Graphique de 2012 représentant les 23 196 nœuds (ordinateurs infectés) du botnet (réseau de machines sous contrôle) décentralisé GameOver Zeus. Les points bleus représentent les ordinateurs infectés, et les lignes vertes les passerelles entre ces nœuds. Dell SecureWorks

Inculpé en février 2015 en Pennsylvanie pour crime organisé, piratage informatique, fraude électronique, financière et bancaire et blanchiment d’argent, Evgueni Bogatchev est devenu à seulement 31 ans, le cybercriminel le plus recherché au monde, avec une récompense affichée à 3 millions de dollars (2,6 millions d’euros) pour tout renseignement amenant à sa capture.

Le 7 mai 2014, les autorités ukrainiennes aidées par le FBI investissent deux bâtiments situés l’un à Donetsk, l’autre à Kiev. À l’intérieur, plusieurs centres de « commande et de contrôle » (C & C) d’un réseau d’ordinateurs-zombies (ordinateurs infectés sous contrôle) éparpillés un peu partout dans le monde. GameOver Zeus (GoZ), c’est son nom, est l’un des « botnets » le plus sophistiqué et le plus lucratif au monde, avec plus d’un million de machines sous son contrôle, et plus de 100 millions de dollars de gains estimés depuis son apparition en septembre 2011.

Avec cette prise, fruit d’un travail de plusieurs années, les enquêteurs peuvent enfin localiser l’ensemble des serveurs propageant les virus, pour la plupart situés en Allemagne, au Canada, en France, au Luxembourg, aux Pays-Bas, au Royaume-Uni et en Ukraine. Une fois la totalité des serveurs stoppés, ce sont plus de 300 000 ordinateurs zombies qui sont ainsi « libérés ». Et parmi les ordinateurs de commande et de contrôle récupérés, les enquêteurs mettent la main sur un serveur de discussions en ligne utilisé par les pirates pour leurs communications internes. Son analyse va permettre de dessiner plus clairement les contours de cette société secrète. L’opération « Tovar » est un succès presque total : les enquêteurs américains ont aussi et surtout réussi à démasquer et impliquer le cerveau de toutes ces opérations, l’insaisissable pirate russe Evgueni Bogatchev. Sans parvenir à l’arrêter.

Voitures de luxe, yacht et armes à profusion

Né le 28 octobre 1983, Evgueni Mikhailovich Bogatchev résidait dans la petite station balnéaire d’Anapa, 60 000 habitants, sur les bords russes de la Mer Noire, jusqu’en mai dernier. Il y occupait la totalité du sixième étage - transformé en forteresse - d’un discret immeuble de 14 étages rue Lermontova, avec Valentina, sa femme, et leur bébé.

Selon Paris Match qui est allé enquêter sur place, le 14e et dernier étage lui appartenait également, ainsi qu’une société écran, « LLC Standart », installée au rez-de-chaussée d’un immeuble anonyme dans la ville de Krasnodar, distante de quelque 150 kilomètres d’Anapa. Passionné de voitures et de bateaux de luxe, Evgueni Bogatchev possédait plusieurs bolides de marques allemandes et américaines qu’il changeait très régulièrement, mais également, selon le FBI, un yacht amarré dans la marina proche, avec lequel il faisait régulièrement des balades en Mer Noire, allant peut-être jusqu’en Bulgarie, Géorgie, Roumanie, Turquie ou même en Ukraine.

Lire aussi Le grand retour du racket aux fichiers verrouillés

La dernière tentative des autorités américaines pour mettre fin à ses agissements il y a un an aurait quelque peu bouleversé cette tranquillité relative : ses voisins ont en effet assisté au départ précipité dans la nuit du 31 mai, de toute la famille dans une voiture de luxe, deux jours seulement avant que Bogatchev n’apparaisse en tête de la célèbre « Most Wanted List » du ministère américain de la justice. Aurait-il été prévenu ? A t-il flairé les complications ? Quoi qu’il en soit, les lumières de l’appartement 101, qui restaient habituellement allumées jour et nuit, sont maintenant définitivement éteintes.

Evgueni Bogatchev, tête pensante d’un redoutable réseau cybercriminel, à l’origine de la création, de la propagation et de l’évolution du cheval de Troie « Zeus ». HANDOUT / REUTERS

Selon des informations publiées en février dernier dans le Daily Mail, Bogatchev serait titulaire d’un port d’arme de poing et posséderait également des armes de chasse. D’après l’un de ses voisins, « Fantomas » - comme il était surnommé dans le quartier pour sa ressemblance avec le célèbre méchant - n’est sûrement pas allé bien loin puisque leur chauffeur personnel a continué de venir régulièrement relever le courrier et payer ses factures. Puis, en octobre 2014, c’est « une femme, grande, belle, l’air sympathique, (qui) est venue s’affranchir de toutes les créances des Bogatchev. Elle a payé cash » rapporte Paris Match, citant les gestionnaires de l’immeuble.

Suite logicielle de piratage et surveillance bienveillante

Pourtant, et depuis de nombreux mois, les autorités américaines étaient en contact avec leurs homologues russes sur ce délicat dossier. Le FBI aurait même transmis dès 2013 suffisamment d’informations aux services russes du FSB pour enquêter sur celui qui est soupçonné depuis longtemps d’être l’instigateur de plusieurs réseaux internationaux de fraudes bancaires.

Mais, toujours selon le Daily Mail qui a questionné Aslan Vladimirovich Goshokov, un responsable de la police locale, aucune demande d’arrestation ne lui est jamais parvenue au nom de Bogatchev, dont le casier judiciaire est toujours vierge en Russie. Mieux : questionnés dans la rue, des habitants d’Anapa n’hésitent pas à voir en Bogatchev un héros de la nation, méritant plus une médaille que la prison, pour avoir tenu tête et dépouillé des représentants du « grand capital ».

Côté technique, les avis des différents experts ayant étudié les codes-source de Zeus ou de Cryptolocker sont dithyrambiques : « c’est un hacker du futur, l’un des plus brillants qui soit » selon Tom Kellerman, responsable de la cyber-securité chez l’éditeur d’antivirus Trend Micro. « Gameover Zeus, fils prodigue de la première version de Zeus, est en tout point plus sophistiqué que l’original ». Don Jackson, chercheur en sécurité informatique du laboratoire Dell SecureWorks, note que sur les forums fréquentés par les escrocs en ligne, le logiciel était devenu dès 2007 « une sorte de best-seller », finement programmé, ne ralentissant pas les ordinateurs infectés, difficilement détectables et surtout constamment amélioré par son créateur, « à un rythme effréné, comme un projet vivant de codage ».

Moins d’un an après sa première détection, Zeus avait déjà été transformé en une suite logicielle de piratage, du malware (virus) au botnet (réseau de machines sous contrôle), en passant par le spyware (logiciel espion), les outils d’administration de serveurs de commandes et de contrôle (C & C), incluant même un outil d’attaque par déni de service (attaques dites DDoS).

Le « Business Club »

Car c’est bien d’une entreprise de racket à l’échelle mondiale dont rêve Bogatchev lorsqu’il commence, dès l’âge de 25 ans à se faire remarquer pour ses exploits dans la scène underground russe. Utilisant les pseudos de « Slavik », « Lucky12345 », « Pollingsoon » pour les plus connus, mais aussi « A-Z », « Monstr », « Umbro », « IOO » ou encore « Nu11 », le jeune hackeur russe est déjà en train de jeter les bases d’un empire du cybercrime organisé.

Ce 5 août, lors de la convention « Black Hat » à Las Vegas, un rapport écrit par le FBI et les sociétés de sécurité Crowdstrike et Fox-IT a détaillé l’ampleur du système en place. Après avoir minutieusement décodé les archives des conversations saisies en 2014, Michael Sandee, l’expert du cabinet Fox-IT, a pu déterminer que le groupe - qui se faisait appeler le « Business Club » - était composé d’un comité directeur d’une demi-douzaine de leaders principalement originaires de la région de Krasnodar, et d’une cinquantaine de membres - essentiellement russes et ukrainiens : techniciens support 24/7, fournisseurs de malwares, ou passeurs d’argent (les « mules »), qui ne pouvaient intégrer le « Club » qu’en s’acquittant d’un droit d’entrée conséquent.

Le club fonctionnait sur les relations de confiance entre membres. Tous recevaient une part équitable des profits, qui provenaient essentiellement du piratage de comptes en banque. Les membres de ce gang « travaillaient » avec un rythme de bureau classique (de 9 heures à 17 heures, du lundi au vendredi), ciblant l’Asie et l’Australie le matin, l’Europe en milieur de journée, pour terminer en vidant des comptes américains en début de soirée. Tout l’argent siphonné transitait ensuite vers des banques chinoises de la province d’Heilongjiang, au nord de Vladivostok, à la frontière avec la Russie, que des mules se chargeaient de rapatrier ou d’investir dans la région.

L'interface de contrôle de "GameOver Zeus", appelée par les hackeurs "World Bank Center", et dont la description annonçait "Nous jouons avec vos banques"... Fox-IT

Mais Evgueni Bogatchev, créateur du système et chef avisé, n’a pas tout divulgué à ses acolytes. Et pour cause. Soupçonné d’avoir passé des accords avec le gouvernement russe selon les experts des cabinets de sécurité, il aurait progressivement modifié le code source de son botnet pour le transformer dès l’automne 2013 - lors du début du conflit avec l’Ukraine - en système d’espionnage décentralisé ciblant des ordinateurs en Ukraine, en Géorgie, mais aussi en Turquie, visant notamment la direction du ministère des affaires étrangères turc et la Turkish KOM, une unité spéciale de la police. Selon Michael Sandee, Bogatchev recherchait des informations sur le conflit à la frontière turco-syrienne, là précisément ou ont vraisemblablement eu lieu des livraisons d’armes et des actions de mercenaires russes. À l’heure actuelle, et selon les dernières informations de la justice américaine, Bogatchev résiderait toujours en Russie avec sa famille, quelque part entre Anapa et Krasnodar.

Lire aussi Un important groupe de pirates de comptes bancaires arrêtés en Ukraine