L’attaque informatique contre #Edenred en cachait une autre, et c'est un volet de l'histoire que ne connaissait pas #cybercrime

Un copycat est suspecté d'avoir voulu tirer profit de la panique chez Tickets restaurants, en novembre 2019, pour empocher sa part de la rançon. Rappelez vous, Edenred était alors victime d'un ransomware.

Une pratique visiblement pas inédite

Antoine (le prénom a été changé) , 30 ans, a donc comparu devant le tribunal correctionnel de Paris pour cette affaire lundi dernier.

On lui reproche des faits d'escroquerie (contre Edenred), et d'abus de confiance contre Microsoft (son ancien employeur, appelé à la rescousse pour faire face à la cyberattaque initiale).

La défense d'Antoine? La nouvelle demande de rançon est trop bas de gamme par rapport à son niveau.

"Commettre ce genre d’erreur, par rapport au niveau que je possède aujourd’hui, c’est comme aller [braquer] une banque avec sa voiture personnelle".

"Il n’y a pas eu de réseau privé virtuel utilisé pour masquer l’adresse IP. Et faire cela depuis un lieu où je suis tout seul et avec un ordinateur de travail, c’est quand même bête.”

Au contraire, les enquêteurs de la Befti estiment avoir trouvé assez d'éléments pour confondre Antoine. Ce dernier était chargé d'inspecter l'active directory d'Edenred pendant la crise.

Quels sont les éléments contre Antoine? L’adresse IP enregistrée le 29 novembre 2019 lors de la création du mail utilisé pour la nouvelle demande de rançon, correspond à la salle de réunion d’un imprimeur rennais, Jouve, où Antoine effectuait une nouvelle mission.

Antoine est le seul des quatre personnes présentes ce jour-là dans cette salle à s’être branché au réseau internet filaire. Le mail de récupération de l’adresse Protonmail (utilisé pour la demande de rançon) , renvoie également à un compte gmail créé en 2005 par Antoine.

Quant au chiffre 716, utilisé dans l'email de demande de rançon, il est utilisé fréquemment par le prévenu pour d’autres alias sur le net: il correspond au mois et jour de naissance de sa mère.

"Ce n’est pas un faisceau d’indices, mais des preuves multiples et répétées, résume la vice-procureure Alice Cherif. Il a cru qu’il serait protégé en en utilisant une messagerie Protonmail”.

Antoine estime lui avoir été victime d'un piratage informatique pendant sa pause déjeuner - il explique qu'il regardait alors des vidéos sur netflix.

“Mais qui pourrait vous en vouloir?”, demande l'un des juges rapporteurs.

“Je ne sais pas. Peut-être que ce n’est pas vraiment moi la cible, ou même Microsoft. Nous avons accès à tout un panel de clients.”

Le jugement a été mis en délibéré pour début novembre. Microsoft et Edenred ont eux fait les comptes, et la facture est salée. La nouvelle tentative d'extorsion est évaluée à 219000 euros pour Edenred, 330000 euros pour Microsoft.

Microsoft n'a d'ailleurs pas tout facturé à son client, compte tenu de la mise en cause de son ancien employé.

Ce qui inspire ce commentaire ironique à la défense, Me Guglielmi. "Que Microsoft ait offert quelque chose une fois dans sa vie, cela les honore.”

A retrouver mon compte rendu de cette audience sur @Dalloz dalloz-actualite.fr/flash/l-attaqu…

A noter également le papier bilan de @Challenges sur J3 pour le départ d'Alice Cherif challenges.fr/high-tech/comm…