Ouvrir

À suivre

Rendez-vous

Rejouer


LES DERNIÈRES ÉMISSIONS

UN ŒIL SUR LES MÉDIAS

Le gouvernement israélien utilise la mort de James Foley pour sa communication

En savoir plus

7 JOURS EN FRANCE

Une rentrée politique sous tension

En savoir plus

#ActuElles

Réfugiés de Centrafrique: préserver son honneur et sa dignité

En savoir plus

JOURNAL DE L’AFRIQUE

RDC : L'opposant Tshisekedi en convalescence à Bruxelles

En savoir plus

JOURNAL DE L’AFRIQUE

Centrafrique : manifestations contre la France au PK5

En savoir plus

CAP AMÉRIQUES

Émeutes de Ferguson : Obama face à la question raciale

En savoir plus

TECH 24

Transports du futur : quand la réalité dépasse la fiction

En savoir plus

À L’AFFICHE !

Philippe Ramette fait son éloge de la contemplation

En savoir plus

DÉBAT

UE - États-Unis - Russie : le double-jeu des sanctions

En savoir plus

  • 2e division blindée : "Nous étions des frères"

    En savoir plus

  • Meurtre de James Foley : Washington n'exclut pas de frapper l'EI en Syrie

    En savoir plus

  • Angela Merkel à Kiev pour arracher un cessez-le-feu dans l'Est

    En savoir plus

  • Un nouveau gouvernement de large ouverture formé en Centrafrique

    En savoir plus

  • Vidéo : après la reprise du barrage de Mossoul, les Kurdes déminent la zone

    En savoir plus

  • Doublé historique des Français au 100 m libre, Manaudou décroche l'or

    En savoir plus

  • Ahmet Davutoglu, l'homme qui ne fait aucune ombre à Erdogan

    En savoir plus

  • Quelles options pour l’administration Obama contre l’EI en Syrie ?

    En savoir plus

  • Irak : près de 70 morts dans l'attaque d'une mosquée sunnite

    En savoir plus

  • Les éliminatoires de la CAN-2015 perturbées par le virus Ebola

    En savoir plus

  • Le Hamas exécute des "collaborateurs" présumés d'Israël à Gaza

    En savoir plus

  • Yémen : "Si la transition est abandonnée, alors le pays se disloquera"

    En savoir plus

  • Mélenchon prend du recul mais ne quitte pas la vie politique

    En savoir plus

  • RD Congo : interrogations après des décès dus à une fièvre hémorragique

    En savoir plus

  • 22 août 1914 : le jour le plus meurtrier de l'histoire de France

    En savoir plus

  • Mohamed Deif, plus que jamais ennemi juré d'Israël

    En savoir plus

Economie

Retour sur la traque du créateur du virus "SpyEye"

© Undernews

Texte par Sébastian SEIBT

Dernière modification : 04/02/2014

Le FBI et plusieurs sociétés privées de sécurité ont réussi, après trois ans de traque, à faire tomber le cybercriminel russe qui a crée le redouté logiciel malveillant SpyEye, ainsi que son principal acolyte. Récit.

Il avait crée l’un des logiciels malveillants les plus connus de ces dernières années. Le Russe Aleksandr Andreevich Panin a reconnu, mardi 28 janvier, devant une cour fédérale américaine, être l’auteur de “SpyEye”. Ce logiciel est une sorte de couteau suisse pour pirates informatiques, permettant de dérober des informations bancaires stockées sur les ordinateurs infectés.

La traque de ce cybercriminel, connu en ligne sous les pseudo “Gribodemon” et “Harderman”, s’est achevée, en juillet 2013, en République dominicaine, où il prenait des vacances. Les autorités locales l’ont arrêté puis mis dans un avion pour Atlanta, où il a été accueilli par le FBI. L’agence américaine du renseignement vient de rendre public le dossier d’accusation contre ce ressortissant russe.

Elle y dépeint Aleksandr Andreevich Panin comme “l’un des plus importants développeurs de logiciels malveillants au monde”. Sa grand œuvre, “SpyEye”, a infecté 1,4 million d’ordinateurs dans le monde, dont une majeure partie se trouvait aux États-Unis, d’après le FBI. Ce Russe a vendu son logiciel malveillant à plus de 150 “clients” qui l’ont utilisé pour mener leur propre cyberopération. L’un d’entre eux s’est fait, d’après les enquêteurs, plus de trois millions de dollars en six mois, en dérobant des identifiants bancaires grâce à “SpyEye”.

C’est dire si “Gribodemon” était dans le collimateur du FBI. Mais pas seulement. Le dossier révèle que l’enquête, qui a duré trois ans, a associé des entreprises privées comme Microsoft, ou encore la société japonaise de sécurité informatique Trend Micro. Cette dernière a accepté de raconter à FRANCE 24 l’envers du décor de la traque d’un tel cybercriminel.

Comme des agents infiltrés

“C’est en septembre 2010 que ‘SpyEye’ est pour la première fois apparu sur nos radars, car un de nos clients avait été infecté”, raconte Loïc Guézo, expert en cybersécurité chez Trend Micro. Il rappelle que ce logiciel malveillant était connu depuis 2009, mais qu’il est monté en puissance à partir de 2010. “Très vite, on a constaté qu’il apparaissait dans un nombre croissant de pays et non plus essentiellement en Russie, et que des variantes de 'SpyEye' voyaient le jour”, explique-t-il.

Un indice important car “il signifie généralement que des organisations criminelles demandent aux créateurs de virus de développer une version destinée à une opération spécifique”, note cet expert. Dans le cas d’un logiciel comme "SpyEye", spécialisé dans le vol informatique de données bancaires, il peut ainsi s’agir d’une variante créée pour cibler un réseau bancaire en particulier.

Trend Micro et d’autres sont alors passés à la vitesse supérieure. Dans le cas de la société japonaise, le dossier "SpyEye" a été remis entre les mains d’une cellule particulière, la FTR (Forward looking Threat Research). Il s’agit d’une équipe d’une trentaine de personnes, disséminées un peu partout dans le monde, et qui agissent un peu comme des agents infiltrés. Ils ont accès à des forums et des sites, où la communauté de pirates informatiques s’échangent des informations, vend et achète des kits de logiciels malveillants prêts à l’emploi, etc. Dans le cas de "SpyEye", c’est un expert, un russophone basé aux États-Unis, qui a été chargé d’en apprendre le plus possible sur cette nouvelle menace.

Mais qui est “Bx1” ?

Il commence par récupérer un “kit complet” de "SpyEye" sur l’Internet. “La version de base du logiciel malveillant [c’est-à-dire qui n’a pas été modifié à la demande d’un “client”, NDLR] était disponible en libre-service”, note Loïc Guézo. Il infecte alors un ordinateur “test” avec le virus pour essayer de mieux comprendre ce qui se passe. “Un tel logiciel récupère des informations, qu’il doit ensuite communiquer aux cybercriminels”, explique Loïc Guézo. Le but est de remonter la piste jusqu’au serveur où sont transférées les données volées. Objectif atteint avant la fin de l’année 2010. Les équipes de Trend Micro localisent un serveur hébergé juridiquement à Belize, baptisé lloidstsb et qui sert de tour de contrôle pour plusieurs ordinateurs infectés par "SpyEye".

C’est un peu la découverte de la salle au trésor. Malgré les protections, Trend Micro réussit à trouver des e-mails, des identifiants et des mots de passe permettant de continuer la traque. Un nom - ou plutôt un alias - ressort de ce butin : “Bx1”. “Nous avons trouvé dans les fichiers de configuration du serveur des informations sur lui”, raconte Loïc Guézo.

Preuve de l'implication de "Bx1" dans SpyEye : il explique dans ce message comment utiliser un numéro de carte de débit virtuelle obtenu grâce à "SpyEye".

Ce sont toutes ces informations que la société japonaise met sur la table lors d’une réunion avec le FBI, début 2011. C’est à ce moment là que la coopération entre l’agence américaine et les différentes sociétés privées se met en place pour démasquer “Gribodemon” et “Bx1”.

Côté Trend Micro, “Bx1” devient la cible. Les enquêteurs acquièrent la certitude que cet internaute joue un rôle clé dans l’univers “SpyEye”. “C’était le partenaire d’Aleksandr Andreevich Panin, et il a été l’un des co-développeurs du logiciel”, affirme Loïc Guézo. À la base, il était un simple utilisateur qui a “probablement voulu se servir de 'SpyEye' pour sa propre opération”, souligne Loïc Guezo. “Bx1” s’est ensuite de plus en plus impliqué dans le développement de ce logiciel malveillant. Il a créé plusieurs plug-in [des bouts de code qui permettent de changer ou d’améliorer certaines fonctions du programme] de “SpyEye”.

La poursuite de “Bx1” va passer par divers forums et sites spécialisés. Finalement, les enquêteurs réussissent à identifier cet associé de Panin. Il s’agit de Hamza Bendelladj, un ressortissant algérien, qui sera arrêté en janvier 2013, alors qu’il passait des vacances en Thaïlande.

L’identification de “Gribodemon” sera plus compliquée. “Il était plus doué pour cacher sa véritable identité en ligne”, constate Loïc Guézo. Mais il a fini par baisser sa garde et a commis l’erreur de vendre directement "SpyEye" à un agent du FBI se faisant passer pour un pirate informatique.

Première publication : 03/02/2014

  • INTERNET

    Le réfrigérateur connecté, nouvelle cible des pirates informatiques

    En savoir plus

  • INTERNET

    Le FBI traque un prince roumain de l'arnaque sur eBay

    En savoir plus

  • INTERNET

    Comment le FBI a remonté la piste du fondateur de "The Silk Road"

    En savoir plus

COMMENTAIRE(S)