Les enquêteurs le décrivent comme un « couteau suisse » de la cybercriminalité. Un logiciel espion pour pirate amateur, facile d'utilisation et accessible à tous. Blackshades est un « remote access tool », un outil qui permet de contrôler à distance un ordinateur à l'insu de son propriétaire, d'activer sa webcam ou encore de récupérer des mots de passe ou des données bancaires. Ces quatre dernières années, ce « malware » a été acheté sur Internet par des milliers d'utilisateurs et aurait infecté des centaines de milliers de PC.
Une vaste enquête internationale initiée par le FBI et étendue à une dizaine de pays s'est conclue lundi 19 mai par la fermeture de deux noms de domaine proposant ce produit à la vente. Plus de 350 perquisitions et 80 interpellations ont été menées simultanément en France, aux Pays-Bas, en Belgique, en Finlande, en Grande-Bretagne, au Danemark, au Canada et aux Etats-Unis.
En France, ce large coup de filet piloté par les huit juridictions interrégionales spécialisées et l'ensemble des directions interrégionales et régionales de la police judiciaire a donné lieu à soixante-dix perquisitions et à une soixantaine de gardes à vue sur tout le territoire.
CONTRÔLE D'UNE TRENTAINE DE WEBCAMS
Les profils des acquéreurs de ce logiciel espion sont divers. Plutôt jeunes (entre 20 et 46 ans), la plupart travaillent ou sont étudiants. Loin de relever de la criminalité organisée, leur pratique de Blackshades occasionnait néanmoins chez certains des compléments de revenus. Chez l'un des gardés à vue, les enquêteurs ont trouvé les codes de près de 2000 comptes Paypal, et environ autant de comptes Facebook piratés. Un autre réalisait des achats en ligne massifs grâce aux données bancaires volées.
Chez une poignée d'acquéreurs, des captures d'écran de femmes nues ont été saisies. L'un d'eux, considéré par les enquêteurs comme un « voyeur » compulsif, avait pris le contrôle d'une trentaine de webcams. Toutes ces données personnelles se négocient sur des forums : l'accès à la caméra piratée d'un homme se revend 1 euro, tandis que celle d'une femme peut rapporter jusqu'à 100 fois plus.
Mais cette pratique donne aussi parfois lieu à des « sextortions », des chantages en ligne comme celui dont a été victime Cassidy Wolf, 18 ans, Miss Teen USA 2013. Son maître-chanteur, un ancien camarade de classe qui utilisait Blackshades, a été condamné à 18 mois de prison en 2013.
APPARITION SUR LES RADARS EN 2010
En vertu de l'article 323-3-1 du code pénal, les utilisateurs français de Blackshades encourent de deux à cinq ans de prison. Des peines toute théoriques. A travers cette affaire emblématique, la nouvelle sous-direction de la lutte contre la cybercriminalité de la police judiciaire, inaugurée le 29 avril, entend surtout adresser un message aux internautes tentés par les plaisirs coupables du hacking. « Nous voulons aussi faire passer le message sur certains forums que ces pratiques sont sanctionnables », résume Valérie Maldonado, qui dirige la sous-direction par intérim.
Blackshades est apparu sur les radars des experts en sécurité en 2010. En juin 2012, le FBI arrête l'un de ses créateurs présumés, le hackeur américain xVisceral, de son vrai nom William Hogue, 23 ans, habitant l'Arizona. Grâce aux informations fournies par xVisceral sur ses clients, la police démasquera 23 autres pirates, impliqués dans une affaire de fraude bancaire. En novembre 2013, un autre cocréateur du logiciel, Axel Yucel, un Suédois de 24 ans, est interpellé en Moldavie.
Après avoir exploité les listings des milliers d'adresses IP des acquéreurs du logiciel, le FBI les a transmis aux pays concernés. En décembre 2013, une enquête préliminaire est ouverte en France. Il aura fallu près de cinq mois aux enquêteurs français pour trier et analyser les quelque six cents adresses communiquées par les services américains avant de coordonner la vague d'arrestation de la mi-mai.
CONÇU COMME UN KIT PERSONNALISABLE
Le succès mondial de Blackshades tient à son ergonomie et à un environnement marketing très étudié. Son slogan ? « Blackshades, an easy and powerful way to remote control » (« Blackshades, un outil simple et efficace pour contrôler des ordinateurs à distance »). Contrairement à la plupart des logiciels de piratage, il est doté d'une interface conviviale et est régulièrement mis à jour.
Conçu comme un kit personnalisable, il se décline en plusieurs versions, vendues entre 40 et 200 euros pour le pack premium. Ses concepteurs ont même prévu des tutoriels et un support technique pour répondre en ligne aux questions de leurs clients.
Une fois le logiciel acheté, il suffit aux pirates d'envoyer des mails contenant des liens, des fichiers photos ou vidéos, en attendant qu'un destinataire un peu trop curieux ne clique dessus. Le moyen d'infection le plus utilisé consiste à faire passer le virus pour un « crack » permettant de déverrouiller un jeu vidéo piraté, une denrée très recherchée dans la communauté des « gamers ».
LE LOGICIEL TOUJOURS UTILISÉ À GRANDE ÉCHELLE
Grâce à ce cheval de Troie, un individu peut contrôler plusieurs milliers d'ordinateurs, créant ainsi son propre réseau d'« esclaves ». Une armée de « zombies » qui peut également servir à mener des « attaques par déni de service », une pratique consistant à envoyer des requêtes simultanées de façon massive vers un site ou un serveur pour le faire planter.
Signe de son succès, le logiciel aurait également permis à des hackeurs à la solde du gouvernement syrien d'espionner des opposants et des insurgés, selon le Citizen Lab de l'université de Toronto (Canada), spécialisé dans l'étude du hacking politique.
Fin 2013, la société de sécurité américaine Symantec a constaté que Blackshades était toujours utilisé à grande échelle par des bandes organisées, à partir de serveurs situés notamment aux Etats-Unis et en Lituanie. Malgré la récente vague d'interpellations, des milliers de hackeurs seraient toujours en possession du logiciel, et plus de 500 000 ordinateurs resteraient infectés dans le monde.
Voir les contributions
Réutiliser ce contenu
