Le 7 mai, un rançongiciel paralysait l’activité de Colonial Pipeline, une entreprise essentielle à l’approvisionnement de la côte est américaine en essence et gasoil. L’incident a immédiatement mobilisé l’attention des plus hautes autorités américaines, jusqu’à celle du président Joe Biden.

Le fonctionnement de Colonial Pipeline est revenu à la normale dans la semaine suivante, pour deux raisons :

  • D’une part, les autorités ont réussi à saisir les données volées avant qu’elles ne quittent le territoire, puis à provoquer le démantèlement du gang Darkside, responsable de l’attaque.
  • D’autre part, l’entreprise a décidé de payer la rançon demandée pour obtenir la clé de déchiffrement afin de rétablir le fonctionnement de son système informatique plus rapidement qu’avec les sauvegardes. Le montant payé ? 4,4 millions de dollars, en bitcoin.
Image d'erreur

Pas de chance, le cour du bitcoin s’est effondré de 40%. // Source : CCO/Mohammed Hassan pour PxHere

Un mois plus tard, le 7 juin, le département de la Justice américaine vient d’annoncer qu’il a récupéré 85 % de ce butin. Dans le détail, il a saisi 63,7 des 75 bitcoins payés par la victime. L’opération est une première (du moins, annoncée publiquement) pour les autorités américaines. Elle marque le succès de la nouvelle politique du gouvernement, bien plus agressive envers les gangs rançongiciels : elle a été menée par la nouvelle unité spécialisée dans la lutte contre les rançongiciels, la « Ransomware and Digital Extortion Task Force », mise en place par l’administration Biden.

Mais ce coup d’éclat est légèrement terni par la chute du cours du bitcoin entre le paiement et la récupération du butin. Un bitcoin s’échangeait contre plus de 47 000 dollars le 7 mai, et contre à peine plus de 27 000 dollars aujourd’hui. Résultat, la saisie, si elle était convertie aujourd’hui, ne vaudrait que 2,26 millions de dollars.

Où sont passés les 15% manquants de la rançon ?

Les autorités ne peuvent pas saisir un portefeuille (wallet) de cryptomonnaie comme elles saisiraient un compte bancaire. C’est un des intérêts de la blockchain : seul l’utilisateur a le contrôle sur ses fonds, auxquels il accède grâce à une clé privée, sans risque qu’une autorité centrale puisse intervenir. Justement, dans le document publié par la justice américaine, un agent du FBI précise que les forces de l’ordre ont récupéré la clé privée d’un des portefeuilles (wallet) de bitcoin appartenant au gang Darkside, après avoir traqué son adresse.  Cette clé suffit pour avoir un accès complet au wallet et faire des transactions vers des portefeuilles contrôlés par la justice.

Plusieurs mystères subsistent dans l’affaire :

  • Comment les autorités ont-elles récupéré la clé ? Le 14 mai, le gang avait perdu l’accès à ses serveurs de paiement après une vraisemblable saisie des forces de l’ordre. The Record Media évoque la possibilité que les cybercriminels aient stocké leur clé privée sur ce serveur, afin de faciliter le paiement vers ses affiliés. Le gang pourrait également avoir collaboré avec les autorités.
  • Où sont passés les 15 % manquants ? S’ils sont probablement stockés sur un second portefeuille, son adresse est inconnue. Détail intriguant : ce pourcentage correspond environ à celui que garderaient les opérateurs du rançongiciel, avant d’envoyer le reste à l’affilié responsable de l’attaque.

Dans tous les cas, le pouvoir américain fait ici une vraie démonstration de force. La procureur en charge de l’affaire a insisté pour souligné que les autorités feraient des incidents rançongiciels leur priorité, au même niveau que « les menaces critiques pour la sécurité nationale ».

une comparateur meilleur vpn numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !