Le mois de juin a vu tomber l’un des principaux forums clandestins du dark web francophone, Black Hand, et Europol arrêter le dernier membre encore en fuite de l’organisation cybercriminelle française Rex Mundi . Sale mois pour les criminels 2.0 made in France !
Rex Mundi est un groupe cybercriminel d’origine française, dont le mode opératoire est toujours le même : pirater des grandes entreprises, dérober leurs données et les rançonner pour qu’elles ne soient pas divulguées. En doublant la rançon, l’entreprise peut connaître la méthode de hack et sa correction ! Tous les paiements se font en Bitcoin.
Une technique d’extorsion et de chantage somme toute assez traditionnelle, mais pratiquée avec des méthodes des plus modernes.
Pirater des données et faire chanter les entreprises : un business model en or
Le groupe est actif depuis 2014 : il a notamment piraté des bases de données françaises et belges de Domino’s Pizza ou d’un laboratoire français d’analyse de sang, qui ont refusé de payer et ont vu les données être publiées. Parmi les victimes connues figurent également la banque Dexia ou l’opérateur Numericable.
Mais Rex Mundi a fini par tomber sur plus malin que lui : en mai 2017, le groupe a piraté une entreprise britannique, puis lui a envoyé des preuves des données détenues. Un francophone les a ensuite appelé au téléphone pour poser les conditions de Rex Mundi : 580 000 euros de rançon pour ne pas publier les données clients, 800 000 euros pour connaître la technique de hack, et 210 000 euros supplémentaire par jour de non-paiement…
Quand les pirates de Rex Mundi tombent sur un os…
Ce que les pirates ne savaient pas, c’est que l’entreprise avait contacté la police britannique, qui en profite pour collecter nombre d’information sur le groupe de hackers. Elle passe le relai à la police nationale française et à Europol, qui mettent moins d’une heure à repérer l’homme responsable du coup de fil.
Le groupe s’écroule alors progressivement : cinq arrestations en juin 2017, deux autres en octobre 2017, une huitième (et probablement dernière) en juin 2018 – un informaticien de 25 ans, appréhendé en Thaïlande par la police locale suite à un mandat d’arrêt international lancé par la justice française. Cette arrestation met a priori un point final à l’histoire de Rex Mundi.
La fin de Black Hand, plaque tournante du trafic criminel 2.0
Autre acteur du cybercrime français dont les activités viennent de s’arrêter : le forum clandestin Black Hand, plaque tournante du trafic sur le dark web français, vient d’être fermé, et ses principaux administrateurs arrêtés.
Ce forum, accessible uniquement via le navigateur Tor, était actif depuis deux ans, 3 000 personnes y étaient inscrites pour un coût de 50 euros : il proposait à la vente des produits et services illicites aussi sympathiques que drogues, armes à feu, faux papiers, données bancaires volées… Une caverne d’Ali Baba pour les criminels de France !
Quatre responsables arrêtées, dont l’administratrice du forum, une mère de famille de 28 ans
Au terme d’un an d’enquête, la Direction nationale du renseignement et des enquêtes douanières (DNRED) est parvenue à identifier quatre personnes clés de ce forum : son administratrice, une mère de famille de 28 ans sans casier judiciaire, surnommée Anouchka, ainsi que deux modérateurs-vendeurs et un simple vendeur parmi les plus actifs de ce site. « Une femme active à ce niveau-là, c’est assez original », commente le responsable de l’opération.
Ils sont été arrêtés par une opération de police simultanée dans les régions de Lille, Montpellier et Marseille, « pour qu’ils ne s’avertissent pas les uns les autres par messagerie cryptée ». Car, si les quatre individus ne s’étaient jamais rencontré IRL, ils échangeaient souvent et se connaissaient parfaitement.
Après 48 heures de garde-à-vue, ils ont été déférées devant la Cour du Lille pour « association de malfaiteurs en vue de la préparation de crime (mise en circulation de monnaie contrefaite ou falsifiée ayant cours légal en France), de délits punis de 10 ans d’emprisonnement (trafic de stupéfiants) et de délits punis de cinq ans d’emprisonnement (faux documents administratifs, escroqueries)».
« On voit les réactions, les inquiétudes sur les forums du dark net »
“C’est la fin de l’une des plus importantes places de marché illégales du darkweb français” indique le communiqué de presse du ministère de l’Action et des Comptes publics, dont le ministre, Gérald Darmanin, s’est félicité de ce coup de filet.
« On n’a pas fait tomber une inconnue. On voit les réactions, les inquiétudes sur les forums du dark net: ça réagit, ça inquiète. Et ils ont raison de s’inquiéter. C’est ce qu’on recherchait » précise le responsable de cette opération. Il assure aussi que la surveillance sur cette partie cachée d’Internet de faiblira pas dans les mois et années à venir.