Une équipe d'ingénieurs de la GRC a infiltré des serveurs contrôlés par des criminels au Canada et a contribué à neutraliser un maliciel qui soutenait depuis des années des cyberattaques à l'échelle internationale.
Ce travail, dit Projet Cipher, s'inscrivait dans une activité de répression multinationale du début 2021 qui visait à désactiver Emotet, le maliciel conçu pour exploiter des réseaux informatiques pour de l'argent.
« Aucun autre pays n'a réussi à s'introduire dans leurs serveurs
», explique le s.é. m. Peter Hawkins, qui dirige l'Équipe de lutte contre la cybercriminalité de la GRC au Québec. « Quand on y est parvenu, on a partagé notre technique avec les autres pays.
»
Emotet a été utilisé dans des cas de rançongiciels médiatisés où les propriétaires de réseaux informatiques, généralement d'importantes entreprises privées, des ministères ou des universités, ont été empêchés d'accéder à leurs propres données tant qu'une rançon n'avait pas été versée.
Selon un rapport publié par l'entreprise de cybersécurité Emsisoft, le Canada a essuyé 4 257 attaques de rançongiciels en 2020, qui ont causé des pertes totales déclarées de centaines de millions de dollars.
« C'est pour cela que nous passons des années à les traquer
», ajoute le s.é.-m. Hawkins. « Une fois arrivés à l'étape de la rançon et de l'attaque, nous sommes limités dans ce que nous pouvons faire.
»
Contexte
Le travail qui a abouti au démantèlement d'Emotet a commencé en mars 2020.
Coordonnée par Europol et par l'Agence de l'Union européenne pour la coopération judiciaire en matière pénale, l'enquête incluait aussi les autorités de police néerlandaises, allemandes, françaises, britanniques, américaines, lithuaniennes et ukrainiennes.
Ces efforts concertés ont permis d'identifier plus de 200 serveurs (ordinateur qui recueille et envoie de l'information dans des réseaux locaux et internationaux) dans le monde.
Deux de ces serveurs, dits de niveau 2, se trouvaient à Montréal, tandis que 13 serveurs de niveau 1 se trouvaient ailleurs au Canada. D'autres serveurs, dits de niveau 3, étaient en Europe.
Ensemble, ils avaient des rôles particuliers dans une toile de connectivité virale : une collection d'ordinateurs reliés par Internet pilotés par le maliciel Emotet, ce qui a abouti à la création d'un réseau zombie d'ordinateurs infiltrés et contrôlés par les cybercriminels afin de lancer des attaques qui ont infecté plus de 1,7 million d'ordinateurs.
Une fois activé, le maliciel, qui arrivait dans les pièces jointes de courriels provenant de sources apparemment de confiance, se répandait sur les réseaux, accédait à des données privées et volait des mots de passe, tout en renvoyant cette information aux criminels.
Plusieurs serveurs permettaient aussi de dissimuler les lieux et les identités, précise le s.é. m. Hawkins, qui note qu'Emotet était responsable de 60 p. 100 des cyberattaques dans le monde.
Selon Jason Greeley, directeur de la cybercriminalité des Opérations criminelles de la Police fédérale, neutraliser le maliciel protège les Canadiens des petites escroqueries comme des activités criminelles à grande échelle.
« Les cybercriminels sont organisés. Ce ne sont pas juste des jeunes dans un sous-sol
», ajoute t il. « Les profits de ce genre de maliciel financent notamment le trafic de stupéfiants, d'armes et de personnes.
»
Au travail
À l'été 2020, la Section des opérations tactiques, qui relève des Opérations techniques de la Direction générale de la GRC, avait constitué une équipe d'ingénieurs et d'informaticiens pour s'attaquer à Emotet.
« Le travail de l'équipe consistait à trouver les serveurs, à comprendre le chiffrement utilisé et à déjouer les divers mots de passe
», indique l'insp. Nic Gagné, officier responsable de la Section des opérations tactiques.
Il précise qu'après des mois de remue-méninges, le groupe de travail technique a concocté une technique spéciale pour infiltrer l'infrastructure du maliciel afin d'accéder aux serveurs à l'insu des criminels.
« Il a fallu recourir à l'ingénierie inverse du maliciel et élaborer une solution adaptée pour accéder aux ensembles de données des serveurs
», explique Francis Papineau, ingénieur logiciel de l'Équipe d'accès secret et d'interception de la GRC. « C'était plutôt difficile étant donné les divers niveaux de chiffrement. Ce n'est pas quelque chose qu'on apprend à l'école.
»
En novembre, l'équipe était sûre de pouvoir infiltrer les serveurs, et l'opération internationale de démantèlement d'Emotet a été amorcée le 26 janvier 2021.
À l'étranger, les responsables ont réussi à contrôler les serveurs et Emotet afin d'éviter que les criminels ne propagent le maliciel. Le maliciel a aussi été dupé de façon à télécharger et à installer un logiciel qui empêchait les criminels qui contrôlaient les serveurs de communiquer avec les ordinateurs infectés.
Le maliciel a été neutralisé le 25 avril quand on l'a invité à s'autosupprimer.
« Nous savions que si nous retirions les outils et les serveurs des mains des criminels, cela aurait une incidence énorme sur leurs activités, et c'était vrai
», conclut le s.é. m. Hawkins.
Greeley ajoute que les partenaires étrangers de la GRC ont beaucoup apprécié le travail de l'équipe.
« La GRC, l'équipe au Québec, a pu tenir son bout et afficher ses talents
», affirme Greeley. « Et ce n'est pas passé inaperçu.
»
L'insp. Gagné souligne aussi le travail du personnel technique et d'enquête de talent, ainsi que sa détermination à atteindre les objectifs de répression de la GRC.
« Nous avons beaucoup de gens intelligents et talentueux ici
», renchérit l'insp. Gagné. « Ils pourraient probablement gagner beaucoup plus dans le secteur privé, mais ils croient à l'importance du travail à accomplir ici.
»