Ces documents qui établissent que Conti, le groupe criminel de rançongiciels, oeuvre discrètement pour Poutine | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
International
Ces documents qui établissent que Conti, le groupe criminel de rançongiciels, oeuvre discrètement pour Poutine
©Hacking (AFP/THOMAS SAMSON)

Ransomware politique

Ces documents qui établissent que Conti, le groupe criminel de rançongiciels, oeuvre discrètement pour Poutine

Un hacker ukrainien a publié fin février plusieurs dizaines de milliers de documents qui établissement un lien clair entre le groupe de rançongiciels Conti et les services de renseignement russes

Loïc Guezo

Loïc Guezo

Loïc Guezo est expert en stratégie cybersécurité. Loïc Guézo est Secrétaire Général du CLUSIF (www.clusif.fr). Il est par ailleurs membre de l’ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l’Information) et réserviste Police Nationale, RCM (Référent Cyber Menaces). Twitter: @lguezo Linkedin : https://www.linkedin.com/in/lguezo/ 

Voir la bio »

Atlantico : Fin février, un chercheur ukrainien anonyme ayant infiltré le groupe Conti a publié de nombreux documents appartenant au groupe de ransomware. De quoi s’agit-il ? Que nous apprennent ces documents ? 

Loïc Guezo : Le groupe Conti s’est majoritairement déclaré en faveur de l’intervention militaire russe en Ukraine. A l’issue de cette annonce, il y a manifestement eu un conflit interne. Un des membres du groupe, manifestement pro-ukrainien, a copié plusieurs dizaines de milliers de fichiers de messages de discussion interne et les a rendus publics. Très vite, des versions traduites en différentes langues ont été dévoilées. On peut se poser la question de la parfaite adéquation entre les traductions et le texte d’origine. Pour autant, on considère que nous sommes bien sur des contenus originaux et non-modifiés. Cet Ukrainien, a priori infiltré au sein de Conti, a rendu visible une grande partie du quotidien du groupe. On observe alors que des membres de l’organisation font référence à des liens avec le FSB, le service de sécurité russe. Cela démontre que le gouvernement russe, d’une façon assez directe, est au courant voire peut influencer la nature des opérations du groupe Conti. 

Ces documents mentionnent clairement certaines activités attribuées à un groupe nommé Cozy Bear, qui est un groupe associé au gouvernement russe. On retrouve dans les leaks les discussions entre un certain Stern, chef de Conti, et El Professor, qui précisent la mise en place d’un bureau spécial dédié aux affaires gouvernementales. 

Que sait-on de la nature des liens entre le groupe de ransomware Conti et la Russie ?

Le modèle russe correspond à peu près aux poupées russes. Des cercles concentriques partent du gouvernement russe, c'est-à-dire de Poutine, vers le FSB, puis vers des groupes de hackers, dont Conti. Ces hackers ont une activité complètement criminelle sans relation directe avec Moscou. Pourtant, un des volets de leurs activités consiste à cibler, sur proposition des services russes, des pays ou des organisations dont l’intérêt est contraire à celui de la Russie. 

À Lire Aussi

Et si la Russie envahit l’Ukraine, sommes-nous prêts à résister à des cyber attaques parallèles ?

Quelle pourrait être la nature de leurs actions pour le compte du gouvernement russe ?

Conti serait spécialisé dans l’intrusion informatique et le déploiement de rançongiciel. Cela leur permet de faire de l’espionnage pour les services de renseignement russes, sur des cibles désignées par Moscou. 

A priori, les motivations de Conti sont essentiellement criminelles. Le fait de collaborer plus ou moins volontairement avec la Russie, tout en sachant qu’il ne faut pas attaquer des entités russophiles, leur donne une certaine forme d’immunité et de protection. Cela fait écho à de nombreuses victimes déclarées, notamment aux États-Unis. Par exemple, les groupes REvil et DarkSide y avaient attaqué le géant alimentaire JBS et la Colonial Pipeline, ce qui avait donné lieu à des paiements de rançons très élevées. Le gouvernement américain avait réussi à obtenir de façon apparente avec la Russie une collaboration pour arrêter certains cybercriminels de ces groupes. Le 14 janvier dernier, le FSB a ainsi arrêté 14 membres du groupe REvil, sur requête directe des États-Unis. Désormais, les Russes peuvent tout à fait les pousser à travailler pour eux en échange d’une libération. 

Le groupe Conti pourrait-il être impliqué dans le cadre de la guerre d’Ukraine ? 

Pour l’instant, aucune preuve tangible ne le démontre. En revanche, on peut très clairement le penser. La plupart des membres du groupe expriment un fort patriotisme pro-russe. Leur compétences techniques pourraient être utilisées dans le cadre d’opérations décidées par les forces russes. On peut tout à fait faire le parallèle avec le groupe Wagner. Nous sommes bien dans une privatisation de la fonction militaire par les Russes, pour le bénéfice des Russes. Je ne vois pas quelle serait la difficulté pour les groupes cyber officiels Russes de mandater des hackers comme ceux de Conti. 

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !