Pendant des années, la Russie a été un havre de paix pour les pirates et les hackers. C’est peut-être en train de changer : plusieurs grosses arrestations ont eu lieu en janvier 2022.

L’année 2021 a déjà marqué un tournant dans la réponse apportée par certains États, principalement occidentaux, pour lutter contre la menace cybercriminelle. Mais de nouveaux bouleversements se profilent déjà en 2022, particulièrement en Russie. Plusieurs arrestations de pirates ont eu lieu en janvier, une première pour le pays.

La cybercriminalité a explosé depuis le début de la pandémie en 2020, en particulier avec la démultiplication des attaques ransomware. Appelés rançongiciels en français, ces logiciels prennent en otage des données en les chiffrant, ce qui les rend illisibles sans la clé de déchiffrement que possède le pirate. Un sésame qu’il est prêt à fournir, moyennant une rançon, malheureusement souvent payée. Ces attaques visent les particuliers comme les entreprises, mais aussi des structures publiques comme des hôpitaux.

Des actions concrètes et une pression diplomatique

Pour lutter contre cette menace, que les États-Unis vont jusqu’à comparer au terrorisme, les États nord-américains et européens ont musclé leur réponse. De nombreux coups de filet internationaux ont eu lieu en 2021, notamment en Europe de l’Est. C’est un premier changement de paradigme : les arrestations de pirates étaient auparavant très rares.

Mais le principal obstacle à ces avancés est que la cybercriminalité, internationale par nature, se niche dans des pays moins enclins à la coopération judiciaire et policière. Voir qui tolèrent carrément leurs activités, à condition de ne pas toucher à certaines zones. La Russie figure en tête, mais on peut également citer d’autres pays comme l’Iran, la Corée du Nord, la Chine.

L’administration Biden a très directement pointé du doigt l’inaction russe. Les États-Unis ont accusé la Russie d’être derrière des attaques comme celle de Solarwinds, et exhortaient Moscou d’aider à arrêter les cybercriminels qui opèrent depuis son territoire. Des demandes qui étaient, jusqu’à récemment, restées lettre morte.

Des interpellations inédites en Russie

Le vent semble toutefois tourner à l’Est. Depuis début janvier, deux opérations d’ampleur ont été menées par les services de Moscou. D’abord, le démantèlement du groupe REvil, annoncé par le FSB le 14 janvier 2022. Ces opérateurs de rançongiciels, aussi connus comme Sodinokibi, étaient derrière l’attaque historique de Kaseya qui a affecté 1 500 entreprises américaines en juillet 2022. Vidéo à l’appui, les forces de sécurité russes revendiquent 14 arrestations et plusieurs millions d’euros de biens confisqués.

Le FSB affirme que, grâce à son intervention, REvil n’est plus. Il se félicite d’avoir « neutralisé » le groupe criminel et précise avoir informé son homologue américain du bon déroulement de l’opération.

Le second coup d’éclat est l’arrestation, moins médiatisée, d’administrateurs d’UniCC, la principale plateforme de vente de données bancaires volées sur le dark web. Celle-ci est rapportée par l’agence de presse TASS le 22 janvier 2022. Ce coup de filet fait suite à un message des opérateurs d’UniCC, quelques jours plus tôt, qui annonçait la fermeture de la plateforme de leur propre initiative. Une retraite ou une tentative de fuite de courte durée.

Moscow_Kuznetsky_Most_Street_24
Les locaux du FSB, à Moscou // Source : Stas Lobov – Wikipedia

Difficile de confirmer la tendance

Il est encore tôt pour parler d’un changement radical dans la lutte contre la cybercriminalité russe, mais ces opérations policières sont inédites, et autant de signaux forts envoyés à Washington. La temporalité de ces actions interroge toutefois. Ces dernières ont eu lieu quelques jours seulement après les discussions entre les deux pays autour des tensions liées à l’Ukraine et l’expansion de l’OTAN.

Il pourrait être tentant d’y déceler un coup de poker diplomatique de la part du camp russe, des garanties données à l’administration Biden sur le cyberespace. Et ce alors que des cyberattaques, que Kiev a attribuées à la Russie, ont visé des sites gouvernementaux ukrainiens le 14 janvier 2022. Mais cette vague d’arrestation peut tout autant être liée à une dynamique différente, comme un échange d’information entre les États-Unis et Moscou, qui aurait permis l’avancée d’enquêtes.