Celui qui s’est connecté trop vite sur son protonmail (2/2)
Edenred fait face à une attaque par rançongiciel. Mais l'attaquant est-il bien celui qu'il prétend être?
Bonjour !
Voici donc la suite de ce second épisode de Pwned. Pour relire le premier volet, vous pouvez aller ici ou vous rendre sur la page d’accueil de la newsletter, pwned.substack.com. Au fait, si vous lisez ce post sur le site ou si on vous a transmis ce mail, il est encore temps de vous inscrire:
Alors donc, où on en était?
Ah oui, les enquêteurs soupçonnent l’un des informaticiens envoyé sur le brasier Edenred d’avoir attisé les flammes de la crise.
Examinons dans le détail comment les enquêteurs en sont arrivés à soupçonner ce pyromane.
Ils ne sont tout d’abord que sept à avoir eu en main le rapport confidentiel interne envoyé par le pirate. Rappelez-vous, ce document était présenté comme la preuve de son infiltration dans l’informatique de l’entreprise. Si on laisse de côté la piste d’un piratage externe, cela resserre donc la liste des suspects.
La nouvelle demande de rançon a été envoyée à partir d’un mail Protonmail. La réquisition judiciaire envoyée à la société suisse a permis d’en savoir un peu plus sur le créateur. L’adresse de messagerie a en effet été créée le 28 novembre à 13h06.
L’adresse mail secondaire de l’adresse Protonmail est un gmail créé par le suspect en janvier 2005.
Dernier indice déterminant: le processus de création de compte Protonmail a laissé une trace, celle d’une adresse IP. Elle correspond au local de réunion d’une imprimerie rennaise. Cette pièce sert aux visiteurs de passage, comme par exemple les prestataires informatiques. Oh wait ! Renseignements pris auprès de l’imprimerie, il n’y avait qu’une seule personne présente dans cette salle ce jour là à 13h. Un salarié, employé par Microsoft, venu donner un coup de main. Ça vous rappelle quelqu'un?
Arrêtons-nous une minute sur le cas de la messagerie Protonmail. Lancé en 2013, l’année des révélations Snowden sur l’ampleur des capacités d’interception de la NSA, ce service de messagerie s’est positionné comme “LE” mail protecteur des vies privées, permettant de faire face aux ingérences des surveillants numériques.
Les messages entre utilisateurs sont ainsi chiffrés sans que la société ne puisse les lire. Et la société met en avant la protection de la législation suisse, présenté comme plus stricte sur la question des interceptions. Et enfin, l’entreprise précisait ne pas conserver de trace des utilisateurs.
Beaucoup d’internautes croient à tort que l’utilisation de Protonmail masque toutes leurs traces. Ce qui explique l’étonnement, renouvelé régulièrement, quand on découvre que cette promesse marketing a des limites. Exemple dernièrement avec le dossier Youth for Climate, où Protonmail a dû sortir les rames pour expliquer pourquoi ils avaient répondu à la réquisition judiciaire.
La société suisse a ainsi dû rappeler, après cette affaire, qu’elle se conforme bien (une obligation légale) à deux types de réquisitions: celles des autorités suisses et “les demandes étrangères dûment instruites et validées par les autorités suisses dans le cadre d'une procédure d'entraide judiciaire internationale et jugées conformes au droit suisse”.
Une coopération judiciaire qui n’est pas nouvelle et qui date de plusieurs années, en témoigne cette page. Résumons: si notre suspect aurait voulu créer un compte Protonmail de manière totalement anonyme, il aurait d’abord dû lancer Tor, ce qu’il fera, mais deux minutes plus tard. Et non pas faire cette opération depuis un navigateur laissant une trace IP. A quoi donc tient une enquête? A l’intervalle de deux minutes entre deux clics, comme dans cette histoire?
Alors pas tout à fait. Il y avait au moins un autre indice qui aurait pu ramener les enquêteurs au suspect, sans toutefois qu’il ne s’agisse d’une preuve suffisante pour le conduire au tribunal. L’adresse protonmail utilise en effet le chiffre 716, une suite souvent utilisée par ce dernier dans d’autres comptes. C’est le mois et le jour de naissance de sa mère.
Que s'est-il donc vraiment passé ce 28 novembre, vers 13h, dans le local de réunion de l’imprimerie rennaise? L’informaticien ne conteste pas sa présence en Bretagne. Toutefois, il explique qu’il s’est simplement branché sur le point d’accès réseau de son téléphone pour regarder des séries sur Netflix pendant sa pause déjeuner.
Mais après avoir désactivé son firewall pour faire des tests. Sous-entendu: il s’est fait pirater par le *véritable* maître-chanteur. Qui aurait usurpé son identité pour masquer ses traces et l’aurait choisi vicieusement comme un bon pigeon, y compris donc en utilisant la suite incriminante “716”.
Bon, l’informaticien admet quand même à demi-mot être allé sur Tor durant sa pause. Mais après tout, tout le monde l’utilise, ce navigateur, pas vous? (Moi oui).
“J’ai une certaine expérience dans l’informatique, explique l’ancien salarié de Microsoft. Faire cela depuis un lieu où je suis tout seul, sans masquer l’adresse IP et avec un ordinateur de travail, c’est quand même bête. Personne n’est à l’abri d’un piratage.”
Oui c’est vrai. Mais tout le monde peut aussi s’emmêler les pinceaux. Même les informaticiens très doués.
A son audience de jugement, en septembre 2020, le prévenu s’est longuement défendu. Ce jeune trentenaire aux cheveux courts et lunettes noires, qui vit dans le Val d’Oise, a contesté chaque accusation vigoureusement.
En vain puisqu’il sera finalement condamné à un an de prison avec sursis. Renseignements pris quelques mois plus tard, il n’a pas fait appel: en clair, la culpabilité n’a pas été contestée.
Je m’interroge encore sur ses motivations. Qu’est-ce qui peut pousser un spécialiste de l’informatique, bien payé (à l’audience, il annonce un salaire de 68 000 euros brut), à franchir la ligne jaune? Parce que ce n'était pas assez ? Parce que l'affaire était trop tentante pour cet informaticien doué ?
Alors oui, il y avait déjà des petits signaux faibles inquiétants. Une condamnation, il y a quelques années, pour une histoire d’abus de confiance. Et une ordonnance pénale pour une plus banale affaire de conduite en état d’ivresse.
Après Microsoft, qui s’est séparé de lui très rapidement au vu de l’orientation de l’enquête, l'informaticien a rejoint CapGemini. Avec un titre professionnel qui fait peur au vu de cette affaire: senior architect en cybersécurité.
Depuis, l’ingénieur a quitté l’entreprise de services numériques. J’ignore la raison de ce départ. A cause de la mauvaise publicité liée à ce procès, même si son identité n’a pas été dévoilée publiquement? Parce que CapGemini a eu vent de ses déboires judiciaires? Parce que Microsoft a passé le message? Peut-être un peu de tout cela.
L’informaticien se présente désormais comme un formateur dans le cloud sur des plateformes de travailleur indépendant. Avec cinq compétences phares, trois autour du cloud, et la cybersecurité…
Et au fait, je vous ai pas dit? Ce n’était pas sa seule casserole. L’informaticien était également soupçonné d’une tentative d’escroquerie visant un établissement de santé, une affaire distincte. Mais j’ignore les suites qui ont été données à ce dossier.
A dans deux semaines pour une nouvelle histoire de cybercrime. Si vous avez des remarques, vous pouvez m’envoyer un mail ou laisser votre commentaire en dessous de l’article. Et si vous avez aimé l’histoire, c’est par ici pour me payer une bière - pourquoi pas la Rye IPA de Skumenn, tiens.
Bonne soirée,
Gabriel
Relecture: Mnyo
Sources:
Mon compte-rendu d’audience pour Dalloz-actualité.
L’annonce de l’attaque d’Edenred, le communiqué officiel, et la riposte de l’entreprise (page 137).
La page de Protonmail sur leur politique en matière de sécurité.
Super.
Un titre qui rappelle friends, un style fluide. Un texte documenté.
Un travail de qualité tout public.
Merci pour l'article ; petite coquille : "Résumons: si notre suspect _avait_ voulu"