Celui qui n’aurait pas dû faire autant confiance à son VPN (2/2)
Dans ce dossier d'attaque par rançongiciel, les enquêteurs ont rapidement un suspect: l'ancien responsable de la sécurité informatique.
Bonsoir,
Bienvenue pour la suite de cet épisode de Pwned, votre newsletter sur le cybercrime, sur cet étrange incident lié à l’antédiluvien rançongiciel Wannacry qui avait visé un éditeur parisien de logiciels de finance.
Mais tout d’abord, si vous n’êtes pas inscrit, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
On en était où? Ah oui, cette attaque par rançongiciel visant une entreprise parisienne, à la fin novembre 2021. Celle-ci n’a pas l’air d'être une tentative d'extorsion habituelle, bien qu'elle tente de se faire passer pour cela. Pourquoi utiliser un vieux logiciel comme WannaCry? Et s’il s’agissait plutôt d’une vengeance ou d’un acte de malveillance?
Les investigations vont s’orienter rapidement dans cette direction parce qu’il y a un truc bizarre, dans le rapport d’analyse de début décembre 2021 fait une semaine après le piratage. D’abord, on se rend compte que les sauvegardes externes ont été supprimées en se connectant au login d’un ex-salarié, parti justement au milieu du mois d’octobre. Il s’agit de l’ancien responsable de la sécurité informatique…
Cet indice n’est pas si compromettant que cela. Puisque ce login est le seul dont dispose l’entreprise, il faut nécessairement passer par cet accès pour accéder aux sauvegardes. Et avant de partir, l’ex-responsable de la sécurité a remis ses identifiants à ses collègues dans un fichier excel. Ces derniers auraient pu s’y connecter. L’ancien salarié est tout de même convoqué par ses patrons. Alors, c’est lui ou pas? Mais non, dit-il, rien à voir. Après tout, il pourrait s’agir également d’un autre ancien employé mécontent?
Les policiers ne sont pas de cet avis. A l’issue d’une garde à vue, début janvier, ils bouclent leur enquête sur l’ancien salarié. L’homme, un trentenaire vivant en Seine-et-Marne, a un profil intéressant. Certes, il n’a pas été viré, mais il est parti dans le cadre d’une rupture conventionnelle sur fond de brouille. Dans l’entreprise, on trouve qu’il est difficile de communiquer avec lui et qu’il a des horaires de travail déroutants: il travaille principalement la nuit.
Surtout, les traces techniques recueillies, elles, se révèlent compromettantes. Revenons sur la méthode utilisée pour l’attaque. La connexion à un compte “root”, sur un premier serveur, permet d’ouvrir un accès à un second serveur où sera installé le rançongiciel. La création de ce compte de service est datée du 12 octobre. Et qui est à l’origine des connexions? L’ancien responsable sécurité, qui a quitté l’entreprise le 15 octobre. Il s’est donc connecté à ce compte avant son départ. Mais aussi après, puisque l’on retrouve des traces de son adresse IP personnelle, chez ses parents, à sept reprises.
Puis des adresses IP venant de Nord VPN sont enregistrées jusqu’au 28 novembre. Ce qui est intéressant, c’est que l’adresse IP personnelle de l’ancien salarié et celle du VPN se chevauchent parfois. Par exemple lors d’une série de connexions datées du 30 octobre, où elles se succèdent en moins d’une seconde. Comme si le VPN avait sauté et que l’espace d’un instant, la véritable adresse IP de l’utilisateur était apparue…
Un petit aparté sur les réseaux privés virtuels : ce genre de logiciel sert à créer un tunnel de connexion sécurisé entre des ordinateurs pour isoler leurs échanges du reste du trafic passant par les réseaux publics. Si vous êtes dans une grande organisation publique ou privée, il y a fort à parier que son utilisation est obligatoire pour le travail à distance. A domicile, le VPN est surtout populaire pour masquer son adresse IP, notamment pour ceux qui souhaitent télécharger illégalement des films ou des séries.
Ce genre de logiciel n’est pourtant pas infaillible. Il est tout à fait possible qu’il saute, qu’il se déconnecte sans cesse, révélant donc au passage votre vraie adresse IP. Les VPN sont censés pour la plupart avoir une fonction de “kill switch”, une interruption de la connexion en cas de rupture de la connexion sécurisée. Enfin, c’est ce que dit la pub, hein…
En s’intéressant aux traces de l’ancien salarié, les enquêteurs s’aperçoivent qu’il y a eu une tentative de connexion à Office Home, un service Windows de l'entreprise victime, le 14 novembre. Avec le login du suspect, et surtout… la même adresse IP localisée en Turquie, cette adresse NordVPN. Comme si l’ancien salarié avait oublié de désactiver son VPN en passant à autre chose.
Vous l’avez compris, la barque est bien chargée. La perquisition chez l’ancien salarié ne révèle pas d’éléments à charge mais rajoute encore un peu de contexte. Il y a par exemple une drôle de coïncidence : l’un des disques dur externes a été intégralement effacé, le 2 décembre 2021, soit à peine quelques jours après le piratage. Comme s’il voulait effacer ses traces. “C’était pour le renvoyer au fabricant car j’avais eu des problèmes”, dira-t-il aux juges lors de l’audience correctionnelle.
Ce procès va d’ailleurs être assez pittoresque. Non pas à cause de l’ancien salarié, qui va rester quasiment mutique tout au long des audiences. Du coup, il n’y a pas grand-chose d’intéressant à dire sur lui. Par exemple, on ne saura pas vraiment pourquoi son choix s'est finalement porté sur Wannacry, un rançongiciel obsolète au moment de l'attaque.“Même s'il est doué en informatique, ce n'est pas un pirate professionnel”, avait dit le parquet : c’est effectivement un bon résumé des choses.
Mais de manière inédite, le dossier avait été dirigé vers la chambre des comparutions immédiates du tribunal judiciaire de Paris, plus habituée à voir des affaires plus banales de violences ou de vol. Les magistrats n’avaient d’ailleurs pas caché leurs réticences à juger cette affaire très technique. Et regardé d’un drôle d’air les exposés de la défense. L’avocat, Armando Frignati, contestait les accusations d’extorsion - la rançon ne pouvait techniquement pas être recueillie par son client - , tandis qu’il soulignait la présence de connexions bizarres au compte Azure de son client depuis Capbreton et Dubaï - une façon de suggérer que des tiers pourraient être impliqués.
Après deux renvois, l’affaire sera finalement jugée très tard dans la nuit en avril 2022. Sans surprise, elle va se solder le mois suivant par une condamnation du prévenu, jugé coupable d’une série d’infractions informatiques et de la tentative d’extorsion. L’ancien salarié écope d’une peine de six mois de prison avec sursis (dix mois avaient été demandés) et surtout d’importants dommages et intérêts à verser à l’entreprise victime, environ 70 000 euros.
Cette dernière s’en sort finalement bien. Car avant l’attaque, elle venait tout juste de boucler un audit de sécurité qui avait conclu à de graves failles de sécurité. Il y avait par exemple une liste de noms d’utilisateurs et de mots de passe en accès libre sur un serveur. Au-delà de la mauvaise pratique, ce type de manque aurait pu faire totalement dérailler l’enquête. Quant à l’ancien responsable de la sécurité informatique, il a fait appel.
On se retrouve dans deux semaines pour une prochaine histoire de cybercrime
Bonne soirée,
Relecture: Mnyo
PS: Et si l’histoire vous a plu, vous savez ce qu’il faut faire, vous pouvez liker les publications ou les signaler autour de vous. Si vous voulez enfin me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
WannaCry : Retour surprise dans une PME parisienne après quatre ans d'absence
Dans mon cadre pro, j'ai eu presque la même affaire en Algérie, c’était le DSI et pire pour le mobile,(convictions religieuses)