Il a servi à paralyser des hôpitaux, des maisons de retraite, des banques et même des municipalités. Trickbot, considéré comme l'un des réseaux de cybercriminalité les plus importants et actifs au monde, vient de subir les assauts du Cyber Command américain, l'équivalent militaire de la NSA, et de Microsoft. L'enjeu : "une menace sérieuse pour l'intégrité" de l'élection présidentielle du 3 novembre, a affirmé Microsoft dans un communiqué annonçant la cyberoffensive contre ce réseau, publié lundi 12 octobre.

Le géant de l'informatique américain – qui dispose d'une unité chargée de lutter contre les menaces informatiques – a obtenu d'un juge l'autorisation de neutraliser une partie des serveurs utilisés par les cybercriminels pour coordonner leur réseau de piratage, a rapporté le Washington Post, mardi 13 octobre.

Plus d'un million d'ordinateurs contrôlés

C'est un coup dur pour un "acteur devenu central dans le paysage de la cybercriminalité", souligne Jean-Ian Boutin, responsable des recherches de menaces informatiques pour Eset, l'un des groupes de cybersécurité qui a collaboré avec Microsoft, contacté par France 24.

À l'origine, Trickbot n'était qu'un simple "logiciel malveillant développé en 2016 et spécialisé dans la criminalité financière", rappelle Vincent Nguyen, responsable de la cellule de réponse aux incidents de sécurité et de gestion de crises cyber du cabinet de conseil en informatique Wavestone. D'outil pour voler des codes d'accès à des comptes bancaires, il a évolué pour devenir un gigantesque botnet, c'est-à-dire un réseau de PC contrôlés à distance par les cybercriminels.

Et en la matière, c'est le nec plus ultra : Trickbot contrôle plus d'un million d'ordinateurs "zombies" – le terme utilisé pour désigner ces PC contrôlés à distance – dans le monde. Ce qui en fait "l'un des botnets les plus larges en activité", confirme Vincent Nguyen. Cette force de frappe mondiale est ensuite louée à des groupes de cybercriminels qui peuvent s'en servir pour commettre leurs méfaits. Avoir un million d'ordinateurs sous la main permet de lancer des campagnes massives de spams ou encore de mener des attaques par déni de service (envoyer un grand nombre de requêtes informatiques pour saturer un serveur) difficiles à contrer.

Trickbot a aussi été utilisé pour diffuser des rançongiciels, ces virus qui bloquent l'accès aux fichiers d'un ordinateur jusqu'au versement d'une "rançon". C'est même son usage qui a eu le plus d'impact médiatique. Le réseau Trickbot est ainsi au cœur de la première attaque par rançongiciel à avoir eu une conséquence fatale : fin septembre, un tel virus a bloqué l'accès au système informatique d'un hôpital en Allemagne, qui, débordé administrativement, a dû refuser certains patients. L'un d'entre eux est décédé, faute d'avoir reçu les soins nécessaires à temps.

Aux États-Unis, des cybercriminels se sont servis du vaste réseau d'ordinateurs contrôlés par Trickbot pour prendre en cyberotage un serveur qui gérait le système informatique de onze maisons de retraite en pleine pandémie de Covid-19, souligne Microsoft.

L'ombre russe

C'est cette popularité de Trickbot qui suscite l'inquiétude du Cyber Command américain et de Microsoft à l'approche de la présidentielle. "Il faut penser à Trickbot comme à une clé qui permet aux cybercriminels d'entrer dans un système informatique pour le pirater", explique Jean-Ian Boutin.

Le scénario catastrophe pour le scrutin du 3 novembre serait que l'un des ordinateurs contrôlés par ce réseau soit relié au système informatique d'un bureau de vote ou d'un serveur où se trouvent des fichiers d'électeurs. Des pirates informatiques utiliseraient cet ordinateur pour atteindre le serveur visé et le bloquer grâce à un rançongiciel.

Ainsi, l'une des hypothèses serait, par exemple, que "les systèmes gérant les données électorales soient compromis, bloqués par un rançongiciel, ce qui peut empêcher le décompte des votes", spécule Vincent Nguyen.

Un tel incident ajouterait de l'eau au moulin du président sortant, Donald Trump, qui ne rate pas une occasion pour suggérer que l'élection à venir serait "la plus truquée de tous les temps".

La menace est prise d'autant plus au sérieux que Microsoft et le Cyber Command affirment que Trickbot est géré par des cybercriminels "russophones". Ils n'établissent pas de lien direct avec le Kremlin, mais dans le contexte actuel de recrudescence de propagande russe à l'approche du scrutin américain, "pourquoi prendre des risques ?", s'interroge Tom Burt, qui supervise l'équipe de Microsoft à l'origine de l'offensive contre TrickBot, interrogé par le New York Times.

Microsoft a même planifié son opération en fonction de la présidentielle de novembre. Trickbot aurait pu être visé dès avril, mais le groupe américain a préféré attendre octobre pour donner le moins de temps possible aux cybercriminels pour rebâtir leur empire.

Car l'opération n'a pas signé l'arrêt de mort de ce botnet. "Un tel réseau ne peut pas être détruit du jour au lendemain et on constate qu'il y a encore de l'activité, même si elle est moindre", affirme Jean-Ian Boutin. En d'autres termes, tous les serveurs de commande contrôlant les ordinateurs à distance n'ont pas pu être neutralisés. Et la question à 1 000 euros est de savoir combien de PC sont encore entre les mains de ces cybercriminels, ce qu'ils peuvent en faire et, surtout, s'ils auront le temps de se refaire une santé d'ici le 3 novembre.