Mars 2022. L’entreprise Proofpoint, spécialisée dans la sécurisation du courrier électronique, remarque une attaque intrigante. Des emails de candidature, envoyés au nom d’une certaine Jeanne Vrakele, contiennent de dangereuses pièces jointes piégées. Plus précisément, le clic malencontreux sur l’activation des macros lance l’exécution d’un script PowerShell caché dans une image hébergée sur le site web d’une coopérative de crédit Jamaïcaine.
Une seconde image, contenant un script Python, est alors chargée, permettant l’ouverture d’une porte dérobée chez les victimes. L’entreprise va surnommer la chaîne d’attaque “Serpent”, en référence à un dessin en ASCII retrouvé dans le code.
Plus de deux ans plus tard, le développeur à l’origine de l’attaque vient d’être condamné par la 13e chambre correctionnelle du tribunal judiciaire de Paris à 8 mois de prison avec sursis. Cet ingénieur de 34 ans de la Seine-et-Marne était poursuivi pour plusieurs infractions relatives au piratage informatique, au détriment d’administrations publiques, de collectivités, ou encore d’entreprises et d’associations. Il a également écopé d’une amende de 10 000 euros, dont 2 000 euros avec sursis.
Traces sur un compte GitHub
Le créateur du “Serpent” avait été arrêté au printemps 2023 par la DGSI. Au vu du profil de certaines des victimes, le service de renseignement intérieur avait récupéré l’investigation judiciaire. Des messageries de la direction générale des finances publiques avait par exemple reçu le message d’hameçonnage.
L’enquête s’est révélée finalement fructueuse. Et ce notamment grâce à l’identification du compte de partage de code GitHub du créateur du “Serpent”, ainsi que des adresses IP aboutissant chez l’un de ses anciens employeurs. Entendu par les enquêteurs, le développeur s’était ensuite mis aussitôt à table.
“Ce n’était pas des attaques ciblées”, à l’exception d’un piratage d’une commune de Seine-et-Marne à cause d’un différend familial avec le maire, répète-t-il à la barre, lundi 2 décembre. L’informaticien autodidacte, qui a obtenu le titre d’ingénieur par validation des acquis, avait collecté plus de 5 millions d’adresses mails en faisant de simples recherches Google. Autant de messageries arrosées au fil des ans.
La charge virale était un code Python “somme toute simple”, qui utilisait “un hébergeur de texte pour communiquer et recevoir des informations”, explique-t-il sommairement à l’audience. Le programme utilisait également un nom de domaine en .onion pour protéger l’identité de l’attaquant lors de l’exfiltration des données volées, sans vraiment plus de précisions.
Crainte d’être hameçonné
Les magistrats l’ont ensuite interrogé sur la série de piratages qui ont pu lui être rattachés. Un temps au chômage, l’ingénieur avait par exemple réussi à faire main basse sur une base de données de Pôle Emploi [désormais dénommé France Travail]. “J’avais reçu un mail de leur part, mais je m’étais rendu compte qu’il ne venait pas d’un de leurs domaines, se souvient l’ingénieur.
J’ai cru qu’on essayait de me voler des informations et j’ai essayé de remonter la trace. Ces investigations m’ont permis de récupérer une base de données, en réalité une base de test de Pôle Emploi.”
“Pourquoi ne pas faire du bug bounty?”, s’étonne le président du tribunal, Guillaume Daieff. “J’ai plus l’habitude de travailler dans la nature”, répond le prévenu. “Il a trouvé une faille SQL, il aurait pu s’arrêter là, mais il télécharge ensuite la base de données”, regrette l’avocate de France Travail, Charlotte Barraco-David. “Il aurait pu aviser, y compris en utilisant la voie anonyme, les entreprises ou les administrations” des failles identifiées, déplore également le vice-procureur Pascal Moreau.
Pas d’enrichissement
“Je n’avais pas l’intention de tout casser, se défend le créateur du “Serpent”. Cela me servait à apprendre et d’avoir des compétences utiles en entreprise.” Comme par exemple mieux comprendre les méthodes de détection des mails malveillants ou les moyens de protéger un compte d’une attaque informatique. “C’était de la recherche mal faite, je ne cherche pas à minimiser”, convient-il toutefois.
A sa décharge, l’enquête judiciaire n’a pas identifié d’enrichissement illicite. “Tout le monde est unanime, il n’a causé aucun dommage, plaide son avocat, Pablo Nicoli. Il ne faut pas se tromper sur son profil, ce n’est pas un cyber-délinquant”, mais plutôt des recherches en sécurité informatique “menées par un expert de haut niveau”.
Un message partiellement entendu. L’ingénieur a certes été condamné à de la prison avec sursis, ce qui n’avait pas été requis, pour marquer ces faits “graves”. Mais, de façon exceptionnelle, au vu de sa coopération, sa peine ne sera pas mentionnée au bulletin numéro deux de son casier judiciaire, une façon de lui laisser sa chance. “A vous d’avoir [désormais] un comportement exemplaire”, ont averti les juges.