et de statistiques. Encore plus gênant, le FBI affirme avoir retrouvé un wallet Bitcoin et sa phrase de mot de passe, un portefeuille destinataire d’une cyber-rançon selon l’accusation.
Sur Twitter, dans un commentaire partagé par l’ingénieur en cybersécurité Soufiane Tahiri, le porte-parole de LockBit aurait blâmé le suspect pour ses lacunes de sécurité et pointé une vulnérabilité dans un ancien panel d’administration.
Demandé d’abord par la justice américaine, Mikhail Vasiliev encourt une peine de cinq ans d’emprisonnement aux Etats-Unis. Certes, cela peut sembler peu pour quelqu’un présenté comme un gros bonnet du cybercrime. Mais ces premières poursuites ne seront qu’un apéritif.
La justice française a également émis un mandat d’arrêt international, qui devra vraisemblablement attendre le jugement du suspect aux Etats-Unis pour être exécuté. L’extorsion en bande organisée est punie dans l’Hexagone d’une peine maximale de 20 ans de réclusion criminelle. Selon nos informations, cet ordre dans les demandes d’extradition a notamment été privilégié pour des raisons d’efficacité, les mécanismes d’extradition étant jugés plus fluides entre le Canada et les Etats-Unis qu’entre le Canada et la France.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));