Un inconnu vous donne 500 euros en bas de chez vous en vous promettant de gagner beaucoup d'argent en Suisse, vous y croyez? #cybercrime#sanofi
C'est ce que a expliqué dans un premier temps Louis P., arrêté le 20 juillet par la police suisse avec trois autres personnes dans une enquête conduite par les enquêteurs de la DGSI.
Il y a quatre ans, c'est la panique dans les bureaux de l'industriel #Sanofi. La directrice de la communication du géant du big pharma a reçu un drôle d'appel, ce 11 avril 2016.
Au téléphone, une personne assure détenir 5 tera-octets de données confidentielles de Sanofi. Le lendemain, la firme reçoit un nouveau mail précisant que la divulgation de ces données pourraient avoir un retentissement mondial.
#Sanofi dépose aussitôt plainte. Mais les investigations techniques font chou blanc. La personne qui menace l'entreprise utilise un mécanisme d'anonymisation robuste (Tor en l'occurence).
"Il ne s’agirait pas de faire une mauvaise publicité" à l'entreprise, suggère le maître-chanteur, qui invite Sanofi à réfléchir au montant d’une compensation financière.
Faisant mine d'accéder à la demande, Sanofi accepte le principe d'un échange en Suisse: une mallette doit être remise en échange de la promesse de la destruction des données. Mais patatras. Quatre personnes seront arrêtées ce jour-là à Genève. C'est la fin du 1er acte.
En épluchant les CV des quatre personnes arrêtées (trois hommes et une femme, des franciliens), les enquêteurs réalisent que l'un d'entre eux a travaillé pour l'un des sous-traitants informatiques de Sanofi il y a quelques années.
Les enquêteurs retrouveront également chez lui une ébauche de lettre de chantage ressemblant à l'email envoyé à Sanofi. Il s'agit de Louis P., qui est depuis le principal suspect dans cette affaire.
Aux enquêteurs, Louis P. livre un récit rocambolesque. Il aurait été contacté par un inconnu dans cette histoire (les 500 euros en bas de chez lui)., on lui aurait remis des téléphones pour communiquer...
Finalement, il reviendra sur cette version, ce qui lui vaut aujourd'hui d'être poursuivi pour tentative d'extorsion (312-9 CPP) et détention frauduleuse de données (323-3 CPP), des délits passibles respectivement de 7 ans et 5 ans d'emprisonnement et de 100 KE et 150 KE d'amende.
Le tribunal judiciaire de Paris juge aujourd'hui et demain cette histoire. Si les carottes semblent cuites pour Louis P., les trois autres participants au rendez-vous jouent gros.
Étaient-ils au courant de la tentative d'extorsion ou, comme ils l'indiquent, ne savaient rien de cette histoire. "Je ne faisais que suivre dans cette histoire", dit ainsi par exemple Yoto. C'est lui qui est sorti de la voiture pour accompagner Louis P. à la remise de la mallette
Comme le remarque la présidente, qui ne semble pas une adepte de la route, "il y a plus fun à faire que de faire de l'autoroute à quatre et à aller manger au McDo" #venezcommevousetes
Le premier comparse interrogé est mis en difficulté par les différentes questions. "Même pour visiter la Suisse dix minutes, je voulais faire ce voyage", explique-t-il sans convaincre
Il avait fait savoir à son employeur qu'il devait s'absenter pour inscrire son fils au lycée
Le tribunal poursuit avec l'interrogatoire du second prévenu, de Chelles, venu donner son coup de main en tant que conducteur pour ce voyage en Suisse
"Quand on me demande un service, j'ai du mal à dire non", répond il à la présidente qui le questionne sur l'opportunité de venir à quatre pour un simple entretien d'embauche
S'il a menti à sa femme sur le motif du voyage (acheter une voiture), c'est pour éviter une scène de jalousie. "De la jalousie alors que vous partez avec deux hommes et l'épouse de l'un d'eux? C'est un peu n'importe quoi", s'étrangle un assesseur.
Après une interruption d'audience, le tribunal reprend avec l'interrogatoire de la compagne du principal prévenu.
Rappel pour ceux qui viennent d'arriver : quatre franciliens sont jugés pour avoir tenté d'extorquer 900000 euros à Sanofi, une somme à remettre en échange de 5 TO de données confidentielles
Après deux témoignages pas tes crédibles, celui de la compagne de l'informaticien, principal prévenu, est plus carré.
Son compagnon ? Quelqu'un de très secret, qui ne dit pas ce qu'il gagnait. Pour le voyage en Suisse, il explique qu'il doit être payé là bas pour un job déjà fait
"J'étais stressée, je voulais rentrer chez moi et retrouver les enfants." De l'aéroport de Genève, la petite équipe va au centre ville, soit quelques changements de programme avant le rdv (et l'interpellation) finale
Elle est questionnée sur une réponse ambigüe à un SMS (elle alors seule dans la voiture lors du rdv)
- Donc vous ne saviez pas ce qu'il se passait ? Que c'était un rdv pour une extorsion au préjudice de Sanofi?
- Non
- Pourquoi Grahon Y. (Un des quatre prévenu) dit que vous étiez très active dans ces échanges par SMS?
- Je suis étonnée
- Cela ne vous pas interpellé de venir à quatre à ce rdv en Suisse?
- Je ne me suis pas posée de questions, mon compagnon n'a jamais été louche auparavant (c'est l'une des particularités de cette tentative d'extorsion : les quatre prévenus n'ont pas le profil "Grand banditisme")
Un avocat de la partie civile, puis le parquet tentent de pousser la prévenue dans ses retranchements.
- A quoi serviez vous dans ce voyage en Suisse, alors que votre enfant est malade ?
- Pour voir ce qu'il se passe. Je suis comme une deuxième maman, je suis la voix de la raison
Les trois prévenus sont tous appelés pour répondre aux questions de la présidente sur l'exploitation des téléphones.
Grahon a ainsi reçu 16 appels les jours précédents le voyage, alors qu'il explique avoir été retrouvé à #Persan par l'informaticien juste avant le départ en Suisse
L'informaticien est appelé à la barre
Ce dernier a été recruté par une société d'intérim, pour la #ssii Neurones, chargée de faire une migration informatique pour Sanofi
Son boulot? Déballer des cartons et faire de la migration de données. En faisant des sauvegardes pour avancer sur son travail
Premier problème : pour se faire embaucher, il utilise l'identité de son frère en falsifiant la photo d'une carte d'identité
"Quand j'ai quitté la société Sanofi, je n'avais plus les données en ma possession. Vous avez pu retrouver des traces, mais pas les 5 tera évoqués"
On arrive au plus intéressant. Les enquêteurs ont retrouvé dans les exploitations informatiques:
- une ébauche de lettre de chantage
- des fragments de fichiers qui ressemblent à la liste du fichier de fichiers envoyé à Sanofi
- un identifiant qwerty1248 correspondant à un autre retrouvé dans les métas données de fichiers envoyés par le maître chanteur
- un vpn, tor, dix conteneurs et deux partitions chiffrées non examinées par les enquêteurs
- Pourquoi ces logiciels?, demande la présidente
- Quand on lit qu'on est fliqués par la NSA...
- C'est la théorie du complot?
- Non, allez voir @bfmbusiness
Le prévenu reconnaît la tentative d'extorsion, l'envoi des lettres, mais pas le fait d'avoir conservé des données de Sanofi. Une précision importante au vu de l'amende prévue dans ce dernier cas
Le prévenu s'apprête à dire encore quelque chose. "Je crois que vous avez tout dit", le coupé son avocat. Suspension de l'audience et fin de ce live tweet, merci de l'avoir suivi
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Vous avez peut-être vu passer ce rocambolesque récit d'un hacker français pourchassé par la CIA. Waouh, les supers espions de Langley sur la piste d'un simple ado, c'est vraiment une belle histoire. Sauf que... Spoiler alert: ce narratif semble creux.
Reprenons cette histoire dans le détail:
"« À 15 ans, j'ai basculé dans la cybercriminalité » : les confessions d'un hackeur démasqué par la CIA" (@le_Parisien )
"Cyberattaque : Florent Curtet, le hacker surdoué redouté par la CIA" (@Francetele)
Il y a deux entrées pour ce sujet sur le site de @franceinfo, l'autre est titrée ainsi: "Cyberattaque : le témoignage exclusif d'un hacker français qui affolait la CIA". "Avant d'être rattrapé par la CIA, un hacker français a longtemps échappé à la police", est-il précisé.
Vincent Strubel, le patron de l' @ANSSI_FR, a fait ce matin sa deuxième apparition devant la presse depuis sa prise de fonctions au début de l'année, un petit récap'
S'inscrivant dans la continuité de son prédécesseur Guillaume Poupard, Vincent Strubel a insisté sur plusieurs défis et chantiers structurants.
C'est celui de la massification de l'aide apportée. Il s'agit d'élargir la cible des solutions de l'Anssi en ne laissant plus d'angle mort (particuliers, petites entreprises, etc).
La cyberguerre vue de Russie. RIA Novosti signale que les black hat de RaHDIt ont identifié des russes travaillant avec le renseignement militaire ukrainien ria.ru/20220718/razve…
On n'échappe pas à certains éléments de langage. Toujours selon RIA Novosti, le même groupe aurait doxé la semaine d'avant des agents ukrainiens de la direction du renseignement, avec "parmi eux des toxicomanes" et autres repris de justice
Affaire Alexander Vinnik, épisode 74538. "M. Bitcoin", qui vient de purger sa peine en France (affaire du rançongiciel Locky) vient de se voir signifier en France le mandat d'arrêt émis à son encontre par les Etats-Unis.
Ce matin, je vous parle dans @LaLettreA du futur départ du patron de l’@ANSSI_FR Guillaume Poupard. C’est un important événement dans la cybersécurité: un petit thread pour marquer le coup ⤵️ lalettrea.fr/action-publiqu…
(Info d'abord partiellement mentionnée par @Challenges dans ses indiscrets qui relevait que le directeur général de l'Anssi n'allait pas demander le renouvellement de son mandat en 2023)
L’ingénieur général de l’armement était en poste depuis huit ans et incarnait la cyber française. Quel bilan peut-on faire de son mandat? Voici quelques idées en vrac, après échanges avec quelques acteurs du secteur.
L'annonce du piratage du ministère de la justice par le gang de rançongiciel LockBit 2.0 a été abondamment commentée hier, à raison. Mais pourtant il y a de bonnes raisons de relativiser (pour l'instant) l'événement. Thread ⬇️
C'est sûr qu'un ministère régalien hacké, ce qui est vraisemblablement le cas, ça la fout mal. Mais après? Tout dépend de la nature des données volées. ccomptes.fr/fr/publication…
C'est là que le bât blesse certainement pour LockBit 2.0, on va voir cela en détail (à noter que si l'organisation de la sécurité du ministère de la justice est notoirement imparfaite, il n'est pas l'un des gros clients de l'Anssi).