Une analyse fine du fonctionnement du rançongiciel, des réquisitions judiciaires fructueuses et des recherches en sources ouvertes. Voici, selon nos informations, le cocktail des enquêteurs de la brigade de lutte contre la cybercriminalité (BL2C) de la préfecture de police de Paris pour remonter la piste du hacker Hamza Bendelladj. Surnommé BX1, ce dernier s’est retrouvé au cœur de leur enquête sur PyLocky, ce rançongiciel découvert au milieu de l’année 2018.
L’affaire doit désormais être jugée ce jeudi 31 août par le tribunal judiciaire de Paris. Détail insolite: le hacker, accusé d’avoir piraté et tenté d’extorquer diverses organisations françaises – des centres pénitentiaires, une association de notaires ou une banque coopérative – sera jugé en visioconférence depuis sa prison. Ce dernier est en effet actuellement en détention. Il avait été condamné aux Etats-Unis en 2016 à quinze ans de prison pour son implication dans le cheval de Troie bancaire SpyEye. Un séjour à l’ombre qui ne l’aurait pas empêché, selon l’accusation, de lancer de nouvelles campagnes malveillantes.
200 lignes de code environ
Comment ce célèbre hacker s’est-il donc retrouvé dans le viseur des policiers français ? Alertés par des premières plaintes déposées en juin 2018, ces derniers tentent d’abord de soulever le capot de PyLocky. Ce rançongiciel est assez minimaliste, environ 200 lignes de code en Python, souligne une source proche de l’enquête. Son infrastructure semble également poussive, avec pas mal d’amateurisme, sans division des tâches très poussée.
Les enquêteurs s’intéressent ainsi aux campagnes de spam, qui doivent permettre de propager le rançongiciel. Les policiers découvrent très vite, au cours de l’été, un premier indice. Le serveur utilisé pour les campagnes de spam est en France, chez un petit hébergeur basé à Lyon. Il s’agit probablement d’éviter d’être mis sur liste noire par les services d’antispam.
L’accès à une copie du serveur, obtenu par réquisition judiciaire, permet de décortiquer la mécanique d’envoi des messages de spam. Les enquêteurs regardent notamment les adresses de messagerie correspondant aux envois test, celles qui permettent de voir si les messages passent bien les filtres antispam.
Forrest City
En investiguant sur l’une d’entre elles, les enquêteurs tombent sur un certain Boualem. Surprise, il se révèle après quelques recherches être le frère d’un hacker célèbre détenu à Forrest City, aux Etats-Unis! Cette localisation parle aux enquêteurs. Cette ville de l’Arkansas est déjà mentionnée dans le dossier judiciaire, avec des adresses IP en lien avec les attaques localisées là-bas.
D’autres adresses de messagerie utilisées pour ces tests permettent aux enquêteurs d’avoir davantage de contexte. L’une, censée être utilisée par la compagne de Boualem, est une adresse suspecte, déjà reliée à l’un des noms de domaine du botnet Zeus dans une plainte déposée par Microsoft en 2012.
Une autre permet également de faire le lien avec un nom de domaine lié à TinyNuke, ce cheval de troie malveillant qui charge PyLocky chez les victimes. Ce dernier programme a été écrit par un jeune français, Augustin, dont la traque a été racontée par un analyste en sécurité.
Clé privée
Résultat: à la fin de l’année 2018, les policiers ont la conviction que Hamza Bendelladj trempe dans cette histoire. Ils vont ensuite travailler à étayer cette piste. Ils vont même réussir à retrouver une clé privée sur l’un des serveurs saisis. Elle va permettre la mise au point d’un logiciel de décryptage, une première en France.
La suite va être cependant plus laborieuse, avec plusieurs années nécessaires pour aboutir à un procès. D’une part, les français sont les seuls à s’intéresser vraiment à PyLocky. Pourtant, l’Hexagone ne semble pas avoir été visé particulièrement. Les enquêteurs supposent plutôt qu’une grande partie de son activité malveillante a été confondue à tort avec celle de Locky.
D’autre part, l’enquête contre Hamza Bendelladj s’enlise ensuite dans les méandres de la coopération internationale. Une illustration: les enquêteurs n’ont finalement pas fait le voyage aux Etats-Unis pour interroger BX1. Un hacker qui clame aujourd’hui son innocence. “Je n’ai rien à voir” avec ces piratages informatiques, s’était défendu Hamza Bendelladj en mai dernier, lors de sa première comparution devant des juges français.