Les cybercriminels communiquent de plus en plus avec la presse, n’hésitant pas à faire la promotion de leur cyberattaque. Pour les bandes de hackers, c’est une manière de bâtir une réputation, tout en attirant d’autres malfaiteurs dans leur organisation.

Jacques Mesrine, Rédoine Faïd… les grands criminels ont forgé leur légende grâce à la presse, offrant de temps à autre des entretiens privilégiés à quelques journalistes. Aujourd’hui, les braquages se font avec un ordinateur, les otages sont des secrets industriels, et les cybercriminels échangent sur de simples chats avec les médias. Les groupes de hackers commencent, eux aussi, à se bâtir une réputation avec des noms qui reviennent régulièrement dans les médias : les Nord-coréens de Lazarus, le groupe Conti (séparé aujourd’hui) ou encore la licorne du hacking mondial, Lockbit.

Le monde du cybercrime peut encore paraître obscur et inaccessible pour le grand public, mais dans les faits, il est beaucoup plus ouvert qu’il ne le laisse croire. Les pirates discutent sur de nombreux forums qu’il suffit de connaître, se vantent de leurs actes sur Telegram et les plus grands groupes de ransomware ont aujourd’hui des pages contacts ouvertes à la presse. Les pirates ont d’ailleurs bien compris que pour inquiéter leur victime, il fallait buzzer, créer la panique, pour effrayer les plus profanes une fois que leur nom apparaît sur l’écran.

Les journalistes, eux, ont plongé dans cette porte ouverte, excités par ces correspondances avec des criminels. Soyons honnête, chez Numerama aussi, nous avons l’habitude de chercher nos infos directement auprès des responsables d’un piratage, et finissons par mettre en lumière les pseudonymes de ces hackers. Le vrai défi réside dans la confiance que l’on peut accorder à la parole d’un malfaiteur, et par principe, on ne peut jamais être pleinement sûr de sa bonne foi.

Le formulaire de contact sur la page du groupe de hackers Rhysida.  // Source : Numerama
Le formulaire de contact sur la page du groupe de hackers Rhysida. // Source : Numerama

Malheureusement, il suffit parfois qu’un collectif de pirates revendique une attaque, pour que la presse reprenne au mot près le message des criminels, sans jeter un coup d’œil au prétendu vol de données. La course à l’info et le besoin vital de la partager sur les réseaux sociaux ne fait que rendre service à ces hackers.

Quels intérêts ont les hackers à parler aux journalistes ?

Dans un rapport publié ce 13 décembre 2023 par l’entreprise de cybersécurité Sophos, les chercheurs en menace cyber ont étudié ces nouvelles relations entre la presse et les groupes de ransomware. Ils en conclurent que les cybercriminels « sont conscients que leurs activités sont considérées comme dignes d’intérêt et exploiteront l’attention des médias pour renforcer leur propre crédibilité et exercer davantage de pression sur les victimes ».

Le rapport indique aussi que certains malfaiteurs « professionnalisent de plus en plus leur approche de la gestion de la presse et de la réputation : en publiant ce qu’on appelle des ‘communiqués de presse’ ; en produisant des graphiques et une image de marque élégants ; et cherchant à recruter des écrivains et des anglophones sur des forums criminels ».

Interrogé par Numerama, Christopher Budd, responsable de l’équipe de recherche Sophos, nous explique qu’il s’est penché sur cette question après le piratage désastreux contre de célèbres casinos à Las Vegas. « Deux groupes de ransomware ont revendiqué ces attaques et ont commencé à se disputer sur les déclarations de l’un et de l’autre à la presse. L’un des collectifs a même fait la morale aux journalistes pour leur mauvais traitement de l’histoire et l’accuse de s’être fait berner par de simples affirmations », nous raconte l’expert sur les menaces.

Au-delà du simple coup médiatique, Christopher Budd note d’autres intérêts chez les hackers à communiquer avec la presse. « Faire connaître son groupe, c’est aussi le rendre plus populaire auprès des autres membres du milieu, et donc pouvoir potentiellement les recruter ». Dans une annonce sur un forum illicite repérée par Sophos, les criminels cherchent à recruter une personne anglophone pour les aider à à extorquer des entreprises en trouvant des informations compromettantes, que les acteurs malveillants pourraient mettre en avant lors d’une négociation.

Le groupe Akira soigne l'esthétique cliché du monde cyber. // Source : Numerama
Le groupe Akira soigne l’esthétique cliché du monde cyber. // Source : Numerama
Donut Leak a opté pour un page d'accueil plus « percutante ». // Source : Sophos
Donut Leak a opté pour un page d’accueil plus « percutante ». // Source : Sophos

Des hackers qui veulent briller dans les médias

Un dernier point pousse les criminels à entrer en contact avec les journalistes : l’égo. « Certaines personnes aiment tout simplement voir leur nom dans la presse », conclu Christopher Budd. Dans cet environnement si opaque où seuls quelques pseudonymes ressortent, les cybercriminels aiment aussi qu’on reconnaisse l’exploit de leur infiltration réalisée pendant des mois dans la pénombre. Cette course à la popularité est aussi ce qui cause communément la perte de certains pirates.

Conor Brian Fitzpatrick, plus connu son pseudonyme Pompompurin, était l’administrateur principal du plus célèbre forum de hackers. D’habitude discret, ce jeune homme de 20 ans s’était un jour vanté d’avoir exploité une faille dans un système d’exploitation du FBI. Il a été arrêté quelques mois plus tard, en mars 2023, dans sa maison aux États-Unis, à 30 minutes en voiture du siège du FBI.

Le forum a depuis rouvert, pour le grand plaisir des hackers, et des journalistes.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !