La Gendarmerie française a joué un rôle central dans ce coup de filet © Ground Picture / Shutterstock
La Gendarmerie française a joué un rôle central dans ce coup de filet © Ground Picture / Shutterstock

Suite au démantèlement du groupe de hackers LockBit le 20 février, Clubic a eu le plaisir d'échanger avec le colonel Pascal Péresse. Nous avons pu aborder plus en détail le rôle qu'a tenu la Gendarmerie nationale dans l'opération.

Depuis sa formation en septembre 2019, le groupe de hackers russophone LockBit (et son ransomware du même nom) a littéralement semé la terreur un peu partout sur la planète. À l'origine de plusieurs milliers d'attaques informatiques, il est devenu en 2022 le ransomware le plus virulent et actif au monde.

Entreprises de toutes tailles, institutions gouvernementales, établissements de santé ou éducatifs, il semblait inarrêtable. Il y a deux jours, l'opération Cronos menée contre lui, impliquant de nombreux pays dont la France, a mis un coup d'arrêt à ses activités. Le colonel Pascal Péresse, commandant du C3N, nous dévoile le rôle clé qu'a joué la Gendarmerie nationale dans cette victoire.

Le colonel Pascal Péresse © SIRPA Gendarmerie
Le colonel Pascal Péresse © SIRPA Gendarmerie

Plongée au cœur du démantèlement de LockBit, avec Pascal Péresse, colonel à la Gendarmerie nationale

Pouvez-vous vous présenter en quelques mots ?

Je commande actuellement la division des opérations, autrement nommé Centre de lutte contre les criminalités numériques, le C3N. Il fait partie d'une nouvelle entité, créée assez récemment en fin d'année, l'unité nationale cyber.

Pourriez-vous nous décrire le rôle de la gendarmerie française dans la cybersécurité et comment elle agit contre la cybercriminalité ?

Il faut distinguer la cybersécurité de la cybercriminalité. En ce qui concerne la cybersécurité, nous avons la Division de la proximité numérique au sein de l'unité nationale cyber qui œuvre en matière de prévention. Celle-ci a également des unités chargées de recueillir via Internet une bonne quantité de signalements.

Pour la partie plus offensive, il y a un bras armé qui est la Division des opérations, chargée des enquêtes liées à la cybercriminalité. Elle agit avec l'appui de la Division technique qui fait partie de la même entité (l'unité nationale cyber). Par ailleurs, elle nous apporte leurs connaissances et compétences techniques, notamment sur les constatations.

Pour prendre l'exemple des ransomwares, quand des entreprises sont victimes, il y a généralement un déplacement sur les lieux. Les constatations sont faites de la même manière qu'une scène de crime, mais sur les ordinateurs et machines en question. Les personnes responsables de cette tâche sont des enquêteurs nouvelles technologies, les Ntec.

Quelles étaient les particularités du groupe LockBit par rapport à d’autres groupes de hackers selon votre expérience ?

Premièrement, LockBit est la première menace mondiale en matière de ransomwares. Pour preuve, le nombre d'attaques et de victimes qu'on peut trouver dans le monde (3 000 victimes au total). Les ransomwares étant classés par famille, les services d'enquête sont désignés pour se charger de telle ou telle famille. Pour ce qui concerne Lockbit, c'est la Division des opérations qui est chargée par J3 (Juridiction spécialisée en matière de cybercriminalité du Tribunal Judiciaire de Paris) des investigations relatives à LockBit.

Ce qui caractérise ce groupe est sa force de frappe et son mode de fonctionnement. Ils ont mis au point un produit, que l'on appelle ransomware-as-a-service, qu'ils mettent à disposition d'attaquants nommés « affiliés ». Ces derniers, moyennant une contrepartie financière, commettent des attaques et reversent un pourcentage au groupe fondateur lorsqu'ils obtiennent des rançons.

A l'heure où je parle, on dénombre 239 attaques en France, ayant visé toutes sortes de victimes : PME, grands groupes internationaux, collectivités territoriales, conseils départementaux et des hôpitaux également. Trois hôpitaux français ont été attaqués : celui de Corbeil-Essonnes, Versailles et celui d'Armantières plus récemment.

Le site du groupe de hackers LockBit indique désormais qu'il est sous le contrôle des services de répression internationaux

Pourriez-vous nous parler de la collaboration entre la Gendarmerie française et d'autres agences nationales ou internationales dans le cadre de cette opération ?

Au point de départ, en 2019, moment où les premières victimes ont été dénombrées, le C3N a été immédiatement chargé de l'enquête. En cybercriminalité, nous travaillons beaucoup avec l'international, l'idée étant de rechercher des rapprochements possibles, puisque nous avons affaire à des groupes internationaux et non établis en France. Nous avons beaucoup mis à contribution Europol et grâce à cela, de nombreux rapprochements entre les pays ont eu lieu.

Petit à petit, une task force internationale s'est mise en place au niveau d'Europol, baptisée Cronos. Cela a permis de mettre en commun tous les éléments dont nous disposions sur LockBit. Nous avons pu compter sur des partenaires importants : les Etats-Unis, le Royaume-Uni, l'Allemagne, les Pays-Bas et d'autres encore.

La formation de cette task force a été l'occasion de réunions et d'échanges très réguliers entre les différents acteurs. Au niveau de la Gendarmerie, nous avons mis à contributions les nombreuses antennes C3N que nous avons sur le sol national. Nous avons également mis en place une cellule d'enquête en janvier 2023 pour disposer d'un groupe d'enquêteurs dédiés consacrant leur travail uniquement sur LockBit.

Les enquêtes, les rapprochements effectués et les investigations techniques ont permis d'identifier beaucoup d'infrastructures appartenant à LockBit. Celles-ci servent à exfiltrer les données et à diriger les attaques. Le 19 et 20 février, les conditions étaient satisfaisantes pour lancer une opération. Cette dernière a consisté en la neutralisation d'un certain nombre d'infrastructures du groupe, mais pas uniquement.

Concernant la France et l'unité nationale cyber, notre rôle a été d'effectuer des demandes vers l'étranger (Pays-Bas, Australie et Allemagne notamment), pour neutraliser et récupérer les données si possible. Trois personnes qui avaient été identifiées en Ukraine et en Pologne ont pu être interpelées le 20 février au matin. Elles ont fait l'objet de perquisitions et de saisies de matériel qui sera exploité dans le cadre de l'enquête.

D'autre part, il y a tout un volet financier à considérer. LockBit et ses affiliés fonctionnent beaucoup avec des cryptomonnaies, il faut donc réaliser des investigations en la matière et notamment ce que l'on appelle du tracing. Il y a des wallets qui font l'objet d'investigations, pour lesquels on a demandé le gel sans savoir exactement dans le détail au moment où je vous parle la quantité d'argent ils peuvent receler.

Quelles méthodologies spécifiques la gendarmerie a-t-elle utilisées pour infiltrer et recueillir des renseignements sur LockBit ?

Notre méthodologie reste assez classique. Le point de départ sont les constatations et l'exploitations des machines infectées qui peuvent nous permettre de remonter des logs de connexion. Ceux-ci nous donnent ensuite la possibilité de remonter vers des attaquants. Ces attaquants ont non seulement paralysé les systèmes informatiques ciblés, mais aussi chiffré et exfiltré des données. Ils menacent ensuite de les divulguer contre une rançon.

Un dialogue s'instaure avec les attaquants ; la victime est contactée puis ils rentrent en relation avec et des échanges ont lieu, avec des preuves de bonne foi etc. Ces échanges sont l'occasion pour nous de recueillir des éléments qui pourraient nous permettre de remonter jusqu'aux attaquants, d'abord à l'échelle du pays de localisation. Les identités précises ne sont pas connues immédiatement. Si la rançon est déjà payée, il y a la possibilité pour nous de tracer les cryptomonnaies qui ont fait l'objet de mouvements pour aider à l'identification. Pour accélérer ce processus, le partage de l'ensemble des données que nous détenons avec nos homologues internationaux nous aide également.

Quels ont été les principaux défis ou obstacles rencontrés lors de l'opération contre LockBit ? Combien de temps l’enquête-a-t-elle duré ?

L'une des principales difficultés est la mise en œuvre de la coopération internationale. La coopération policière entre plusieurs pays fonctionne bien, mais cela peut être long à mettre en place. C'est là que réside l'intérêt de la création d'un organe de coopération policière majeure au sein de l'UE et d'Europol, qui fédère tous les pays de l'Union Européenne mais auquel des pays extérieurs peuvent adhérer (Etats-Unis, Grande-Bretagne, etc.).

En plus de cet espace, ceux-ci ont également des capacités qui leur sont propres, et tout cela concoure à l'avancée des enquêtes. Par rapport au temps d'enquête, les premières victimes ont été constatées en 2019 ; au départ, il y a pu avoir quelques tâtonnements, mais en 2022, six pays s'étaient déjà fédérés et la task force Cronos a été créée.

Comment la gendarmerie s'assure-t-elle de protéger les données sensibles et de respecter la légalité lors de telles opérations d'infiltration et de collecte de renseignements ?

Nous essayons de bien respecter le cadre légal qui nous est imposé en France. Votre question m'évoque les enquêtes sous pseudo que nous pouvons réaliser. Ici, cela ne fait pas partie des modes opératoires que nous avons utilisé. Ce type d'enquêtes est prévu dans le cadre légal et procédural par le Code de procédure pénal et la législation en la matière a évolué.

Nous sommes autorisés à utiliser ce mode opératoire dans le cadre de la lutte contre la pédocriminalité, notamment pour détecter des prédateurs qui voudraient s'en prendre à des enfants. Nous l'utilisons aussi sur le dark web pour tout ce qui touche au trafic d'armes, trafic de stupéfiants, trafic de faux papiers ou de données bancaires. Le cadre juridique est assez bien formé et le respecter ne nous pose pas de problème, nous avons une liberté d'action suffisante pour agir.

Maintenant que LockBit est tombé, quelles sont les prochaines étapes pour la gendarmerie française dans la lutte contre la cybercriminalité ?

Même si c'est un élément de contexte, une période un peu particulière arrive : la France va accueillir les JO et ce type de menace peut être assez proéminente. Toutefois, nous nous garderons de dire que LockBit n'est plus là. Beaucoup d'infrastructures ont été neutralisées, les investigations et les enquêtes se poursuivent. Tout le matériel qui a été saisi va pouvoir être exploité, mais nous pouvons penser que les têtes ne sont pas tombées. Ils sont capables de se reconstituer donc nous avons encore du temps devant nous vis-à-vis du groupe LockBit. C'est un coup sérieux qui leur a été porté, mais nous ne pouvons pas considérer cela comme définitif.

Meilleur antivirus, le comparatif en décembre 2024
Clubic a testé et comparé les performances, le niveau de sécurité et le rapport qualité-prix des meilleurs Antivirus du marché. Découvrez quel est le meilleur logiciel pour vous protéger des malwares et sécuriser vos données en 2024.