Un réseau de cybercriminalité international, connu sous le nom de “Hive”, a été démantelé jeudi grâce à une opération internationale menée par 13 pays. La police judiciaire de Bordeaux a joué un rôle actif dans les enquêtes menées en France.

Le directeur du FBI, Christopher Asher Wray, a annoncé le démantèlement d’un réseau cybercriminel international connu sous le nom de “Hive”. Paul Bousquet, chef de la division de lutte contre la criminalité financière à la Direction zonale de la police judiciaire (DZPJ) du Sud-Ouest, a exprimé sa satisfaction en visionnant la visioconférence depuis son bureau à Bordeaux. Cette opération internationale réussie est le résultat d’une enquête mondiale menée par treize pays, qui ont communiqué quotidiennement via Europol depuis la première attaque au Canada en juin 2021. Elle a permis de dislocation l’infrastructure d’un des trois plus actifs rançongiciels du monde.

La DZPJ du Sud-Ouest a été chargée de l’affaire “Hive” en juillet 2022, en raison de la première attaque de cette région française dans les Deux-Sèvres. Le dossier est complexe car “Hive” est un ransomware as a service (Raas), c’est-à-dire que des pirates ont créé un logiciel malveillant facile d’utilisation qu’ils louent à d’autres criminels affiliés. Ces derniers chiffrent les données d’une organisation et exigent une rançon sous menace de publication des données volées. Une fois la rançon payée en cryptomonnaies, comme le bitcoin, les fonds sont versés aux pirates originaux qui en redistribuent une partie à leurs clients.

Depuis l’attaque initiale en juillet 2022, 58 organisations en France ont été victimes de “Hive” et 26 d’entre elles ont déposé plainte. Les attaques notables incluent celles contre l’École nationale de l’aviation civile, la collectivité territoriale de la Guadeloupe, la mairie d’Annecy-le-Vieux, les entreprises Altis et Damart, et celle du conseil départemental de Seine-Maritime, qui a été rapidement contrecarrée. La DZPJ de Bordeaux, en collaboration avec la sous-direction de la lutte contre la cybercriminalité et sous la direction de la section J3 du parquet de Paris, a contribué à récupérer 99% des données volées (62 téraoctets) et à débloquer 850 machines virtuelles en seulement trois semaines.

Depuis sa première attaque au Canada en juin 2021, le rançongiciel “Hive” a causé 1500 victimes dans 80 pays, causant un préjudice total estimé à 92 millions d’euros. 58 de ces victimes étaient en France. Grâce à la coopération internationale de 13 pays, 141 millions d’euros de rançons ont été empêchés d’être payés. Les cibles principales de ces cybercriminels étaient des établissements publics, tels que des hôpitaux qui ont été attaqués pendant la pandémie de Covid-19, ce qui a empêché l’accueil de nouveaux patients et a obligé les médecins à utiliser des formulaires papier.

Les chefs d’entreprise qui ne sont pas formés à la cybersécurité ont tendance à réagir de manière inappropriée face à une attaque informatique, effaçant ainsi les traces de l’intrusion qui permettent de localiser les serveurs utilisés par les pirates. Selon Paul Bousquet, chef de la division de lutte contre la criminalité financière à la DZPJ du Sud-Ouest, il est important de ne pas effacer les données en les remplaçant par une sauvegarde ou d’éteindre l’ordinateur par peur. Au contraire, il est important de conserver ces informations pour aider les enquêteurs à identifier les responsables de l’attaque.

Face à une attaque de cybercriminalité, il est important de ne pas effacer les données ou éteindre l’ordinateur, car cela peut effacer les preuves nécessaires à l’enquête. Le bon réflexe est plutôt de débrancher l’ordinateur du réseau wifi ou intranet et de le laisser connecté à un câble d’alimentation pour permettre aux enquêteurs d’accéder aux informations de connexion. Il est également important de ne pas céder aux exigences des hackers et de ne pas payer la rançon, car cela alimente la criminalité organisée sans garantir d’être protégé contre une réattaque. L’enquête en cours, menée par la DZPJ du Sud-Ouest en collaboration avec 13 autres pays, vise à identifier les auteurs de ces attaques.