L’attaque informatique contre #Edenred en cachait une autre, et c'est un volet de l'histoire que ne connaissait pas #cybercrime
Un copycat est suspecté d'avoir voulu tirer profit de la panique chez Tickets restaurants, en novembre 2019, pour empocher sa part de la rançon. Rappelez vous, Edenred était alors victime d'un ransomware.
Antoine (le prénom a été changé) , 30 ans, a donc comparu devant le tribunal correctionnel de Paris pour cette affaire lundi dernier.
On lui reproche des faits d'escroquerie (contre Edenred), et d'abus de confiance contre Microsoft (son ancien employeur, appelé à la rescousse pour faire face à la cyberattaque initiale).
La défense d'Antoine? La nouvelle demande de rançon est trop bas de gamme par rapport à son niveau.
"Commettre ce genre d’erreur, par rapport au niveau que je possède aujourd’hui, c’est comme aller [braquer] une banque avec sa voiture personnelle".
"Il n’y a pas eu de réseau privé virtuel utilisé pour masquer l’adresse IP. Et faire cela depuis un lieu où je suis tout seul et avec un ordinateur de travail, c’est quand même bête.”
Au contraire, les enquêteurs de la Befti estiment avoir trouvé assez d'éléments pour confondre Antoine. Ce dernier était chargé d'inspecter l'active directory d'Edenred pendant la crise.
Quels sont les éléments contre Antoine? L’adresse IP enregistrée le 29 novembre 2019 lors de la création du mail utilisé pour la nouvelle demande de rançon, correspond à la salle de réunion d’un imprimeur rennais, Jouve, où Antoine effectuait une nouvelle mission.
Antoine est le seul des quatre personnes présentes ce jour-là dans cette salle à s’être branché au réseau internet filaire. Le mail de récupération de l’adresse Protonmail (utilisé pour la demande de rançon) , renvoie également à un compte gmail créé en 2005 par Antoine.
Quant au chiffre 716, utilisé dans l'email de demande de rançon, il est utilisé fréquemment par le prévenu pour d’autres alias sur le net: il correspond au mois et jour de naissance de sa mère.
"Ce n’est pas un faisceau d’indices, mais des preuves multiples et répétées, résume la vice-procureure Alice Cherif. Il a cru qu’il serait protégé en en utilisant une messagerie Protonmail”.
Antoine estime lui avoir été victime d'un piratage informatique pendant sa pause déjeuner - il explique qu'il regardait alors des vidéos sur netflix.
“Mais qui pourrait vous en vouloir?”, demande l'un des juges rapporteurs.
“Je ne sais pas. Peut-être que ce n’est pas vraiment moi la cible, ou même Microsoft. Nous avons accès à tout un panel de clients.”
Le jugement a été mis en délibéré pour début novembre. Microsoft et Edenred ont eux fait les comptes, et la facture est salée. La nouvelle tentative d'extorsion est évaluée à 219000 euros pour Edenred, 330000 euros pour Microsoft.
Microsoft n'a d'ailleurs pas tout facturé à son client, compte tenu de la mise en cause de son ancien employé.
Ce qui inspire ce commentaire ironique à la défense, Me Guglielmi. "Que Microsoft ait offert quelque chose une fois dans sa vie, cela les honore.”
Vous avez peut-être vu passer ce rocambolesque récit d'un hacker français pourchassé par la CIA. Waouh, les supers espions de Langley sur la piste d'un simple ado, c'est vraiment une belle histoire. Sauf que... Spoiler alert: ce narratif semble creux.
Reprenons cette histoire dans le détail:
"« À 15 ans, j'ai basculé dans la cybercriminalité » : les confessions d'un hackeur démasqué par la CIA" (@le_Parisien )
"Cyberattaque : Florent Curtet, le hacker surdoué redouté par la CIA" (@Francetele)
Il y a deux entrées pour ce sujet sur le site de @franceinfo, l'autre est titrée ainsi: "Cyberattaque : le témoignage exclusif d'un hacker français qui affolait la CIA". "Avant d'être rattrapé par la CIA, un hacker français a longtemps échappé à la police", est-il précisé.
Vincent Strubel, le patron de l' @ANSSI_FR, a fait ce matin sa deuxième apparition devant la presse depuis sa prise de fonctions au début de l'année, un petit récap'
S'inscrivant dans la continuité de son prédécesseur Guillaume Poupard, Vincent Strubel a insisté sur plusieurs défis et chantiers structurants.
C'est celui de la massification de l'aide apportée. Il s'agit d'élargir la cible des solutions de l'Anssi en ne laissant plus d'angle mort (particuliers, petites entreprises, etc).
La cyberguerre vue de Russie. RIA Novosti signale que les black hat de RaHDIt ont identifié des russes travaillant avec le renseignement militaire ukrainien ria.ru/20220718/razve…
On n'échappe pas à certains éléments de langage. Toujours selon RIA Novosti, le même groupe aurait doxé la semaine d'avant des agents ukrainiens de la direction du renseignement, avec "parmi eux des toxicomanes" et autres repris de justice
Affaire Alexander Vinnik, épisode 74538. "M. Bitcoin", qui vient de purger sa peine en France (affaire du rançongiciel Locky) vient de se voir signifier en France le mandat d'arrêt émis à son encontre par les Etats-Unis.
Ce matin, je vous parle dans @LaLettreA du futur départ du patron de l’@ANSSI_FR Guillaume Poupard. C’est un important événement dans la cybersécurité: un petit thread pour marquer le coup ⤵️ lalettrea.fr/action-publiqu…
(Info d'abord partiellement mentionnée par @Challenges dans ses indiscrets qui relevait que le directeur général de l'Anssi n'allait pas demander le renouvellement de son mandat en 2023)
L’ingénieur général de l’armement était en poste depuis huit ans et incarnait la cyber française. Quel bilan peut-on faire de son mandat? Voici quelques idées en vrac, après échanges avec quelques acteurs du secteur.
L'annonce du piratage du ministère de la justice par le gang de rançongiciel LockBit 2.0 a été abondamment commentée hier, à raison. Mais pourtant il y a de bonnes raisons de relativiser (pour l'instant) l'événement. Thread ⬇️
C'est sûr qu'un ministère régalien hacké, ce qui est vraisemblablement le cas, ça la fout mal. Mais après? Tout dépend de la nature des données volées. ccomptes.fr/fr/publication…
C'est là que le bât blesse certainement pour LockBit 2.0, on va voir cela en détail (à noter que si l'organisation de la sécurité du ministère de la justice est notoirement imparfaite, il n'est pas l'un des gros clients de l'Anssi).