Une centaine d’institutions financières avaient été visées par le virus informatique. / QUENTIN HUGON / Le Monde

Avec son équipe, ils avaient réussi à dérober plus d’un milliard d’euros. Denis K., le chef d’un groupe de pirates informatiques à l’origine d’une série de vols d’une ampleur inédite dans des institutions financières, a été arrêté en Espagne, a annoncé lundi 26 mars Europol, l’agence européenne de lutte contre la criminalité. Selon la police espagnole, il est de nationalité ukrainienne mais aurait dirigé les opérations depuis l’Espagne.

En tout, une centaine d’établissements bancaires situés dans 40 pays (principalement la Russie, l’Ukraine, la Biélorussie, l’Azerbaïdjan, le Kazakhstan et Taïwan) avaient été la cible du groupe, expert en développement de virus informatiques. Constitué selon la police espagnole de Denis K. et de trois complices russes et ukrainiens, il avait débuté ses opérations en 2013 avec le virus Anunak. Il avait ensuite développé la même année une version plus sophistiquée de cet outil : Carbanak.

Une série d’attaques « techniquement incroyables »

Carbanak a été utilisé jusqu’en 2016, explique Europol. Puis, le groupe de pirates a « concentré ses efforts » sur l’élaboration d’un troisième virus, « encore plus sophistiqué », du nom de Cobalt. La police espagnole assure que ce dernier a été utilisé encore récemment, au premier trimestre de 2017, notamment à Madrid.

Gérôme Billois, expert en cybersécurité au sein du cabinet de conseil Wavestone, estime que la série d’attaques, dévoilée par l’éditeur d’antivirus Kaspersky en 2015, a marqué « un véritable changement de dimension dans le domaine des attaques informatiques » :

« On était plutôt habitués à ce que les pirates s’attaquent au site de la banque ou à ses clients pour ensuite pirater leurs comptes personnels. Là, pour la première fois, un groupe s’attaquait au système interne de ces institutions, et en profondeur. De plus, techniquement, les attaques étaient assez incroyables. »

Un changement de braquet que soulignait dès février 2015 Anton Shingarev, de Kaspersky, interrogé par Le Monde :

« On assiste à une augmentation du niveau de sophistication des attaques purement criminelles. Dans le passé, seuls des gouvernements étaient capables de faire ça. »

Des mails piégés pour appâts

Le mode opératoire était identique avec les trois virus. Les voleurs envoyaient à des employés de banque des e-mails piégés contenant une pièce jointe malveillante afin de prendre le contrôle de leurs ordinateurs. De là, il leur était possible d’accéder au réseau interne de l’établissement.

Chaque attaque était minutieusement préparée. « Ils pouvaient passer trois ou quatre mois à penser à une action, note à ce propos Gérôme Billois. Ils ont vraiment analysé en profondeur le fonctionnement des banques, ils ont cherché à comprendre qui était en charge de quoi, comment fonctionnaient les services de transfert d’argent ou les distributeurs. »

En contrôlant à distance les distributeurs de billets, les pirates étaient capables de les faire expulser des liasses de billets que des complices, dépêchés à proximité, n’avaient plus qu’à récupérer.

Selon la police espagnole, ces « mules » avaient été recrutées auprès d’autres organisations criminelles à travers le monde. Elles transféraient l’argent à Denis K. et ses complices, qui le transformaient en monnaie virtuelle, puis l’utilisaient via des cartes prépayées.

Des comptes personnels manipulés

Le groupe n’avait pas seulement recours aux distributeurs de billets. Une fois à l’intérieur du réseau interne des banques, ils transféraient des comptes depuis la banque victime vers leurs propres comptes bancaires. Ses membres ont aussi réussi à manipuler des comptes existants, comme l’explique Gérôme Billois :

« Ils prenaient le compte de monsieur X., y ajoutaient 3 000 euros de manière tout à fait artificielle, puis retiraient ces 3 000 euros. Au départ purement virtuel, cet argent devenait réel et pouvait être récupéré dès lors qu’il figurait dans le solde d’un compte. Tout ceci fonctionnait très bien car les pirates informatiques avaient réussi à mettre au point un outil qui effaçait toute trace de leurs transactions. »

L’enquête qui a conduit à l’arrestation de Denis K. a été conduite par la police nationale espagnole avec l’aide d’Europol, du FBI américain, des autorités roumaines, moldaves, biélorusses et taïwanaises, ainsi que de plusieurs entreprises privées. Ouverte début 2015, elle a permis d’estimer le montant total des vols : plus d’un milliard d’euros au total. Un montant rarissime.

Le domicile de Denis K. a été perquisitionné. La police espagnole dit y avoir trouvé du matériel informatique, des bijoux, des voitures haut de gamme, ainsi que des traces de plusieurs comptes bancaires. Le cerveau présumé et son équipe étaient, d’après les forces de l’ordre, en train de mettre au point un nouveau virus informatique.