Il avait crée l’un des logiciels malveillants les plus connus de ces dernières années. Le Russe Aleksandr Andreevich Panin a reconnu, mardi 28 janvier, devant une cour fédérale américaine, être l’auteur de “SpyEye”. Ce logiciel est une sorte de couteau suisse pour pirates informatiques, permettant de dérober des informations bancaires stockées sur les ordinateurs infectés.

La traque de ce cybercriminel, connu en ligne sous les pseudo “Gribodemon” et “Harderman”, s’est achevée, en juillet 2013, en République dominicaine, où il prenait des vacances. Les autorités locales l’ont arrêté puis mis dans un avion pour Atlanta, où il a été accueilli par le FBI. L’agence américaine du renseignement vient de rendre public le dossier d’accusation contre ce ressortissant russe.

Elle y dépeint Aleksandr Andreevich Panin comme “l’un des plus importants développeurs de logiciels malveillants au monde”. Sa grand œuvre, “SpyEye”, a infecté 1,4 million d’ordinateurs dans le monde, dont une majeure partie se trouvait aux États-Unis, d’après le FBI. Ce Russe a vendu son logiciel malveillant à plus de 150 “clients” qui l’ont utilisé pour mener leur propre cyberopération. L’un d’entre eux s’est fait, d’après les enquêteurs, plus de trois millions de dollars en six mois, en dérobant des identifiants bancaires grâce à “SpyEye”.

C’est dire si “Gribodemon” était dans le collimateur du FBI. Mais pas seulement. Le dossier révèle que l’enquête, qui a duré trois ans, a associé des entreprises privées comme Microsoft, ou encore la société japonaise de sécurité informatique Trend Micro. Cette dernière a accepté de raconter à FRANCE 24 l’envers du décor de la traque d’un tel cybercriminel.

Comme des agents infiltrés

“C’est en septembre 2010 que ‘SpyEye’ est pour la première fois apparu sur nos radars, car un de nos clients avait été infecté”, raconte Loïc Guézo, expert en cybersécurité chez Trend Micro. Il rappelle que ce logiciel malveillant était connu depuis 2009, mais qu’il est monté en puissance à partir de 2010. “Très vite, on a constaté qu’il apparaissait dans un nombre croissant de pays et non plus essentiellement en Russie, et que des variantes de 'SpyEye' voyaient le jour”, explique-t-il.

Un indice important car “il signifie généralement que des organisations criminelles demandent aux créateurs de virus de développer une version destinée à une opération spécifique”, note cet expert. Dans le cas d’un logiciel comme "SpyEye", spécialisé dans le vol informatique de données bancaires, il peut ainsi s’agir d’une variante créée pour cibler un réseau bancaire en particulier.

Trend Micro et d’autres sont alors passés à la vitesse supérieure. Dans le cas de la société japonaise, le dossier "SpyEye" a été remis entre les mains d’une cellule particulière, la FTR (Forward looking Threat Research). Il s’agit d’une équipe d’une trentaine de personnes, disséminées un peu partout dans le monde, et qui agissent un peu comme des agents infiltrés. Ils ont accès à des forums et des sites, où la communauté de pirates informatiques s’échangent des informations, vend et achète des kits de logiciels malveillants prêts à l’emploi, etc. Dans le cas de "SpyEye", c’est un expert, un russophone basé aux États-Unis, qui a été chargé d’en apprendre le plus possible sur cette nouvelle menace.

Mais qui est “Bx1” ?

Il commence par récupérer un “kit complet” de "SpyEye" sur l’Internet. “La version de base du logiciel malveillant [c’est-à-dire qui n’a pas été modifié à la demande d’un “client”, NDLR] était disponible en libre-service”, note Loïc Guézo. Il infecte alors un ordinateur “test” avec le virus pour essayer de mieux comprendre ce qui se passe. “Un tel logiciel récupère des informations, qu’il doit ensuite communiquer aux cybercriminels”, explique Loïc Guézo. Le but est de remonter la piste jusqu’au serveur où sont transférées les données volées. Objectif atteint avant la fin de l’année 2010. Les équipes de Trend Micro localisent un serveur hébergé juridiquement à Belize, baptisé lloidstsb et qui sert de tour de contrôle pour plusieurs ordinateurs infectés par "SpyEye".

C’est un peu la découverte de la salle au trésor. Malgré les protections, Trend Micro réussit à trouver des e-mails, des identifiants et des mots de passe permettant de continuer la traque. Un nom - ou plutôt un alias - ressort de ce butin : “Bx1”. “Nous avons trouvé dans les fichiers de configuration du serveur des informations sur lui”, raconte Loïc Guézo.

Ce sont toutes ces informations que la société japonaise met sur la table lors d’une réunion avec le FBI, début 2011. C’est à ce moment là que la coopération entre l’agence américaine et les différentes sociétés privées se met en place pour démasquer “Gribodemon” et “Bx1”.

Côté Trend Micro, “Bx1” devient la cible. Les enquêteurs acquièrent la certitude que cet internaute joue un rôle clé dans l’univers “SpyEye”. “C’était le partenaire d’Aleksandr Andreevich Panin, et il a été l’un des co-développeurs du logiciel”, affirme Loïc Guézo. À la base, il était un simple utilisateur qui a “probablement voulu se servir de 'SpyEye' pour sa propre opération”, souligne Loïc Guezo. “Bx1” s’est ensuite de plus en plus impliqué dans le développement de ce logiciel malveillant. Il a créé plusieurs plug-in [des bouts de code qui permettent de changer ou d’améliorer certaines fonctions du programme] de “SpyEye”.

La poursuite de “Bx1” va passer par divers forums et sites spécialisés. Finalement, les enquêteurs réussissent à identifier cet associé de Panin. Il s’agit de Hamza Bendelladj, un ressortissant algérien, qui sera arrêté en janvier 2013, alors qu’il passait des vacances en Thaïlande.

L’identification de “Gribodemon” sera plus compliquée. “Il était plus doué pour cacher sa véritable identité en ligne”, constate Loïc Guézo. Mais il a fini par baisser sa garde et a commis l’erreur de vendre directement "SpyEye" à un agent du FBI se faisant passer pour un pirate informatique.