Cyberattaque : pourquoi la transparence est essentielle avec les forces de l’ordre

Europol vient d’annoncer l’arrestation, en Roumanie, d’un affidé d’une franchise mafieuse de ransomware. Et de souligner à cette occasion le soutien apporté par l’EC3 dans le suivi des flux financiers en cryptopépettes. En France, un Vauclusien a été interpellé, « soupçonné d’avoir blanchi 19 millions d’euros en cryptomonnaie » à la suite de cyberattaques avec rançongiciel, rapportent nos confrères de France Bleu. Ces deux annonces rappellent à quel point des déclarations sincères et complètes aux forces de l’ordre sont nécessaires par les victimes de ces délits.

De fait, suivre la trace des paiements en bitcoin n’est pas trivial, mais est pourtant loin d’être impossible. C’est ainsi que nous avons pu estimer qu’au moins 25 victimes d’Avaddon avaient cédé au chantage, courant mai, rapportant aux cybercriminels près d’un million de dollars. C’est également en procédant de la sorte, avec l’aide des outils de Crystal Blockchain, que nous avons pu lever un bout de voile sur les millions de dollars amassés par les cyberdélinquants impliqués dans des attaques conduites avec le ransomware Conti. Les analyses menées par Elliptic Ltd. à partir des données du Suisse Prodaft ont, par la suite, conforté nos observations. 

Certes, les cybertruands ne manquent pas de ruses pour échapper à la surveillance. L’examen de certaines traces peut faire ressortir de longues, très longues, traînes d’opérations mineures, enchaînées d’adresse en adresse, pour décourager l’analyse. Le phénomène est loin d’être rare, sans compter les boucles entre adresses.

En outre, il n’est pas rare qu’une partie d’une rançon versée soit laissée dormante, pendant des jours, des semaines, ou plus encore, sur une adresse bitcoin. Du versement d’une rançon d’une quarantaine de bitcoins versée en début d’année, soit plus de 2 millions de dollars, nous avons ainsi pu aboutir à deux adresses bitcoin où dormaient encore début octobre, moins d’une dizaine de bitcoins répartis à parts égales.

La traçabilité du bitcoin est aujourd’hui bien connue. Les cyberdélinquants en sont pleinement conscients. Si le bitcoin reste encore largement utilisé pour le paiement de rançons, il n’est plus vraiment en odeur de sainteté auprès de tous les acteurs du milieu. Revil a commencé, courant 2020, à demander des paiements en Monero, n’acceptant le bitcoin que moyennant une augmentation de 10 % du montant demandé. Même chose pour Darkside, qui demandait 20 % de plus pour un versement en bitcoin. Chez Blackmatter, c’était même 25 % ! Prometheus n’a quant à lui jamais accepté que le Monero.

Pour les victimes de cyberattaques avec extorsion, le message est clair : si, pour une raison ou une autre, vous estimez n’avoir pas d’autre option que de payer, faites-le, mais en bitcoin. Et surtout, indiquez à la police ou à la gendarmerie que vous avez procédé à un paiement. Et précisez bien la, ou les adresses, sur lesquelles les paiements ont été effectués. Et laissez de côté l’idée que votre paiement aura alimenté la machine de la cyberdélinquance : il contribuera, à terme, à débusquer et interpeler les malfaiteurs.