Cette histoire a été initialement publiée par ProPublica.
Le 25 février, le lendemain de l’invasion de l’Ukraine par la Russie, un gang de rançongiciels prolifique appelé Conti a fait une proclamation sur son site Web sombre. C’était une déclaration politique inhabituelle pour une organisation de cybercriminalité : Conti a promis son « soutien total au gouvernement russe » et a déclaré qu’il utiliserait « toutes les ressources possibles pour riposter aux infrastructures critiques » des opposants à la Russie.
Sentant peut-être qu’une telle alliance publique avec le régime du président russe Vladimir Poutine pourrait causer des problèmes, Conti a tempéré sa déclaration plus tard dans la journée. « Nous ne nous allions à aucun gouvernement et nous condamnons la guerre en cours », a-t-il écrit dans un communiqué de suivi qui a néanmoins promis des représailles contre les États-Unis s’ils utilisaient la cyberguerre pour cibler « toute région russophone du monde ».
Conti était probablement préoccupé par le spectre des sanctions américaines, que Washington applique aux personnes ou aux pays menaçant la sécurité, la politique étrangère ou l’économie des États-Unis. Mais la tentative de Conti de reprendre son statut d’opération apatride n’a pas fonctionné : quelques jours après l’invasion russe, un chercheur qui allait plus tard tweet « Gloire à l’Ukraine ! » a divulgué 60 000 messages Conti internes sur Twitter. Les communications montraient des signes de liens entre le gang et le FSB, une agence de renseignement russe, et en comprenaient une suggérant qu’un patron de Conti « est au service de Pu ».
Pourtant, alors même que la famille de Poutine et d’autres responsables, oligarques, banques et entreprises russes ont été confrontés à une vague sans précédent de sanctions américaines conçues pour imposer un coup paralysant à l’économie russe, Conti n’a pas été frappé de sanctions. Chaque fois que le département du Trésor américain sanctionne une telle opération, les Américains sont légalement interdits de payer une rançon.
Le fait que Conti n’ait pas été inscrit sur une liste de sanctions peut sembler surprenant compte tenu des dommages considérables qu’il a causés. Conti a pénétré les systèmes informatiques de plus de 1 000 victimes dans le monde, verrouillé leurs fichiers et collecté plus de 150 millions de dollars de rançons pour rétablir l’accès. Le groupe a également volé les données des victimes, publié des échantillons sur un site Web sombre et menacé d’en publier davantage à moins qu’il ne soit payé.
Mais seule une petite poignée des légions de criminels et de groupes de rançongiciels présumés attaquant les victimes américaines ont été nommés sur des listes de sanctions au fil des ans par le Bureau du contrôle des avoirs étrangers du département du Trésor, qui les administre et les applique.
Mettre un groupe de rançongiciels sur une liste de sanctions n’est pas aussi simple qu’il n’y paraît, ont déclaré des responsables actuels et anciens du Trésor. Les sanctions ne valent que les preuves qui les sous-tendent. L’OFAC s’appuie principalement sur les informations des agences de renseignement et d’application de la loi, ainsi que sur les rapports des médias et d’autres sources. En ce qui concerne les rançongiciels, l’OFAC a généralement utilisé des preuves tirées d’actes d’accusation, comme celui du cerveau présumé derrière le gang de cybercriminalité Evil Corp basé en Russie en 2019. Mais de telles mesures d’application de la loi peuvent prendre des années.
« L’attribution est très difficile », a reconnu Michael Lieberman, directeur adjoint de la division de l’application de la loi de l’OFAC, lors d’une conférence cette année. (Le département du Trésor n’a pas répondu aux demandes de commentaires de ProPublica.)
Les groupes de rançongiciels changent constamment de nom, en partie pour échapper aux sanctions et aux forces de l’ordre. En effet, jeudi, un site technologique appelé BleepingComputer a rapporté que Conti lui-même avait « officiellement arrêté leur opération ». L’article, qui citait des informations d’une société de prévention des menaces appelée AdvIntel, présentait des détails sur l’état des sites et des serveurs de Conti, mais était sans ambiguïté sur un point clé : « Conti est parti, mais l’opération continue ».
L’évanescence du nom Conti souligne une autre raison pour laquelle il est difficile de sanctionner les groupes de rançongiciels : mettre un groupe sur une liste d’entités sanctionnées sans également nommer les individus derrière lui ou divulguer d’autres caractéristiques d’identification pourrait causer des difficultés aux passants. Par exemple, un client d’une banque portant le nom de famille « Conti » pourrait apparaître comme une personne sanctionnée, créant une exposition juridique involontaire pour cette personne et la banque, a déclaré Michael Parker, un ancien responsable de la division de l’application de l’OFAC. Le gouvernement devrait alors démêler ces grognements.