Pour Atlanta, Newark, Denver, le port de San Diego, des hôpitaux de Los Angeles, Columbia ou encore l’Université de Calgary, le nom "SamSam" n’évoque pas un petit personnage sympathique de dessin animé pour enfants. Toutes ces villes et institutions d’Amérique du Nord ont été victimes d’un virus éponyme fabriqué par deux Iraniens, identifiés mercredi 28 novembre par le FBI.

Faramarz Shahi Savandi et Mohammad Mehdi Shah Mansouri sont accusés d’être devenus millionnaires illégalement en prenant en otage les systèmes informatiques de près de 200 municipalités et établissements, essentiellement sur le sol américain, entre début 2016 et novembre 2018. Les victimes leur ont versé plus de six millions de dollars pour récupérer l’accès à leurs ordinateurs. Elles ont aussi souffert de dommages évalués par le FBI à environ 30 millions de dollars, dûs à la paralysie des services causée par le virus.

De WannaCry à SamSam

Les deux Iraniens ont développé la première version de SamSam en 2015, à une époque où les "rançongiciels" gagnaient en popularité dans les milieux de la cybercriminalité, sans pour autant être encore sous le feu des projecteurs médiatiques. Ces logiciels malveillants sont conçus pour bloquer l’accès à la totalité ou à une partie des fichiers d’un ordinateur et effacer les données après un certain temps sauf si la victime paie la rançon. Ils ont démontré leur capacité de nuisance en 2017, lors de la crise WannaCry, ce rançongiciel qui a infecté plus de 200 000 ordinateurs dans le monde, mais n'a rapporté qu'environ 400 000 dollars à ses auteurs.

Les deux pirates informatiques iraniens se démarquent du commun des cyber-preneurs d’otages. La plupart d’entre eux partent à la pêche au gros en envoyant autant de mails piégés que possible et soutirent ensuite des rançons aux internautes qui ont commis l’erreur de télécharger une pièce jointe contenant le virus. Faramarz Shahi Savandi et Mohammad Mehdi Shah Mansouri ont privilégié la qualité à la quantité. Ils ont sélectionné leur cible en amont, étudié les systèmes informatiques pour identifier des failles qui leur permettraient d’installer SamSam sur un maximum d’ordinateurs, d’après un rapport de la société britannique de sécurité informatique Sophos, publié en avril 2018.

Ils ont choisi des cibles dont l’activité est essentielle à la communauté. La prolifération des rançongiciels (près de 1 800 cas signalés en 2017, selon le FBI) a, en effet, poussé les autorités à inciter les victimes à ne pas payer pour décourager les cybercriminels. Les deux suspects iraniens “ont honteusement profité du fait que leurs victimes avaient besoin que leurs ordinateurs fonctionnent en permanence pour servir le public, les malades et les blessés”, a déclaré Craig Carpenito, le procureur en charge de l’affaire. Lorsque SamSam s’est attaqué à Atlanta, en mars 2018, les fonctionnaires municipaux ont dû se passer complètement d’ordinateurs pendant cinq jours et les 480 000 habitants n’ont pas pu utiliser des services en ligne pour, par exemple, payer leurs amendes ou faire des démarches administratives.

8 000 dollars par ordinateur infecté

Pour éviter de perdre de précieuses informations, les victimes devaient payer 8 000 dollars par ordinateur infecté ou alors verser 50 000 dollars afin de nettoyer d’un coup tout le système informatique. L’argent était versé en bitcoins qui étaient, ensuite, échangés contre des rials, la monnaie iranienne.

Ironiquement, c’est en suivant la piste des bitcoins - une monnaie dématérialisée censée garantir l’anonymat des transactions - que le FBI a pu identifier les deux suspects. Les enquêteurs ont affirmé, sans entrer dans les détails, qu’ils ont réussi à relier les deux ressortissants iraniens aux portemonnaies virtuels des criminels dans lesquels étaient gardé les bitcoins.

Mais l’identification des auteurs présumés de l’attaque n’est qu’une maigre consolation pour les victimes de SamSam. Il y a peu de chances que l’Iran accepte de remettre deux de ses ressortissants entre les mains de la justice des États-Unis, un pays avec lequel Téhéran n’a pas de traité d’extradition et n’est pas en bons termes diplomatiques. Rien n’empêche Faramarz Shahi Savandi et Mohammad Mehdi Shah Mansouri de continuer à lancer SamSam à l’assaut des villes américaines.