Connaissez-vous l’histoire du premier véritable virus mondial de l’ère Internet ? En fait c’est pas juste une histoire de code à la base, mais plutôt celle d’un étudiant philippin de 24 ans complètement fauché qui voulait juste surfer gratos sur le web… pour finir par mettre totalement à genoux le Pentagone, la CIA, le Parlement britannique et 45 millions d’ordinateurs à travers le monde.
Et tout ça avec un simple email qui disait “Je t’aime”.
On est le 4 mai 2000 à minuit, heure de Manille, Onel de Guzman lance son virus ILOVEYOU depuis son petit appartement du quartier de Pandacan. Il referme son ordinateur portable, sort boire des coups avec des potes et se réveille le lendemain avec la gueule de bois du siècle et la police à sa porte. Entre temps, son “bébé” a infecté Ford, AT&T, Microsoft, le Pentagone, et a fait trembler Wall Street. Son serveur censé récupérer les mots de passe volés a même complètement cramé sous l’afflux de données. Son plan génial pour démocratiser Internet est parti en fumée.
Son histoire commence donc dans les années 90. Dans son pays, Internet coûte une fortune, facturé à la minute en dial-up et pour un étudiant de l’AMA Computer College de Makati, comme Onel de Guzman, c’est totalement hors de prix. Le gamin est brillant en programmation mais n’a pas un rond. Il passe ses journées à apprendre le code, mais le soir, impossible de se connecter pour approfondir. Et cette frustration devient une obsession ! L’accès à Internet devrait être un droit, pas un privilège de riches.
Du coup, en février 2000, de Guzman présente sa thèse de fin d’études. Le titre ne fait pas dans la dentelle : “E-mail Password Sender Trojan”. L’objectif est clair comme de l’eau de roche… Il s’agit de créer un programme pour voler les identifiants Internet et permettre aux pauvres de surfer gratos. Dans son mémoire, il écrit carrément : “Le but de ce programme est d’obtenir les mots de passe Windows et de voler et récupérer les comptes Internet de l’ordinateur de la victime.”
La réaction de ses profs est immédiate et sans appel. Dans les marges du document, l’un d’eux gribouille : “Nous ne formons pas des cambrioleurs” et “C’est illégal !”. Sa thèse est rejetée. Même le doyen pète un câble. Comment un étudiant peut-il proposer du vol comme projet de fin d’études ?
Mais de Guzman ne capte pas ces retours car pour lui, partager des mots de passe Internet, c’est comme partager un bouquin ou un CD. Les “victimes” ne perdent rien puisqu’elles peuvent toujours se connecter… C’est juste du partage de ressources, non ? Bref, pour lui, ses profs sont des vieux cons qui ne pigent rien à la révolution numérique. Le mec abandonne alors ses études et rejoint GRAMMERSoft, un groupe underground d’étudiants qui vendent des devoirs tout faits à d’autres étudiants et squattent les labos informatiques de l’AMA College pour développer leurs trucs.
L’équipe de GRAMMERSoft
C’est là que de Guzman commence à coder son virus. Il reprend les idées de sa thèse rejetée et les améliore. Le concept c’est de créer un ver qui se propage par email en exploitant la curiosité humaine. Car franchement, qui pourrait résister à un message qui dit “Je t’aime” ? Le virus utilise Visual Basic Script, un langage simple mais puissant intégré à Windows et même si de Guzman n’est pas un génie du code (son script est même plutôt basique avec environ 300 lignes), il comprend parfaitement la psychologie humaine et les failles de Windows.
Son programme fait plusieurs trucs une fois activé. D’abord, il parcourt le disque dur et écrase certains types de fichiers. Les images JPEG sont remplacées par des copies du virus renommées avec l’extension .vbs. Les fichiers JavaScript, CSS, documents Word et j’en passe, subissent le même sort. Mais curieusement, les MP3 sont juste cachés, pas détruits… peut-être que de Guzman aimait trop la musique pour les bousiller. Le virus s’installe ensuite dans le système avec le nom MSKERNEL32.VBS et modifie la page d’accueil d’Internet Explorer pour télécharger un trojan voleur de mots de passe.
Mais le vrai génie du virus, c’est sa propagation car il s’envoie automatiquement à tous les contacts du carnet d’adresses Outlook de la victime. Le message a ainsi l’air de venir d’un ami ou d’un collègue, ce qui augmente drastiquement les chances qu’il soit ouvert. Le fichier joint s’appelle “LOVE-LETTER-FOR-YOU.TXT.vbs”. Sauf que Windows, dans sa grande sagesse, cache par défaut l’extension .vbs. Les utilisateurs voient alors juste “LOVE-LETTER-FOR-YOU.TXT” et pensent que c’est un simple fichier texte inoffensif.
Dans le code, on trouve des références à “spyder” et “Barok”. Barok est un logiciel de vol de mots de passe populaire dans l’underground philippin et “Spyder” est le pseudo que de Guzman utilise parfois, même si Reonel Ramones, son pote de GRAMMERSoft, l’utilise aussi. Le message dans le code dit : “Barok… e.mail.passwords.sender.Trojan-by spyder”. Les mots de passe volés devaient ensuite être envoyés à des comptes email chez Access Net, un FAI philippin. L’idée de de Guzman c’était de les redistribuer gratuitement à ceux qui pouvaient pas se payer Internet.
Sauf que de Guzman n’a jamais anticipé ce qui allait se passer. Il pensait infecter quelques centaines, peut-être quelques milliers d’ordinateurs aux Philippines. Récupérer assez de mots de passe pour lui et ses potes. Il avait initialement codé une restriction géographique pour limiter le virus à Manille, puis par curiosité, il l’enlève juste avant de lancer son bébé. Grosse erreur.
Le code de ILOVEYOU
Le virus commence alors sa propagation en Asie. Hong Kong se fait toucher en premier, car les bureaux ouvrent tôt là-bas. De là, ça se répand en Chine, au Japon, en Corée du Sud et chaque personne qui ouvre la pièce jointe infecte instantanément tous ses contacts. La croissance est exponentielle, complètement folle et en 10 jours, 45 millions de machines seront touchées.
Quand l’Europe se réveille, c’est déjà l’apocalypse. Les serveurs de messagerie saturent. BMW et Siemens en Allemagne déconnectent leurs systèmes. L’Oréal et BNP Paribas en France sont touchés. La BBC rapporte que le Parlement britannique ferme complètement son système de messagerie. Le virus modifie même la page d’accueil des navigateurs pour télécharger WIN-BUGSFIX.exe, un trojan supplémentaire.
Le virus arrive enfin aux États-Unis alors que la côte Est commence sa journée. À 6h45, les techniciens de Fort Bragg reçoivent des alertes puis le réseau de l’armée américaine avec ses 50 000 utilisateurs est touché. Le Pentagone prend alors une décision radicale à savoir couper complètement son système de messagerie. La CIA fait pareil. Le FBI, la Réserve fédérale… tous déconnectent. Du jamais vu. Ford Motor Company ferme son réseau email. Microsoft, ironie du sort, créateur du système d’exploitation vulnérable, doit aussi se déconnecter. Et Wall Street tremble.
Et les médias s’emballent… CNN, BBC, tous couvrent l’événement en direct. Pour la première fois, un virus informatique fait la une des JT. “Si vous recevez un email avec pour objet ILOVEYOU, ne l’ouvrez pas !” répètent les présentateurs. Les estimations des dégâts commencent à tomber. On parle de millions, puis de milliards. Le coût final sera estimé entre 5 et 15 milliards de dollars, en comptant les pertes de productivité et les fichiers détruits. Plus de 25 variantes du virus apparaissent alors rapidement, chacune causant différents types de dégâts.
Pendant ce temps à Manille, de Guzman cuve sa cuite monumentale. Il n’a aucune idée du chaos mondial qu’il vient de déclencher. C’est sa mère qui l’alerte : la police est à la porte. Les agents du National Bureau of Investigation ont des mandats… De Guzman panique et demande à sa famille de détruire tous ses ordinateurs.
Mais comment les autorités l’ont trouvé si vite ? Et bien Sky Internet, un FAI philippin, a reçu des plaintes de clients européens dès les premières heures. Darwin Bawasanta, un employé, analyse les logs et identifie des numéros de téléphone suspects. L’un mène en premier lieu à l’appartement de Reonel Ramones, arrêté le 8 mai. Là bas, les enquêteurs trouvent des disquettes avec des noms incluant Michael Buen et Onel de Guzman. Buen, 23 ans, avait écrit une thèse acceptée sur la duplication de fichiers. Les enquêteurs soupçonnent alors que ILOVEYOU combine leurs travaux… Puis rapidement, tous les indices pointent vers de Guzman.
Et le 11 mai 2000, de Guzman se présente à une conférence de presse. Lunettes de soleil, visage caché derrière un mouchoir. Il refuse de répondre. Son avocat parle : “Mon client n’avait pas l’intention de causer des dommages. Il voulait seulement démontrer les failles de sécurité.” La défense classique des hackers…
Onel de Guzman durant sa conférence de presse
Mais voilà le plus dingue : il n’y aura aucune poursuite. Pourquoi ? Et bien parce qu’en 2000, les Philippines n’ont aucune loi contre la création de virus informatiques. Écrire un malware n’est tout simplement pas illégal et le procureur est obligé d’abandonner toutes les charges. De Guzman et Ramones sont libérés.
Face au tollé international, le gouvernement philippin vote en urgence la Republic Act No. 8792 en juillet 2000, l’E-Commerce Law qui criminalise enfin les virus mais comme la Constitution interdit les lois rétroactives. Grâce à sa bonne étoile, de Guzman s’en sort totalement libre et après sa conférence de presse, il disparaît. Il devient alors un fantôme… Certains disent qu’il a quitté le pays, d’autres qu’il vit sous une fausse identité.
Jusqu’à ce que Geoff White le retrouve en 2019 pour son livre “Crime Dot Com”. De Guzman a maintenant 44 ans et répare des téléphones pour vivre. “Je ne voulais pas que ça arrive comme ça”, confie-t-il. “Je voulais juste avoir accès à Internet sans payer. Je ne pensais pas que ça deviendrait mondial.” Il lui raconte alors cette fameuse nuit : “J’ai bu, beaucoup bu. Je me suis réveillé avec une gueule de bois terrible et la police à ma porte.”
Le plus drôle c’est que de Guzman n’a jamais pu exploiter son virus car le serveur censé collecter les mots de passe a crashé immédiatement. “Le virus était trop efficace”, explique-t-il. “Il s’est propagé trop vite. Tout s’est effondré.” Des millions de mots de passe envoyés pour rien. ILOVEYOU est devenu un pur agent du chaos, détruisant des fichiers sans remplir sa fonction première.
De Guzman regrette tout cela profondément. “Parfois je vois ma photo sur Internet. Je suis quelqu’un de timide, je ne veux pas de cette attention. Si je pouvais revenir en arrière, je ne le ferais pas. J’étais jeune et stupide. Je pensais changer le monde, démocratiser Internet. J’ai juste causé de la souffrance.”
Onel de Guzman en 2019
L’impact d’ILOVEYOU a été colossal. Microsoft a dû repenser complètement la sécurité d’Outlook et Windows, et l’option de cacher les extensions, qui a permis au virus de tromper tant de gens, a été modifiée. Suite à cela, les entreprises ont investi massivement dans l’antivirus et la formation et le “social engineering” est devenu central dans la cybersécurité. Les gouvernements ont même adopté des lois contre le cybercrime. L’Europe a harmonisé sa législation, les États-Unis ont renforcé le Computer Fraud and Abuse Act.
Mais le plus grand changement est culturel car avant ILOVEYOU, les virus étaient un problème de geeks. Aujourd’hui, “Ne cliquez pas sur les pièces jointes suspectes” est devenu un mantra universel.
En 2012, le Smithsonian Institution a classé ILOVEYOU parmi les dix virus les plus virulents de l’histoire. C’est le seul à avoir touché 10% d’Internet en 24 heures, une performance jamais égalée.
Bref, que ce soit dans le monde numérique comme dans la vraie vie, il faut se méfier des déclarations d’amour un peu trop faciles. Surtout avec une extension .vbs.
Avec tout ce que vous avez lu jusqu’à présent dans ma série de l’été, vous connaissez maintenant toutes ces histoires de hackers qui finissent mal. Mais celle de Max Butler, c’est le niveau au-dessus.
1987, Idaho… un gamin de 15 ans bidouille son premier modem 2400 bauds dans le garage de son père, un vétéran du Vietnam qui tient une boutique informatique. 20 ans plus tard, ce même gosse contrôlera le plus gros empire de cartes de crédit volées de la planète avant de diriger un réseau de contrebande par drone… depuis sa cellule de prison.
Max Ray Butler, alias Iceman, alias Max Vision. Un nom qui fait encore frissonner les vieux de la vieille de la cybersécurité. J’ai épluché son histoire dans le livre “Kingpin” de Kevin Poulsen, et c’est du pur concentré de folie technologique. Le mec a réussi à être à la fois consultant du FBI et un gros poisson de l’underground criminel. Genre Docteur Jekyll et Mister Hyde version Silicon Valley, et en vraiment plus chelou. Il faut avant tout savoir que Butler était diagnostiqué bipolaire. Kevin Poulsen le décrit comme oscillant entre des états de calme absolu et ce qu’il appelle le “full-bore insane” (totalement déjanté quoi). Un génie technique doublé d’un inadapté social qui changeait de personnalité comme de chemise…
Du coup, vous voulez comprendre comment on passe de white hat respecté à empereur des carders ? Attachez-vous, parce que l’histoire de Max Butler, c’est 30 ans d’évolution du hacking condensés dans une seule existence totalement barrée.
Max Ray Butler débarque sur Terre en 1972 à Meridian dans l’Idaho. Papa possède un magasin d’informatique à Boise, maman tient la maison. Dans les années 80, avoir un père dans l’informatique en Idaho, c’était exactement comme grandir dans une chocolaterie quand t’es gosse. Max baigne dedans dès le plus jeune âge, et forcément, ça marque.
Le drame arrive quand il a 14 ans : ses parents divorcent. Pour un ado déjà introverti et passionné par les machines, c’est le tsunami émotionnel. Max reste avec sa mère mais la relation avec son père se complique sérieusement. C’est là que les bulletin board systems entrent en scène. Les BBS, pour ceux qui ont connu, c’était vraiment le Far West numérique. Pas d’Internet grand public, juste des modems qui appelaient d’autres modems à coup de tonalités stridentes.
Et Max découvre cette communauté underground où les gamins s’échangent des codes, des techniques de phreaking (piratage téléphonique façon Captain Crunch), et surtout cette sensation grisante d’appartenir à une élite technique et à 17 ans, l’ado maîtrise déjà des techniques que des informaticiens professionnels ne connaissent même pas.
Mais Max a un problème : son caractère explosif. En 1991, pendant sa première année à Boise State University, lui et un pote hackent le réseau local pour rigoler. Ils s’amusent à échanger des emails depuis les boîtes mail des profs, juste pour le fun. Sauf que la même année, une histoire de cœur tourne mal. Sa copine le largue pour un autre et Max pète totalement un plomb ! Il menace de la tuer, et tente même de la renverser avec sa voiture.
Le tribunal l’interdit alors de l’approcher mais il viole l’interdiction comme un couillon. Il se fait même pincer en train de voler des produits chimiques dans le labo du lycée avec des potes, alors qu’il est déjà expulsé de Meridian High School pour ça d’ailleurs. Résultat, des condamnations pour agression, pour cambriolage et pour vol. 5 ans de prison ferme. Boom.
Et en taule, Max ne reste pas inactif. Il lance un magazine cyberpunk appelé “Maximum Vision” qu’il imprime et distribue aux autres détenus et c’est là qu’il commence à développer cette double identité qui le suivra toute sa vie : le technicien brillant / l’inadapté social complet. Le magazine lui plaît tellement qu’à sa libération en avril 1995, il change officiellement de nom. Max Ray Butler devient alors Max Ray Vision. Nouvelle identité, nouveau départ. Enfin, c’est ce qu’il croit.
Max lorsqu’il était en prison - Photo améliorée par IA
De 1995 à 2001 ce sont les plus belles années de Max. Il déménage près de Seattle, décroche des boulots techniques, épouse Kimi Winters (ils divorceront en 2002 à Santa Clara), s’installe à Berkeley et Max Vision devient peu à peu une célébrité du milieu sécurité informatique. Le mec est partout, on le respecte, on l’écoute.
Il crée arachNIDS (advanced reference archive of current heuristics for network intrusion detection systems), une base de données open source de signatures d’attaques pour Snort, le système de détection d’intrusion le plus utilisé au monde. C’est un travail de titan, mis à jour toutes les heures, et très respecté par toute la communauté white hat. Max collabore aussi avec le FBI, écrit des analyses sur les virus et autres vers, contribue au Honeynet Project…etc. Bref, dans le milieu, on le considère comme un expert en détection d’intrusion.
Mais en 1998, Max commet l’erreur fatale. Il découvre une faille dans BIND, le serveur DNS le plus utilisé au monde. Il veut alors corriger la faille sur les serveurs gouvernementaux avant qu’elle ne soit exploitée par des méchants. C’est une noble intention, sauf qu’il installe une backdoor pour vérifier ses corrections du style “je répare votre porte mais je garde un double des clés, c’est pour votre bien” et évidemment, ce qui devait arriver, arrive… L’Air Force découvre le pot aux roses et le FBI débarque chez lui.
Et là, Max découvre la vraie nature de ses “amis” du Bureau. Ils lui proposent un marché : devenir indic infiltré ou aller en prison. Max accepte d’abord, et commence à bosser pour eux mais quand ils lui demandent de porter un micro pour piéger un collègue qu’il respecte… il refuse net. Le FBI ne rigole plus du tout et en septembre 2000, Max plaide coupable d’intrusion dans les systèmes du Département de la Défense et se prend 18 mois de prison fédérale. Le white hat prodige vient de comprendre que dans ce milieu, la loyauté ne va que dans un sens.
Mai 2001, Max sort de prison et le monde a changé. La bulle internet a explosé, le 11 septembre est passé et la paranoïa sécuritaire est partout. Pour un ex-détenu, même avec ses compétences de malade, trouver du boulot relève du parcours du combattant. “J’étais SDF, je dormais sur le canapé d’un pote. Je n’arrivais pas à trouver de travail”, racontera-t-il plus tard. Le gars qui conseillait le FBI 3 ans plus tôt se retrouve alors à compter ses derniers dollars.
La descente aux enfers peut alors vraiment commencer.
Max croise la route de Chris Aragon via William Normington, un fraudeur rencontré en taule. Aragon, c’est un ancien braqueur de banques avec des condamnations juvéniles, le genre de mec qui ne fait pas dans la dentelle et ensemble, ils montent un système d’exploitation de réseaux WiFi non protégés. En 2003, le WiFi explose mais la sécurité ne suit pas du tout, ce qui donne l’idée à Max et Chris de se balader dans San Francisco avec des antennes paraboliques haute puissance, de s’installer dans des chambres d’hôtel aux derniers étages, et d’intercepter absolument tout ce qui passe.
Leur technique est diabolique : ils scannent les réseaux vulnérables, s’introduisent dans les systèmes, installent des malwares. Max modifie même le Trojan Bifrost pour qu’il échappe aux antivirus et il teste ses modifications sur des machines virtuelles VMware avec différents antivirus jusqu’à obtenir la furtivité totale.
Et quand ils découvrent la faille RealVNC c’est le jackpot ! Pour info, VNC (Virtual Network Console) équipe à l’époque pas mal de terminaux de paiement de milliers de petits commerces, surtout les restaurants. Max scanne méthodiquement Internet, trouve les instances vulnérables, et récupère directement les données de cartes de crédit sur les terminaux. Kevin Poulsen raconte : “Il a réalisé que le PC agissait comme système backend pour les terminaux de point de vente du restaurant. Il collectait les transactions de cartes de crédit du jour et les envoyait en un seul lot chaque nuit au processeur de paiement. Max a trouvé le lot du jour stocké comme fichier texte brut, avec la bande magnétique complète de chaque carte client enregistrée à l’intérieur.”
Iceman vient de naître. Et il a faim.
Juin 2005, Max lance CardersMarket.com, un forum dédié au trafic de données bancaires. Le carding (fraude aux cartes) explose depuis que l’e-commerce s’est démocratisé mais le milieu reste fragmenté : 4 gros forums se partagent le marché avec leurs querelles d’ego et leurs inefficacités. Max observe, analyse, planifie. Il a une vision industrielle là où les autres restent artisanaux.
Max voulait initialement appeler son forum “Sherwood Forest” parce qu’il se voyait comme un Robin des Bois moderne mais Chris Aragon, plus pragmatique, insiste pour “CardersMarket” car il faut attirer les criminels, pas les romantiques. Pendant 2 ans, Max constitue alors tranquillement sa base d’utilisateurs, étudie les méthodes de ses concurrents, identifie leurs failles. Et surtout, il prépare le coup du siècle.
Août 2006 : Max passe à l’acte. En 48 heures chrono, il exécute ce que l’histoire du cybercrime retiendra comme la première OPA hostile de l’underground. Il hacke simultanément les 4 plus gros forums de carding, TalkCash, TheVouched, DarkMarket, ScandinavianCarding. La technique est chirurgicale : extraction complète des bases d’utilisateurs, récupération des historiques de conversations, destruction des données sur les serveurs d’origine, migration de tout vers CardersMarket.
Puis il envoie un email à tous les utilisateurs : “Il n’y a plus qu’un seul forum pour les carders : CardersMarket.com. Signé, Iceman.” Du jour au lendemain, Max contrôle 6000 utilisateurs et devient le monopole mondial du trafic de cartes volées. Les anciens admins des forums rivaux peuvent toujours pleurer, leurs membres ont migré chez Iceman.
Et le business model est totalement rôdé. Max vend les “dumps” (numéros de cartes volées) à des revendeurs et Chris Aragon gère la partie physique : il achète des cartes vierges et une machine d’encodage magnétique, produit les fausses cartes. Il emploie 5 femmes pour faire du shopping dans les magasins de luxe d’Orange County et sa propre femme revend la marchandise sur eBay avec une légère réduction. Les “mules” touchent 30% de la valeur en chèques. Le blanchiment est parfait, industrialisé, efficace.
Les complices de Max. En haut à gauche, Chris Aragon.
En 2 ans, CardersMarket écoulera comme ça 2 millions de numéros de cartes pour un préjudice de 86 millions de dollars. Max prend sa commission sur chaque transaction. Iceman règne sur un empire que même les cartels traditionnels envient. Consultant en sécurité le jour, empereur du carding la nuit. La schizophrénie professionnelle à son paroxysme.
Mais dans l’ombre, le FBI prépare sa revanche. Depuis des mois, l’agent Keith Mularski s’est infiltré dans DarkMarket sous le pseudo “Master Splyntr” et ce mec est vraiment une machine cumulant 18 heures par jour en ligne. Il devient alors admin du forum et gagne la confiance de tous. A l’époque, l’Operation Firewall (2003-2004) a déjà fait tomber 28 carders et permis de récupérer 1,7 million de numéros de CB mais Mularski veut du plus gros gibier.
Alors quand Max hacke DarkMarket, Mularski récupère discrètement des informations sur Iceman. Le gros atout de Max, c’est sa paranoïa car il a identifié Mularski comme un flic, et a même tracé son IP jusqu’au National Cyber-Forensics & Training Alliance de Pittsburgh. Il prévient alors les autres membres du forum mais personne ne le croit car plusieurs fois avant, il avait accusé faussement d’autres membres d’être de la police. Dans un milieu où tout le monde suspecte tout le monde d’être un flic, un ripou ou un indic, Max passe juste pour un parano de plus.
Mularski collecte alors patiemment des tas d’infos : adresses IP, habitudes de connexion, corrélations avec d’autres pseudos… et l’étau se resserre doucement mais sûrement. Pendant ce temps, Max vit dans son “Hungry Manor”, une baraque louée à Half Moon Bay avec d’autres geeks et il ne se doute de rien.
Puis le 5 septembre 2007, à San Francisco, Max Butler sort de chez lui et tombe sur une armée d’agents du FBI. Arrêté, menotté, embarqué, l’empereur des carders vient de tomber. Au moment de son arrestation, CardersMarket traitait plus de transactions frauduleuses que n’importe quelle place de marché légale de l’époque car Max avait industrialisé le crime comme personne avant lui.
Et le procès qui suit ne fait pas dans le mystère. Avec 2 millions de cartes volées et 86 millions de dégâts prouvés, les preuves s’accumulent comme une avalanche et Max plaide coupable de 2 chefs d’accusation de fraude électronique. C’est une stratégie classique qui consiste à coopérer pour limiter les dégâts. Sauf que les dégâts sont énormes.
12 février 2010, le tribunal de Pittsburgh rend son verdict : 13 ans de prison ferme, 5 ans de liberté surveillée, 27,5 millions de dollars à rembourser. À l’époque, c’est le record absolu pour des charges de piratage informatique aux États-Unis. Kevin Poulsen note tristement : “Derrière eux, les longs bancs de bois étaient presque vides : pas d’amis, pas de famille, pas de Charity (sa petite amie de l’époque)… elle avait déjà dit à Max qu’elle ne l’attendrait pas.”
Max atterrit au FCI Victorville Medium 2 en Californie. Pour la plupart des détenus, ce serait la fin de mon histoire, mais Max Butler n’est vraiment pas la plupart des détenus. Ce mec a le crime dans le sang, c’est plus fort que lui.
En octobre 2014, Max obtient un téléphone portable de contrebande. Il contacte Jason Dane Tidwell, un ancien codétenu, via une app de messagerie cryptée et ensemble, ils montent un réseau de contrebande par drone. Max commande un drone civil, et organise des largages de téléphones et de matériel dans la cour de la prison d’Oakdale au printemps 2016. Le mec est irrécupérable…
En 2018, nouvelle arrestation… à l’intérieur de sa cellule. Max est accusé d’avoir organisé ce réseau de contrebande high-tech et il plaide non coupable. Ahahaha. Puis le 14 avril 2021, après 13 ans d’incarcération, Max Ray Vision sort enfin de prison. Il a 49 ans et le monde numérique a encore évolué de manière folle. Bitcoin, Dark Web moderne, ransomwares, cryptolockers… Les techniques qu’il maîtrisait semblent presque archaïques face aux menaces actuelles.
Depuis sa sortie, Max a complètement disparu des radars. Pas d’interview, pas de reconversion publique, pas de livre de mémoires, pas de compte Twitter. L’homme qui a été une des figures du cybercrime a choisi l’anonymat total… Et il doit toujours 27,5 millions de dollars aux victimes et purge encore sa liberté surveillée.
Alors est-ce que Max Butler a tiré les leçons de son parcours totalement dingue ? Est-ce qu’il essaie de se racheter une conduite ? Ou est-ce qu’il planifie discrètement son retour avec les nouvelles technos ? Car dans ce milieu, la retraite n’existe pas vraiment… un hacker reste un hacker, c’est dans l’ADN.
L’histoire de Max Butler nous rappelle qu’entre le white hat et le black hat, il n’y a parfois qu’un pas. Un tout petit pas que des milliers de hackers talentueux franchissent chaque jour dans un sens ou dans l’autre…
Ceci est histoire qui me fascine depuis que j’ai commencé à m’intéresser au hacking car c’est l’histoire incroyable du premier vrai braquage bancaire en ligne. Pas de cagoules, pas d’armes, pas de voitures qui démarrent en trombe mais juste un mec, un ordinateur, et 10,7 millions de dollars qui changent de compte en quelques clics. Cette histoire, c’est celle de Vladimir Levin et du casse de Citibank en 1994.
Un IBM PC typique des années 90, similaire à celui utilisé pour le hack
Imaginez, on est en 1994, Internet balbutie, la plupart des gens n’ont jamais vu un email, et Windows 95 n’existe même pas encore. À cette époque, quand on parlait de vol bancaire, on pensait encore à des mecs avec des bas sur la tête qui braquaient des agences. Et à ce moment précis, personne n’imaginait encore qu’un type en pyjama, depuis son appart’ de Saint-Pétersbourg, pourrait piquer des millions à une des plus grosses banques du monde.
Vladimir Leonidovitch Levin, un nom qui aujourd’hui figure dans tous les bouquins sur la cybercriminalité. Mais qui était vraiment ce mec ? Et bien si vous lisez les articles de l’époque, on vous dira que c’était un mathématicien brillant, un biochimiste diplômé de l’Institut de Technologie de Saint-Pétersbourg, un génie de l’informatique. Mais la réalité est beaucoup moins glamour et bien plus intéressante.
Saint-Pétersbourg en pleine transition post-soviétique - image IA
Et franchement, Saint-Pétersbourg en 1994, c’était pas la joie. L’URSS s’était effondrée trois ans plus tôt, et la Russie traversait une crise économique sans précédent. L’inflation annuelle atteignait 224% cette année-là et le 11 octobre 1994, “Mardi Noir”, le rouble perdait 27% de sa valeur en une seule journée. Les gens allaient au boulot sans être payés pendant des mois, obligés de trouver deux ou trois jobs pour survivre et la ville était surnommée “le Saint-Pétersbourg des bandits” (banditsky Peterburg), et c’était pas pour rien.
Dans ce bordel ambiant, Vladimir Levin travaillait comme admin système pour une boîte qui s’appelle AO Saturn. Rien de bien folichon. Il configurait des serveurs, gérait des réseaux, faisait tourner la boutique informatique. Un job tranquille dans une époque qui ne l’était pas.
Mais voilà, Vladimir a entendu parler d’un truc qui allait changer sa vie. Un groupe de hackers de Saint-Pétersbourg avait découvert quelque chose d’énorme. Ces mecs, qui se faisaient appeler ArkanoiD, Hacker 3 et Buckazoid (oui, comme le personnage de Space Quest… les nerds quoi…), avaient trouvé une faille monumentale dans les systèmes de Citibank.
Citibank, une des plus grandes banques américaines
C’est véridique… l’histoire vraie, celle qu’on ne raconte jamais, c’est que Levin n’a JAMAIS hacké Citibank lui-même. Je le sais car en 2005, un des hackers originaux, ArkanoiD, a balancé toute l’histoire sur Provider.net.ru, un forum russe. Lui et ses potes avaient passé plus d’un an à explorer les réseaux de Citibank et pas par Internet, non, non… Ils utilisaient le réseau X.25, un vieux protocole de communication que plus personne n’utilise aujourd’hui.
X.25, pour ceux qui ne connaissent pas, c’était un peu l’ancêtre d’Internet pour les entreprises. Créé en 1976, c’était un réseau de communication par paquets qui permettait aux banques et aux grandes entreprises d’échanger des données. Super lent selon nos standards actuels (on parle de latences d’une demi-seconde !), mais ultra-fiable pour les transactions financières avec zéro erreur de transmission, ce qui était crucial pour bouger des millions.
Le truc, c’est que Citibank avait son propre réseau X.25 qui reliait toutes ses agences dans le monde. Ce réseau était censé être sécurisé, mais… comment dire… les hackers russes ont découvert qu’ils pouvaient se balader tranquillement dessus. Phrack Magazine avait même publié une liste de 363 ordinateurs Citibank accessibles via Sprintnet !
La liste dans Phrack
Pendant six mois, ArkanoiD et sa bande ont joué les touristes sur les serveurs de Citibank. Ils installaient des jeux, lançaient des programmes, jouaient même à Star Trek sur les machines de la banque et personne ne remarquait rien. Selon ArkanoiD, c’était “très low tech”… pas d’exploit sophistiqué, pas d’analyse de buffer overflow, juste “une approche systématique et un peu de chance”.
C’est là qu’ils ont trouvé le Saint Graal : le système Cash Manager de Citibank. Le service qui permettait aux gros clients corporate de faire des virements internationaux. Ils se connectaient avec un modem (vous savez, ces trucs qui faisaient ce bruit insupportable “KRRRRR BEEP BEEP”), ils rentraient leurs identifiants, et ils pouvaient bouger des millions d’un compte à l’autre. Citibank traitait 500 milliards de dollars par jour avec ce système !
Le problème c’est que la sécurité était… disons… minimaliste. Pas d’authentification à deux facteurs, pas de token physique, juste un login et un mot de passe. En 1994, c’était la norme, mais quand même…
Un coupleur acoustique, ancêtre du modem
Buckazoid découvre alors exactement où et comment transférer l’argent, mais il remarque aussi que tout est loggé et ces logs sont probablement imprimés sur papier chaque jour. Les hackers comprennent vite que “ce serait impossible de voler de l’argent sans se faire remarquer”. Ils n’ont pas les ressources pour gérer la partie logistique du crime car en Russie en 1994, ça voulait dire contacter des gens “désagréables”, comme le dit ArkanoiD.
C’est là que Vladimir Levin entre en scène. Buckazoid lui raconte ce qu’ils ont trouvé et Levin est TRÈS intéressé. Tellement intéressé qu’il sort 100 dollars de sa poche, une fortune en Russie à l’époque où le salaire moyen tournait autour de 50 dollars par mois et et achète toutes les infos : comment se connecter, les identifiants, les mots de passe, quels systèmes cibler, comment faire les virements.
Les hackers originaux ? Ils se barrent direct. La vente de ces infos les a fait flipper et ils disparaissent du réseau Citibank. Mais Levin, lui, il voit l’opportunité de sa vie. Depuis son appartement de Saint-Pétersbourg, avec un simple PC et une ligne téléphonique, il va monter le casse du siècle.
Alors entre fin juin et octobre 1994, Levin se met au boulot. Il se connecte au système Cash Manager de Citibank et commence à transférer de l’argent. Et pas n’importe comment, hein. Il a monté tout un réseau de complices : des comptes en Finlande, aux États-Unis, aux Pays-Bas, en Allemagne, en Israël et des mules qui vont récupérer le cash et le lui renvoyer.
Au total, il va effectuer environ 40 virements frauduleux. Des comptes de grosses entreprises américaines voient leur solde diminuer mystérieusement, l’argent part vers des comptes à l’étranger, disparaît dans la nature, et Citibank ne s’aperçoit de rien. Les clients non plus… en tout cas, au début.
Vladimir Levin au moment de son arrestation - Photo nettoyée par IA
Mais Levin devient gourmand. Trop gourmand. Au total, il va transférer 10,7 millions de dollars. Au prix du dollars aujourd’hui, ça fait plus de 22,7 millions avec l’inflation. Pas mal pour un admin système dans un pays où l’inflation galopait à 224% par an !
Le problème, c’est que bouger autant d’argent, ça finit par se voir et en juillet 1994, plusieurs clients corporate de Citibank remarquent que 400 000 dollars ont disparu de leurs comptes. Ils appellent la banque. Panique à bord !! Citibank lance alors une enquête interne et découvre l’ampleur du désastre.
Le FBI entre alors dans la danse et Steve Garfinkel est désigné comme agent responsable du dossier. Ils remontent la piste des virements, arrêtent les complices qui essaient de retirer l’argent. Une femme et son mari à San Francisco, un autre à Tel Aviv, un à Rotterdam. Et bien sûr, sous la pression, ils craquent et balancent tout. Tous les chemins mènent à Saint-Pétersbourg, à un certain Vladimir Levin d’AO Saturn.
Steve N. Garfinkel - L’agent du FBI en charge de retrouver Levin
Mais attraper Levin, c’est une autre paire de manches. Il est en Russie, pays qui n’a pas de traité d’extradition avec les États-Unis pour ce genre de crime informatique. Le FBI ne peut rien faire. Levin pourra couler des jours heureux à Saint-Pétersbourg avec ses millions (enfin, les 400 000 dollars jamais récupérés). Sauf que…
Mars 1995. Pour des raisons qui restent mystérieuses (certains disent qu’il avait une copine en Angleterre, d’autres qu’il voulait investir son argent à l’étranger), Levin décide de voyager. Il prend un vol Moscou-Londres avec une correspondance. Grosse, GROSSE erreur.
L’aéroport de Stansted où Levin fut arrêté
Le 3 mars 1995, quand son avion atterrit à l’aéroport de Stansted, Scotland Yard l’attend sur le tarmac. Les Américains avaient prévenu les Britanniques via Interpol et Levin est arrêté dans la zone de transit, menottes aux poignets. Game over.
S’ensuit une bataille juridique épique de 30 mois durant laquelle les avocats de Levin se battent bec et ongles contre son extradition. Ils plaident que les preuves sont insuffisantes, que leur client est victime d’une erreur judiciaire, que la juridiction américaine ne s’applique pas. Mais en juin 1997, la Chambre des Lords britannique rejette leur appel final. Direction les États-Unis.
Septembre 1997, Levin est alors extradé. Devant le tribunal fédéral de Manhattan à New York, il change alors de stratégie. Nous sommes en janvier 1998, et il plaide coupable pour un seul chef d’accusation : conspiration en vue de commettre des transferts de fonds frauduleux. Il admet avoir volé 3,7 millions de dollars (pas les 10,7 millions, notez bien).
Et en février 1998, la sentence tombe : 3 ans de prison fédérale et 240 015 dollars de dédommagement. Le juge a pris en compte le temps déjà passé en détention au Royaume-Uni.
Le tribunal fédéral Thurgood Marshall où Levin fut jugé
Trois ans pour ce qui est considéré comme le premier braquage bancaire en ligne de l’histoire. Aujourd’hui, ça paraît dérisoire, mais à l’époque, personne ne savait trop comment gérer ce nouveau type de criminalité. Pas de violence, pas d’arme, pas même d’entrée par effraction. Juste des électrons qui bougent d’un compte à l’autre via des lignes téléphoniques.
Ce qui est fascinant dans cette histoire, c’est à quel point elle était en avance sur son temps car en 1994, la plupart des gens ne savaient même pas ce qu’était un modem. Les modems 14.4k venaient juste d’arriver en 1991, les 28.8k en 1994 et l’idée qu’on puisse voler des millions depuis son salon paraissait être de la science-fiction. Pourtant, c’est exactement ce que Levin a fait.
L’impact du casse de Citibank a été énorme car pour la première fois, les banques ont réalisé qu’elles étaient vulnérables à un nouveau type de menace. Citibank a donc immédiatement mis à jour ses systèmes, introduisant les Dynamic Encryption Cards, des jetons physiques qui génèrent des codes aléatoires pour l’authentification. Un vrai mouvement pionnier dans la cybersécurité bancaire que d’autres banques ont suivi.
Un jeton de sécurité descendant direct des mesures prises après l’affaire Levin
Ce qui me fascine le plus dans cette histoire, c’est le contraste entre l’image publique et la réalité car les médias ont présenté Levin comme un génie maléfique, un super-hacker capable de pénétrer n’importe quel système mais la réalité c’est qu’il était juste un admin système opportuniste qui a acheté des infos à de vrais hackers pour 100 balles.
Les vrais héros techniques (ou anti-héros, selon votre point de vue) de cette histoire, ce sont ArkanoiD et sa bande car ces mecs ont passé plus d’un an à explorer les systèmes de Citibank, pas pour l’argent, mais par pure curiosité. Ils y ont découvert une faille monumentale, ont joué avec pendant six mois, puis ont tout lâché quand c’est devenu trop dangereux.
Comme je vous le disais au début de l’article, en 2005 ArkanoiD a publié son témoignage amer sur Provider.net.ru : “J’ai déjà essayé plusieurs fois de raconter cette histoire d’une manière ou d’une autre, et à chaque fois elle a été monstrueusement déformée.” puisque tous les articles parlaient de Levin le génie, personne ne mentionnait le vrai travail technique fait par son groupe.
C’est ça, la vraie histoire du casse de Citibank. Pas celle d’un génie solitaire, mais celle d’un écosystème : des hackers curieux qui trouvent une faille, un opportuniste qui l’exploite, un système bancaire pas préparé, et des autorités qui découvrent un nouveau monde.
Mais alors qu’est devenu Vladimir Levin aujourd’hui ? Et bien après sa sortie de prison en 2001, il a disparu. Certains disent qu’il vit en Lituanie sous une fausse identité. D’autres qu’il est retourné en Russie et travaille maintenant dans la cybersécurité. Personne ne sait vraiment. Et les 400 000 dollars jamais récupérés ?
Toujours dans la nature. Peut-être planqués dans un compte en Suisse, ou peut-être dépensés depuis longtemps…
Installez vous confortablement car cet article va être un peu long… Normal, il raconte l’histoire complètement dingue d’un gang de cybercriminels qui a littéralement fait muter un simple ransomware en startup façon Silicon Valley.
Conti, c’est l’histoire d’une organisation criminelle russe qui a généré 180 millions de dollars rien qu’en 2021, qui payait ses hackers avec des fiches de paie et des programmes “employé du mois” (si si, je vous jure), et qui s’est complètement vautrée après avoir choisi le mauvais camp dans la guerre contre l’Ukraine.
Bref, du jamais vu dans l’histoire du cybercrime !
L’écran de la mort version 2020 ou quand vos fichiers deviennent otages
Tout commence donc fin 2019, quelque part dans les bas-fonds numériques de Saint-Pétersbourg où un groupe de cybercriminels russes, déjà bien connus sous le nom de Wizard Spider (oui, “l’araignée magicienne”, ils ont pas cherché loin), décide qu’il est temps de passer à la vitesse supérieure.
Et ce ne sont pas des débutants, non, non, car depuis 2016, ils sont déjà derrière Ryuk, un ransomware qui a déjà rapporté la bagatelle de 150 millions de dollars et surtout TrickBot, l’un des botnets les plus vicieux au monde avec plus d’un million de machines infectées. Ce malware bancaire ultra-sophistiqué s’infiltre via des campagnes de phishing massives, vole vos identifiants bancaires, cartographie l’intégralité de votre infrastructure réseau, identifie les machines critiques, et prépare le terrain pour le déploiement du ransomware.
Mais avec Conti, ils veulent carrément industrialiser le crime.
Saint-Pétersbourg : ville des tsars, de Dostoïevski… et des cybercriminels millionnaires
Alors fin 2019, ils ont une super idée pour des criminels : Pourquoi se contenter d’attaques ponctuelles quand on peut créer le McDonald’s du ransomware avec des franchises ? C’est là que naît Conti et le principe est simple : transformer le ransomware en service (RaaS - Ransomware as a Service) comme ça au lieu de tout faire eux-mêmes comme des artisans à l’ancienne, ils vont recruter une armée d’affiliés qui feront le sale boulot de terrain, et tout le monde se partagera les bénéfices. C’est l’uberisation du crime, version russe.
Sauf que Conti va beaucoup plus loin que tous les autres gangs de ransomware car là où la plupart des groupes fonctionnent sur un modèle de commission classique (l’affilié garde 70-80% de la rançon, le reste va aux développeurs), Conti innove complètement puisqu’ils paient leurs affiliés avec un salaire fixe mensuel. Oui, un vrai salaire, avec des fiches de paie, des augmentations annuelles, et même des bonus de performance pour les meilleurs éléments. C’est la première fois dans l’histoire du cybercrime qu’on voit ça.
Et les documents qui ont fuité en 2022 (les fameux Contileaks, j’y reviendrais plus tard…) révèlent ainsi une organisation qui dépasse l’entendement. Des chasseurs de têtes russes parfaitement légitimes sont utilisés pour recruter de nouveaux “employés” sur des sites comme HeadHunter.ru (l’équivalent russe de LinkedIn). Les candidats passent des entretiens d’embauche en bonne et due forme, avec tests techniques et tout le tralala. Ils signent même des contrats (bon, évidemment pas super légaux) et intègrent des équipes ultra-spécialisées. Y’a l’équipe “pentest” qui s’infiltre dans les réseaux, l’équipe “crypto” qui gère les paiements Bitcoin et le blanchiment, l’équipe “négociation” qui discute avec les victimes, l’équipe “dev” qui améliore le ransomware, l’équipe “support” qui aide les affiliés en difficulté…
Ils ont même mis en place un programme “employé du mois” avec photo sur le mur virtuel et tout. Les meilleurs performers reçoivent ainsi des bonus en Bitcoin (entre 5 000 et 50 000 dollars selon les performances), des félicitations publiques sur leur chat interne Jabber, et des opportunités de “promotion”. Un hacker particulièrement doué peut ainsi gravir les échelons, et passer de simple “pentester” junior, à senior, puis à “team lead” avec une équipe de 5-10 personnes sous ses ordres, et enfin à “department head” avec des responsabilités stratégiques. C’est un crossover entre LinkedIn et Le Parrain.
Les salaires révélés dans les fuites donnent le vertige. Un débutant touche environ 1 500 à 2 000 dollars par mois (ce qui est très correct en Russie où le salaire moyen tourne autour de 700 dollars). Un expert confirmé peut monter jusqu’à 10 000 dollars mensuels. Les team leads touchent entre 15 000 et 20 000 dollars. Et les top managers ? On parle de 50 000 dollars par mois et plus. Tout ça payé en Bitcoin évidemment, via des mixers et des échanges décentralisés pour brouiller les pistes. Certains touchent même des “stock options” sous forme de pourcentage sur les futures rançons. Du jamais vu.
Le Bitcoin : la monnaie officielle du crime organisé 2.0
Maintenant, parlons du big boss de cette organisation criminelle 2.0 : Vitaly Nikolaevich Kovalev, 36 ans au moment des faits, connu sous une ribambelle de pseudos tels que “Stern” (son préféré), “Demon”, “Ben”, “Bergen”, “Vitalik K”, ou encore “Alex Konor”. Ce type est littéralement un fantôme numérique car pendant des années, absolument personne ne savait qui se cachait derrière ces pseudos. Même ses plus proches “collaborateurs” ne connaissaient que sa voix sur les chats vocaux chiffrés. Il dirigeait TrickBot et Conti depuis l’ombre, accumulant une fortune estimée par les autorités allemandes à plus de 500 millions de dollars en crypto. Un demi-milliard, vous vous rendez compte ?
Et Kovalev n’est vraiment pas votre hacker cliché en sweat à capuche. C’est un pur businessman du crime, un Steve Jobs du ransomware. Il a compris avant tout le monde que le cybercrime pouvait être organisé exactement comme une entreprise légitime du Fortune 500. Sous sa direction, Wizard Spider est ainski passé d’un petit groupe de hackers russes lambda à une organisation de plus de 150 membres permanents, avec des départements, des process ISO-compliant (j’exagère à peine), des KPIs, des dashboards de performance en temps réel, et même une charte d’entreprise (qui incluait bizarrement un code de conduite éthique, allez comprendre).
Vitaly Nikolaevich Kovalev alias Stern
Alors concrètement, comment fonctionne une attaque type de Conti ? Vous allez voir, c’est du grand art criminel, une chorégraphie millimétrée.
Phase 1 : l’infection initiale. Soit via TrickBot (leur botnet historique), soit via BazarLoader (la version 2.0), soit carrément via des campagnes BazarCall où des call centers indiens appellent les victimes en se faisant passer pour Microsoft. “Bonjour, nous avons détecté un virus sur votre ordinateur, laissez-nous vous aider.” Vous connaissez, c’est classique mais ça marche encore.
Une fois TrickBot installé, le malware fait son boulot de reconnaissance. Il mappe le réseau avec la précision d’un chirurgien : identification des contrôleurs de domaine, des serveurs de sauvegarde, des bases de données critiques, des partages réseau, des comptes à privilèges. Cette phase peut durer des semaines, voire des mois. Les hackers sont patients, méthodiques. Ils utilisent des outils légitimes comme ADFind ou SharpView pour passer sous les radars. Tout est documenté dans des rapports détaillés envoyés à l’équipe d’analyse.
Phase 2 : l’escalade de privilèges et le mouvement latéral. C’est là que Cobalt Strike entre en jeu. Ah, Cobalt Strike… Initialement un outil légitime de pentest à 3 500 dollars la licence, devenu l’arme préférée des cybercriminels. Les versions crackées circulent sur tous les forums underground russes. Conti utilise des configurations custom avec des profils de communication qui imitent le trafic légitime de Google ou Microsoft, leur donnant un contrôle total : exécution de commandes, keylogging, captures d’écran, pivoting, tout y passe.
Et les hackers désactivent méthodiquement toutes les défenses. Windows Defender ? Désactivé via GPO. EDR d’entreprise ? Contourné ou carrément supprimé. Sauvegardes ? Effacées ou chiffrées en premier. Ils utilisent même des techniques d’évasion ultra-sophistiquées : injection de processus, DLL hollowing, obfuscation PowerShell…
Phase 3 : le déploiement du ransomware. Et là, c’est du brutal car Conti est programmé pour chiffrer un maximum de données en un minimum de temps. On parle de 32 threads parallèles qui tournent à plein régime, capable de chiffrer 100 000 fichiers en moins de 10 minutes. Et l’algorithme, c’est du solide : AES-256 pour les fichiers (avec une clé unique par fichier), puis RSA-4096 pour chiffrer les clés AES. Mathématiquement incassable sans la clé privée. Les versions récentes sont passées à ChaCha20 pour gagner encore en vitesse et ainsi, en quelques heures, parfois minutes sur les petits réseaux, tout le système d’information d’une entreprise est foutu.
Mais Conti ne se contente pas de chiffrer vos données. Non non, ce serait trop simple. Avant de lancer le ransomware, ils exfiltrent des téraoctets d’informations sensibles via rclone ou MegaSync. Contrats, données clients, secrets industriels, emails compromettants, tout y passe. Comme ça, si la victime refuse de payer, ils menacent de publier ces données sur leur site “Conti News”, accessible uniquement via Tor. C’est ce qu’on appelle la “double extorsion” : vous payez pour récupérer vos données ET pour éviter qu’elles soient publiées. Certaines victimes ont même subi une “triple extorsion” avec des attaques DDoS en prime si elles traînent trop.
Double extorsion : Si vous ne payez pas, vos données finissent ici (ou pas si elles ont été vendues)
Et les montants des rançons donnent le tournis. En moyenne, Conti demande entre 500 000 et 5 millions de dollars, avec une médiane autour de 800 000 dollars. Mais pour les grosses entreprises ou les gouvernements, ça peut monter beaucoup, beaucoup plus haut. Le Costa Rica s’est par exemple vu réclamer 10 millions initialement, puis 20 millions quand ils ont refusé. Certaines multinationales auraient même payé des rançons à huit chiffres… je vous parle de 20, 30, voire 40 millions de dollars. La plus grosse rançon confirmée est de 34 millions de dollars payés par une compagnie d’assurance américaine (dont le nom n’a jamais fuité).
Le “département négociation” de Conti, c’est aussi du grand art en matière de manipulation psychologique. Des négociateurs sont formés aux techniques de persuasion avancées… Ils alternent menaces voilées et fausse empathie, jouent sur l’urgence ("chaque jour de retard coûte 100 000 dollars supplémentaires"), proposent des “réductions” pour paiement rapide ("payez dans les 48h et on vous fait 40% de remise, offre limitée !"). Certains se font même passer pour des “consultants indépendants en cybersécurité” qui peuvent “aider” la victime à sortir de cette situation délicate. Ils fournissent même des tutoriels détaillés pour acheter des bitcoins, c’est dire le niveau de “service client”.
Et les victimes de Conti, c’est un who’s who du malheur numérique… Hôpitaux, universités, municipalités, entreprises du CAC 40… Personne n’est épargné. J’en veux pour preuve l’attaque contre le Health Service Executive (HSE) irlandais en mai 2021 qui restera dans les annales avec 80% du système informatique du service de santé national irlandais paralysé du jour au lendemain. 54 des 58 hôpitaux existants ont été touchés. Les médecins obligés de revenir au papier et au stylo, les IRM et scanners hors service, les dossiers patients inaccessibles, des opérations chirurgicales reportées, des chimiothérapies retardées, des ambulances détournées. Bref, un chaos total qui a duré des semaines.
Et le coût total pour l’Irlande ? Plus de 100 millions d’euros en dommages directs, et potentiellement 600 millions en incluant la remédiation et le renforcement de la sécurité. Et tout ça pourquoi ? Parce que le HSE a courageusement refusé de payer les 20 millions de dollars de rançon demandés. Respect pour le principe, mais la facture finale a fait mal. Très mal.
Et des mois après l’attaque, certains systèmes n’étaient toujours pas restaurés.
Quand les ransomwares s’attaquent aux hôpitaux, ce sont des vies qui sont en jeu
Mais l’attaque la plus spectaculaire, celle qui restera dans les livres d’histoire, c’est l’assaut contre le Costa Rica en avril-mai 2022 dont je vous parlais juste avant. Le 17 avril, premier coup de semonce : le ministère des Finances costaricain est frappé. Les systèmes de déclaration d’impôts et de douanes sont KO. Puis c’est l’escalade… ministère du Travail le 27 avril, puis Sécurité sociale, Sciences et Technologies, Fonds de développement social… Et en quelques semaines, c’est 27 institutions gouvernementales qui sont touchées, dont 9 complètement paralysées. Le pays ne peut littéralement plus fonctionner.
Face à cette cyberattaque d’une ampleur sans précédent, le président Rodrigo Chaves n’a alors pas d’autres choix et le 8 mai 2022, il fait une déclaration historique : État d’urgence national pour cause de cyberattaque. C’est la première fois dans l’histoire de l’humanité qu’un pays entier se retrouve en état d’urgence à cause de hackers. L’économie est paralysée, les exportations bloquées (le Costa Rica exporte pour 12 milliards de dollars par an), et les services publics à l’arrêt complet. Les experts estiment que chaque jour de crise coûte 30 à 38 millions de dollars au pays et en 3 semaines, cela représente près d’un milliard de dollars de pertes.
Costa Rica : première nation victime d’une cyber-guerre déclarée
Mais Conti ne s’arrête pas là. Dans un délire mégalomaniaque total, ils appellent carrément au renversement du gouvernement costaricain ! Sur leur site accessible via Tor, ils publient ceci : “Nous avons décidé de renverser le gouvernement par cyberattaque, nous avons nos raisons. Nous demandons aux citoyens du Costa Rica de faire pression sur leur gouvernement, sinon nous continuerons nos attaques.” Du jamais vu. Un gang de ransomware qui se prend pour une force révolutionnaire et menace la stabilité d’un État souverain. On n’est plus dans le cybercrime, on est dans le cyberterrorisme d’État.
La réaction internationale est alors immédiate. Le Département d’État américain sort l’artillerie lourde avec 15 millions de dollars de récompense : 10 millions pour des informations sur l’identité et la localisation des leaders de Conti, 5 millions supplémentaires pour toute info menant à des arrestations. C’est la plus grosse prime jamais offerte pour des cybercriminels, dépassant même certaines primes pour des terroristes. Le FBI mobilise des dizaines d’agents, Interpol émet des notices rouges, bref c’est une énorme chasse à l’homme qui démarre.
10 millions de dollars - Quand ta tête vaut plus cher qu’un yacht de luxe
Et pendant ce temps, c’est business as usual chez Conti. Les fuites qui ont eu lieu après coup en 2022 révèlent des conversations internes absolument surréalistes. On découvre le quotidien banal du crime organisé moderne. “Mango se plaint que son équipe pentest n’est pas assez productive, il demande l’autorisation de virer Tortik”, “Stern veut un rapport détaillé sur les métriques du Q3 avant jeudi”, “Professor organise une formation obligatoire lundi sur les nouvelles techniques d’évasion EDR”, “Le département compta signale un retard dans le paiement des salaires de novembre à cause de la volatilité du Bitcoin”… On se croirait dans les emails corporate de n’importe quelle entreprise, sauf qu’on parle de criminels qui détruisent des vies.
Et leurs problèmes RH sont particulièrement savoureux. Un manager se plaint : “Les devs veulent tous passer sur l’équipe crypto parce que c’est mieux payé, mais j’ai besoin d’eux pour patcher le ransomware !” Un autre : “Bentley a encore raté le daily standup ce matin, c’est la 3ème fois ce mois-ci, on fait quoi ?” Ou encore : “Les nouveaux refusent de bosser le weekend sans prime, c’est n’importe quoi, de mon temps on était motivés !” Y’a même des discussions sur la mise en place d’un système de congés payés et de RTT. Du grand n’importe quoi.
Les documents fuités incluent leur fameux “playbook”, le manuel d’opération intégral donné aux nouveaux affiliés. 435 pages en russe (les fuites contenaient plusieurs versions) qui détaillent absolument tout : Comment utiliser Cobalt Strike (avec une licence crackée fournie), comment identifier les cibles prioritaires dans un Active Directory, les 10 commandements de la négociation de rançon, comment blanchir les bitcoins via Monero, les erreurs de débutant à éviter… C’est tellement détaillé et bien fait qu’un amateur motivé pourrait suivre les instructions et lancer une attaque ransomware professionnelle.
Le playbook révèle également leur arsenal technique complet. Outre l’incontournable Cobalt Strike, on y trouve : Metasploit et Armitage pour l’exploitation, BloodHound et SharpHound pour mapper l’AD, Mimikatz et LaZagne pour les mots de passe, PrintNightmare et ZeroLogon pour l’escalade de privilèges, rclone et WinSCP pour l’exfiltration… Ils ont même développé leurs propres outils custom : ContiLocker (le ransomware), ContiLeaks (pour l’exfil), ContiNegotiator (un chatbot pour les négociations !). Une vraie usine à malwares.
Cobalt Strike 4.3 en version crackée par Conti
Et les vulnérabilités exploitées sont soigneusement cataloguées avec leur niveau de fiabilité. ZeroLogon (CVE-2020-1472) : “Fonctionne dans 95% des cas, privilégier sur les DC Windows 2012-2019”. PrintNightmare (CVE-2021-34527) : “Excellent pour l’escalade locale, attention aux patchs de juillet 2021”. ProxyShell/ProxyLogon : “Cible Exchange, très efficace, permet installation directe du webshell”. EternalBlue (MS17-010) : “Vieux mais gold, encore présent sur 30% des réseaux”. Ils ont même un système de notation des exploits de 1 à 5 étoiles, comme sur Amazon.
Mais ce qui ressort le plus des fuites, c’est aussi cet aspect “corporate dystopique” de l’organisation. Les discussions sur les augmentations de salaire ("Rescator mérite ses 8000$/mois, il a ramené 3 grosses victimes ce trimestre"), les formations obligatoires ("Rappel : webinar sur OPSEC jeudi 15h heure de Moscou, présence obligatoire"), les conflits entre équipes ("L’équipe de Baget refuse de partager ses accès avec nous, c’est du sabotage"), les réorganisations ("Suite au départ de Tramp, fusion des équipes Pentest-1 et Pentest-3")… C’est The Office version cybercrime.
Y’a même des discussions hallucinantes sur la “culture d’entreprise”. Un manager RH propose d’organiser des “team buildings virtuels” pour améliorer la cohésion. Un autre suggère de créer un channel #random sur Jabber pour que les employés puissent “socialiser” et parler d’autre chose que de crime. Quelqu’un propose même d’organiser un tournoi de CS:GO inter-équipes. “Ça renforcera l’esprit de compétition saine”, dit-il. On croit rêver…
Mais tout ce bel édifice criminel va s’effondrer comme un château de cartes le 25 février 2022 car ce jour-là, c’est le lendemain de l’invasion russe en Ukraine, et Conti commet l’erreur fatale qui va signer son arrêt de mort. Ils publient sur leur site un communiqué de soutien inconditionnel à la Russie : “Le groupe Conti annonce officiellement son soutien total au gouvernement russe. Si quelqu’un décide d’organiser une cyberattaque ou toute activité de guerre contre la Russie, nous utiliserons toutes nos ressources pour riposter sur les infrastructures critiques de l’ennemi.”
En une phrase, ils viennent de politiser leur business et de se mettre une cible géante sur le dos.
Et la réaction ne se fait pas attendre puisque le 27 février, à peine 48 heures plus tard, un compte Twitter anonyme @ContiLeaks commence à balancer. Et pas qu’un peu. Le leaker signe chaque message “Slava Ukraini!” (Gloire à l’Ukraine). Il s’agit d’un membre ukrainien du groupe, révolté par la prise de position pro-Kremlin, qui décide alors de tout balancer. Un véritable Snowden du crime organisé. Et il a accès à TOUT.
L’ampleur de la fuite est absolument monumentale. 60 694 messages internes, soit 393 fichiers JSON compressés. Des conversations qui s’étalent de janvier 2021 à février 2022. Plus de 100 000 fichiers au total incluant le code source, les manuels, les outils, les bitcoins wallets, les vrais noms… C’est Wikileaks puissance 10. Les experts en sécurité parlent immédiatement des “Panama Papers du ransomware”. Jamais dans l’histoire du cybercrime on n’avait eu accès à autant d’informations internes sur un groupe criminel en activité.
ContiLeaks : quand 60 000 messages privés deviennent publics
Et les révélations sont absolument explosives. On découvre par exemple les liens avec le FSB russe (une conversation d’avril 2021 mentionne explicitement un financement FSB et leur intérêt pour des documents Bellingcat sur Navalny). On apprend les vrais noms derrière les pseudos. Les montants exacts des rançons (2,7 millions payés par Broward County, 1,1 million par Advantech, 5,5 millions par JBS…). Les disputes internes ("Pumba a volé 50k$ de la cagnotte commune", “Target refuse de payer sa part au développeur”). Les techniques secrètes. Les victimes non déclarées et les projets futurs, notamment qu’ils préparaient “Conti 2.0” avec des capacités de ver auto-réplicant. Un trésor pour les enquêteurs.
On découvre aussi des anecdotes croustillantes qui montrent le côté humain (si on peut dire) de ces criminels. Un membre se plaint d’avoir touché seulement 15 000 dollars pour une attaque qui a rapporté 2 millions ("C’est de l’exploitation !" dit-il). Un autre raconte comment il a failli se faire griller par sa femme qui a trouvé bizarre ses horaires décalés et ses revenus inexpliqués. Un troisième demande des conseils fiscaux : “Comment je déclare 500k$ de gains crypto sans me faire gauler ?” Les réponses sont hilarantes : “Dis que t’as investi dans le Dogecoin mdr”.
Les fuites révèlent également l’ampleur financière vertigineuse de l’opération. En 2021 uniquement, Conti a généré 180 millions de dollars de revenus bruts. Les analyses blockchain des wallets exposés montrent des mouvements de fonds massifs. Un transfert de 85 000 dollars de “Stern” vers “Mango” pour payer les salaires de décembre. 2,3 millions transférés vers un mixer Monero en une seule transaction. Des dizaines de wallets avec des soldes à 6 ou 7 chiffres. La fortune totale du groupe est estimée à plus de 2 milliards de dollars en crypto au moment des fuites.
Les analystes découvrent que ces 180 millions se répartissent ainsi : environ 30% (54 millions) pour le “core team” Conti, 70% (126 millions) redistribués aux affiliés et employés. Mais attention, c’est du brut. Après les coûts opérationnels (infrastructures, corruption, blanchiment qui coûte 20-30%), le profit net du groupe tourne autour de 30-40 millions par an. Pas mal pour une “startup” criminelle de 150 personnes.
Malgré l’hémorragie des fuites, Conti tente alors de continuer. Le leaker ukrainien publie de nouvelles conversations “fraîches” en mars, montrant la panique interne. Les membres s’accusent mutuellement d’être la taupe, la paranoïa explose. “C’est forcément quelqu’un du département négociation”, “Non, ça vient de l’équipe dev, ils ont accès à tout”, “Je parie sur ce fdp de Hardy, il a toujours été louche”. Certains membres clés disparaissent du jour au lendemain. L’ambiance devient toxique, irrespirable.
Les autorités mondiales profitent alors de ce chaos pour resserrer l’étau et le 10 février 2023, les États-Unis et le Royaume-Uni frappent fort avec des sanctions contre 7 Russes identifiés grâce aux fuites : Gel des avoirs, interdiction de transactions, inscription sur les listes noires internationales. Les banques crypto commencent à bloquer les adresses liées à Conti. Même les exchangers louches du darknet refusent de toucher à leurs bitcoins. La pression devient insoutenable.
Et le 19 mai 2022, c’est fini. Les sites de Conti disparaissent d’Internet. Le blog “wall of shame” qui listait les cibles, le site de négociation, les serveurs C2, toute l’infrastructure publique s’évanouit en quelques heures. Le leader du chat interne poste un dernier message : “C’était un honneur de servir avec vous. Bonne chance pour la suite.” Puis plus rien. Après deux ans et demi d’activité, après avoir généré des centaines de millions et causé des milliards de dégâts, le rideau tombe sur Conti. Une chute spectaculaire pour celui qui fut le roi incontesté du ransomware.
Mais est-ce vraiment la fin ? Les experts sont unanimes : Non.
Wizard Spider n’a pas disparu, il s’est juste dispersé façon puzzle. En effet, des analyses post-mortem suggèrent que Conti s’est fragmenté en au moins une dizaine de nouveaux groupes. Black Basta (qui cartonne depuis mi-2022), Royal/BlackSuit, Karakurt, BlackByte, et d’autres opérations sans nom. C’est l’hydre de la mythologie… tu coupes une tête, dix repoussent. Sauf qu’au lieu d’une organisation centralisée, on a maintenant une constellation de groupes autonomes, plus petits, plus agiles, plus difficiles à traquer.
Les anciens de Conti ont aussi essaimé dans l’écosystème criminel global. On retrouve leurs techniques, leurs outils, leur philosophie dans des dizaines d’autres opérations. LockBit a recruté plusieurs ex-Conti. ALPHV/BlackCat compte d’anciens négociateurs Conti dans ses rangs. Le playbook Conti est devenu la bible du ransomware moderne, téléchargé et étudié par tous les apprentis cybercriminels. L’héritage de Conti vit, se transforme, mute. Comme un virus.
Quant à Vitaly Kovalev, le mystérieux cerveau derrière toute l’opération ? Et bien il court toujours. Les autorités allemandes ont confirmé son identité en 2024 et estiment qu’il vit quelque part entre Moscou et Saint-Pétersbourg. Avec sa fortune en crypto estimée à 500 millions de dollars minimum (probablement plus proche du milliard aujourd’hui avec la hausse du Bitcoin), il a les moyens de rester planqué très longtemps. Nouveaux papiers, chirurgie esthétique, protection rapprochée, résidences multiples… La Russie n’extradant pas ses citoyens, surtout quand ils ont possiblement des liens avec les services, alors Kovalev peut dormir tranquille. Pour l’instant.
Moscou - Le refuge doré des cybercriminels milliardaires
Du coup, qu’est-ce qu’on retient de cette histoire de dingue ?
D’abord, le cybercrime s’est professionnalisé à un niveau qu’on n’imaginait même pas. Ces groupes fonctionnent exactement comme des multinationales, avec leurs process, leurs KPIs et leurs départements spécialisés. Mais le plus inquiétant, c’est qu’ils se politisent… ils prennent position dans des guerres, menacent de renverser des gouvernements démocratiques et entretiennent des liens avec les services de renseignement. On est passé du simple banditisme numérique à une forme de guerre hybride où les criminels deviennent des mercenaires numériques.
Les dommages causés par Conti donnent également le vertige. On parle de minimum 2 milliards de dollars en dégâts directs, mais si on ajoute l’indirect, on monte facilement à 10 milliards. Des hôpitaux ont été paralysés, des PME ont mis la clé sous la porte, des infrastructures critiques ont été fragilisées. L’impact va bien au-delà du financier. Et le modèle RaaS qu’ils ont perfectionné a complètement changé la donne. Aujourd’hui, n’importe quel apprenti hacker peut louer un ransomware sur le darknet et lancer des attaques. C’est l’uberisation totale du cybercrime, et cette accessibilité fait froid dans le dos.
Heureusement, les entreprises ont tiré des leçons. Les budgets cybersécurité ont explosé, dépassant les 200 milliards en 2024, et les bonnes pratiques comme les sauvegardes 3-2-1 se généralisent. Mais c’est une course sans fin car les nouveaux groupes issus de Conti utilisent déjà l’IA, achètent des 0-days et corrompent des employés en interne.
Paradoxalement, les fuites de Conti ont aussi été une aubaine pour la communauté InfoSec car pour la première fois, on a pu étudier de l’intérieur le fonctionnement d’un gang majeur de cybercriminels, ce qui a permis de développer de nouvelles défenses et de procéder à plusieurs arrestations. Mais ces fuites ont aussi révélé la fragilité de ces empires criminels : un seul membre mécontent et une déclaration politique mal placée ont suffi à faire s’écrouler toute l’organisation.
L’histoire de Conti restera comme le moment où des hackers anarchistes sont devenus des businessmen, où le ransomware est passé de l’artisanat à l’industrie lourde, et où la cybercriminalité s’est dangereusement mêlée de géopolitique. Et pendant ce temps, Stern sirote probablement un cocktail sur une plage de Sotchi, consultant le cours de ses +500 millions en crypto tout en se moquant de ceux qui le cherchent encore. Le crime paie, très bien même. Du moins, tant qu’on évite de tweeter son soutien à Poutine.
Alors la prochaine fois que votre équipe IT vous tanne pour une mise à jour, souvenez-vous qu’il existe des organisations criminelles avec des centaines d’employés et des millions en R&D, dont le seul but est de transformer votre infrastructure en machine à bitcoins.
Un lanceur d’alerte anonyme, « GangExposed », publie une fuite inédite sur les chefs du groupe de ransomware Conti/Trickbot. Pour la première fois, des preuves visuelles, des documents financiers et des détails sur leur vie quotidienne à Dubaï viennent appuyer des identités déjà connues des autorités, bouleversant la traque internationale de ces cybercriminels.
Connexion
