A priori démasqué, Andreï Tourtchine ne sera pourtant sans doute pas poursuivi aux États-Unis. | Sebastian Staam via Unsplash
A priori démasqué, Andreï Tourtchine ne sera pourtant sans doute pas poursuivi aux États-Unis. | Sebastian Staam via Unsplash

Le «dieu invisible» du hacking démasqué

Le Kazakh Andreï Tourtchine a soutiré 1,3 million d'euros à plus de 300 sociétés dans 44 pays.

Encore un hacker qui venait du froid. En 2019, «Fxmsp» a mis en vente des accès et le code source de plusieurs entreprises de cybersécurité. Il promettait à ses client·es de devenir «les dieux invisibles des réseaux».

Son identité vient d'être rendue publique par un tribunal américain: il s'agit du Kazakh Andreï Tourtchine, 37 ans. C'est le chercheur Seamus Hugues qui a d'abord révélé cette information sur Twitter.

Les poursuites, jusqu'ici secrètes, datent de 2018 mais un juge américain vient de les rendre publiques. En cause, le dévoilement antérieur de l'identité d'Andreï Tourtchine par la firme de cybersécurité Group-IB, il y a un mois.

McAfee, Trend Micro et Symantec piratés

Le pirate informatique émerge en 2016. Il s'attaque d'abord aux réseaux informatiques de banques et d'hôtels. En 2019, il annonce avoir accès aux données de trois acteurs majeurs de la cybersécurité: McAfee, Trend Micro et Symantec. Il propose les accès et les codes sources pour des prix allant de 265.000 à 883.000 euros. Selon les autorités américaines, les entreprises victimes perdent des dizaines de millions en raison de ces attaques.

«Il a eu accès aux firmes du secteur de l'énergie, aux organisations gouvernementales et même à certaines entreprises classées au Fortune 500», détaille Dimitri Volkov de Group-IB.

Selon la société, Tourtchine utilisait des techniques peu sophistiquées mais efficaces, s'appuyant sur des failles de sécurité courante. Il était très actif sur les forums du cybercrime russophone et a collaboré avec un autre hacker, «Lampeduza».

Grandeur et décadence

«Les prix variaient [...] de quelques milliers de dollars à [...] plus de cent mille dollars, selon la victime et le degré d'accès et de contrôle du système», a déclaré le département de la Justice américain. L'utilisation d'un courtier et d'un dépôt fiduciaire permettait aux client·es de tester l'accès au réseau pour un temps limité avant d'acheter.

Tourtchine a aussi commis des erreurs: il a ainsi mis en vente des accès aux réseaux informatiques du Kremlin, violant une règle implicite du cybercrime russophone et se faisant bannir des forums. D'autres imprudences ont permis aux enquêteur·rices de l'identifier.

Mis en examen aux États-Unis pour une demi-douzaine de chefs d'accusation, il est toutefois peu probable qu'il y soit jugé: il est citoyen kazakh et le pays n'a pas signé d'accord d'extradition avec Washington. Il pourrait néanmoins comparaître devant les juridictions nationales.

En ce moment

Le nouveau Chromecast prouve que Netflix a déjà gagné la bataille du streaming

Biz

Le nouveau Chromecast prouve que Netflix a déjà gagné la bataille du streaming

Un bouton qui en dit long.

«Full Self-Driving»: Tesla lance un test grandeur nature (et c'est peut-être une mauvaise idée)

Tech

«Full Self-Driving»: Tesla lance un test grandeur nature (et c'est peut-être une mauvaise idée)

N'est-il pas un peu tôt pour baisser l'attention?

Le Royaume-Uni voulait son propre système GPS, mais n'a pas acheté les bons satellites

Tech

Le Royaume-Uni voulait son propre système GPS, mais n'a pas acheté les bons satellites

Une boulette à plus de 420 millions d'euros.