Ces documents qui établissent que Conti, le groupe criminel de rançongiciels, oeuvre discrètement pour Poutine

Atlantico : Fin février, un chercheur ukrainien anonyme ayant infiltré le groupe Conti a publié de nombreux documents appartenant au groupe de ransomware. De quoi s’agit-il ? Que nous apprennent ces documents ? 

Loïc Guezo : Le groupe Conti s’est majoritairement déclaré en faveur de l’intervention militaire russe en Ukraine. A l’issue de cette annonce, il y a manifestement eu un conflit interne. Un des membres du groupe, manifestement pro-ukrainien, a copié plusieurs dizaines de milliers de fichiers de messages de discussion interne et les a rendus publics. Très vite, des versions traduites en différentes langues ont été dévoilées. On peut se poser la question de la parfaite adéquation entre les traductions et le texte d’origine. Pour autant, on considère que nous sommes bien sur des contenus originaux et non-modifiés. Cet Ukrainien, a priori infiltré au sein de Conti, a rendu visible une grande partie du quotidien du groupe. On observe alors que des membres de l’organisation font référence à des liens avec le FSB, le service de sécurité russe. Cela démontre que le gouvernement russe, d’une façon assez directe, est au courant voire peut influencer la nature des opérations du groupe Conti. 

Ces documents mentionnent clairement certaines activités attribuées à un groupe nommé Cozy Bear, qui est un groupe associé au gouvernement russe. On retrouve dans les leaks les discussions entre un certain Stern, chef de Conti, et El Professor, qui précisent la mise en place d’un bureau spécial dédié aux affaires gouvernementales. 

Que sait-on de la nature des liens entre le groupe de ransomware Conti et la Russie ?

Le modèle russe correspond à peu près aux poupées russes. Des cercles concentriques partent du gouvernement russe, c'est-à-dire de Poutine, vers le FSB, puis vers des groupes de hackers, dont Conti. Ces hackers ont une activité complètement criminelle sans relation directe avec Moscou. Pourtant, un des volets de leurs activités consiste à cibler, sur proposition des services russes, des pays ou des organisations dont l’intérêt est contraire à celui de la Russie. 

Quelle pourrait être la nature de leurs actions pour le compte du gouvernement russe ?

Conti serait spécialisé dans l’intrusion informatique et le déploiement de rançongiciel. Cela leur permet de faire de l’espionnage pour les services de renseignement russes, sur des cibles désignées par Moscou. 

A priori, les motivations de Conti sont essentiellement criminelles. Le fait de collaborer plus ou moins volontairement avec la Russie, tout en sachant qu’il ne faut pas attaquer des entités russophiles, leur donne une certaine forme d’immunité et de protection. Cela fait écho à de nombreuses victimes déclarées, notamment aux États-Unis. Par exemple, les groupes REvil et DarkSide y avaient attaqué le géant alimentaire JBS et la Colonial Pipeline, ce qui avait donné lieu à des paiements de rançons très élevées. Le gouvernement américain avait réussi à obtenir de façon apparente avec la Russie une collaboration pour arrêter certains cybercriminels de ces groupes. Le 14 janvier dernier, le FSB a ainsi arrêté 14 membres du groupe REvil, sur requête directe des États-Unis. Désormais, les Russes peuvent tout à fait les pousser à travailler pour eux en échange d’une libération. 

Le groupe Conti pourrait-il être impliqué dans le cadre de la guerre d’Ukraine ? 

Pour l’instant, aucune preuve tangible ne le démontre. En revanche, on peut très clairement le penser. La plupart des membres du groupe expriment un fort patriotisme pro-russe. Leur compétences techniques pourraient être utilisées dans le cadre d’opérations décidées par les forces russes. On peut tout à fait faire le parallèle avec le groupe Wagner. Nous sommes bien dans une privatisation de la fonction militaire par les Russes, pour le bénéfice des Russes. Je ne vois pas quelle serait la difficulté pour les groupes cyber officiels Russes de mandater des hackers comme ceux de Conti.