Ce contenu est réservé aux abonnés La Tribune
Conti opère un rançongiciel, un logiciel malveillant capable de paralyser l'activité d'une entreprise pour lui proposer ensuite un déblocage contre le paiement d'une rançon.
Steve Marcus
Pas si facile de faire la nique à un gang cybercriminel ! Pourtant, l'entreprise suisse Prodaft avait réussi un coup d'éclat rare. Dans une analyse publiée le 18 novembre, elle explique comment elle a hacké un serveur de Conti, un des groupes de cybercriminels les plus actifs des deux dernières années. Mais, malgré son accès privilégié, elle n'a pas réussi à le mettre hors d'état de nuire.
Conti opère un rançongiciel, un logiciel malveillant capable de paralyser l'activité d'une entreprise pour lui proposer ensuite un déblocage contre le paiement d'une rançon. Pour accompagner cette prise en otage des données, le gang -à l'instar de ses semblables- possède un portail de négociation, un site web qu'il maintient lui-même, sur lequel il discute du paiement de la rançon avec les représentants de la victime. En cas de paiement (une décision unanimement déconseillée par les spécialistes), il transmettra le code nécessaire au déchiffrement des données par ce canal.
Pendant un mois, Prodaft a eu accès aux commandes de ce site de négociation. Pour y parvenir, ils ont trouvé l'adresse IP du serveur [une adresse attribuée à chaque machine pour la situer sur Internet, Ndlr] dissimulée par plusieurs subterfuges, grâce à l'exploitation d'une vulnérabilité. Autrement dit, ils ont hacké les cybercriminels, découvert l'adresse 217.12.204 propriété d'un hébergeur ukrainien, puis obtenu l'accès au serveur. Mais ce qui semble a priori un coup dur pour Conti n'a finalement pas eu l'effet escompté.
De l'intérieur, les chercheurs de Prodaft ont pu noter les adresses IP des machines qui communiquaient avec le serveur des malfaiteurs. Parmi elles, forcément, des ordinateurs appartenant aux victimes et à leurs prestataires. Mais aussi, des adresses IP depuis lesquelles les cybercriminels lançaient des commandes sur le serveur.
À lire également
Malheureusement, ces informations ont été insuffisantes pour remonter jusqu'aux membres de Conti ou même jusqu'à leurs machines. Et pour cause : tous les cybercriminels ont appliqué une précaution de base, en utilisant le réseau Tor pour se connecter au portail de négociation. Résultat : les adresses IP récupérées par les chercheurs correspondaient à des nœuds Tor, c'est-à-dire à des serveurs par lesquels transitent le trafic de plusieurs ordinateurs.
Chaque jour à 13h, l’essentiel de l’actualité tech.
Un incident majeur toutes les deux heures : les risques cyber explosent dans la finance européenne
448 TWh d'électricité par an, 4.500 milliards de litres d’eau : les coûts cachés de la révolution de l’IA
Meta recule sur son outil de surveillance des salariés pour entraîner son IA
Bruxelles dévoile son grand plan pour la souveraineté technologique, avec des instruments encore timides
