Les forces de l’ordre n’ont pas révélé l’identité du leader de Lockbit. Cependant, le dernier message des autorités apparaît comme une manœuvre pour discréditer LockbitSupp. L’opération Cronos, qui a fait tomber ce gang de ransomware, devrait encore produire d’importantes répercussions.

Les révélations seront finalement pour plus tard. Alors que les forces de l’ordre avaient fait monter les enchères ces jours-ci, en promettant de révéler l’identité de la tête pensante de Lockbit, il n’en a rien été. À la fin du décompte, pas de nom ni de visage sur l’ex-site de l’organisation criminelle, désormais sous le contrôle des autorités.

LockbitSupp reste donc une énigme pour le grand public, du moins pour le moment. En revanche, la police affirme malgré tout savoir qui se cache derrière ce pseudonyme — c’est avec lui que le chef de bande signait ses interventions sur les forums de pirates informatiques qu’il fréquentait. En témoignent les affirmations dévoilées ce 23 février.

À en croire la mise à jour sur l’ancien site Lockbit, la tête pensante aurait été non seulement identifiée, mais elle aurait été aussi localisée — l’intéressé ne serait donc ni aux États-Unis ni en Suède. Mais le plus troublant se trouve dans la dernière phrase : « LockbitSupp s’est engagé avec les forces de l’ordre », avec un smiley « :) ».

Source : Capture d'écran
Un message troublant des autorités. // Source : Capture d’écran

Cette citation seule pourrait occasionner des dégâts dévastateurs à la réputation de LockbitSupp. Entre les lignes, on saisit qu’il serait désormais de mèche avec les forces de l’ordre pour donner ses ex-partenaires. Peut-être pour alléger la peine qu’il risque devant les tribunaux. En collaborant maintenant, il se ménagerait une porte de sortie.

C’est évidemment invérifiable à ce stade. Cependant, l’approche de la police est possiblement très habile.

Une tentative de discrédit sur Lockbit ?

En suggérant que l’administrateur de Lockbit est devenu une « balance », les autorités s’efforcent de tuer dans l’œuf toute tentative de rebond de LockbitSupp dans le milieu (si la police bluffe sur l’identité de l’intéressé). Dans ce cas, plus personne ne voudra travailler avec LockbitSupp s’il traine la réputation d’être un cheval de Troie pour la police.

À l’inverse, si les forces de l’ordre connaissent tout de LockbitSupp, cette nouvelle coopération promet des suites fascinantes — et quelques sueurs froides à celles et ceux qui ont tissé des liens avec lui. Et au passage, c’est le signe que la police continuer de « troller » Lockbit. L’affront serait alors total pour cette ancienne structure criminelle.

La disparition de Lockbit à la suite de l’action des forces de police semble en tout cas ne pas être regrettée par ses rivaux. ALPHV, leur concurrent de longue date, leur a adressé des mots d’encouragement. Ils ont dit que « Lockbit est une mauviette ». Une hostilité pas nécessairement surprenante au regard du passif de ce gang.

« Lockbit est une mauviette »

ALPHV

Par le passé, l’attitude de LockbitSupp sur les réseaux avait en effet retenu l’attention : on se souvient qu’il avait proposé un million de dollars pour connaître l’identité d’un rival accusé d’avoir utilisé une variante du logiciel conçu par Lockbit, contre une entreprise russe. Il avait été exclu d’un forum fréquenté par d’autres pirates informatiques, pour avoir oublié de verser sa cotisation annuelle. Cet incident avait contraint LockbitSupp à envoyer un juriste pour contacter les administrateurs de cet espace.

Le stratagème consistant à porter le discrédit sur LockbitSupp pourrait bien être le dernier clou que plantent les forces de l’ordre dans le cercueil de Lockbit. Cette structure criminelle était devenue au fil du temps la principale franchise dans le domaine du rançongiciel (ransomware). Mais l’histoire ne va sans doute pas s’arrêter. D’autres répercussions sont encore à attendre à travers le reste de l’écosystème Lockbit.

Les répercussions de l’opération Cronos sur le ransomware Lockbit vont continuer

En effet, les forces de l’ordre ont recueilli durant l’opération Cronos — le nom de l’opération qui a permis de pirater ce cybergang — des données qui vont certainement se retourner contre les affiliés. Lockbit s’associait en effet avec des hackers pour maximiser l’efficacité de ses opérations et de ses outils. Ces derniers peuvent s’inquiéter.

C’est ce qu’a indiqué Europol. « À l’heure actuelle, les forces de l’ordre sont en possession d’une grande quantité de données recueillies tout au long de l’enquête », lit-on dans son communiqué. Ces informations « seront utilisées pour soutenir les activités opérationnelles internationales en cours ». Les chefs, et tous les autres.

Les forces de l'ordre se sont attaquées au site de Lockbit. // Source : Numerama
Les forces de l’ordre se sont attaquées au site de Lockbit. // Source : Numerama

Cela inclut les promoteurs, les affiliés, les infrastructures et les avoirs liés à ces activités. Signe qu’il s’agissait d’une opération majeure, et que les autorités restent toujours déterminées à en finir, la police fédérale américaine (FBI) a promis une récompense jusqu’à 15 millions de dollars pour toute information sur les autres membres du gang

On peut prévoir d’autres interpellations à plus ou moins brève échéance. En fait, cela a même déjà commencé. Des arrestations ont déjà été signalées en Ukraine et en Pologne. Plus généralement, l’infrastructure de Lockbit s’est effondrée et, surtout, les clés de déchiffrement de Lockbit ont été acquises, ce qui sauvera toutes les victimes du ransomware.

Pour aller plus loin
Ces hackers sont liés au célèbre groupe Conti, aujourd'hui séparé. // Source : Numerama avec Midjourney
Voilà comment fonctionne un gang de cybercriminels de ransomware de l’intérieur

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.