Getty Images
Dans le cadre de l’échange de prisonniers à grand succès entre les États-Unis et la Russie, qui a permis de libérer le journaliste Evan Gershkovich et plusieurs personnalités de l’opposition russe, la Russie a reçu en retour un ensemble hétéroclite de criminels graves, dont un assassin qui avait exécuté un ennemi de l’État russe en plein Berlin.
Mais les Russes ont également arrêté deux pirates informatiques, Vladislav Klyushin et Roman Seleznev, tous deux condamnés pour des délits financiers majeurs aux États-Unis. Le gouvernement américain a déclaré que Klyushin « a été reconnu coupable de la plus importante opération de piratage et de trading de l’histoire américaine, et de l’une des plus importantes opérations de délit d’initié jamais poursuivies ». Quant à Seleznev, les procureurs fédéraux ont déclaré qu’il avait « fait plus de mal à plus de victimes et causé plus de pertes financières que n’importe quel autre accusé ayant comparu devant le tribunal ».
Quel genre de hacker faut-il être pour attirer l’attention de l’État russe sur ce genre d’échanges de prisonniers ? Il est clair que cela aide d’avoir piraté à grande échelle et d’avoir causé des dommages importants aux ennemis de la Russie. En rapatriant ces deux hommes, les dirigeants russes envoient un message clair aux hackers nationaux : nous sommes là pour vous.
Mais il est également utile d’avoir des relations politiques. Pour en savoir plus sur ces deux hommes et leurs exploits, nous avons parcouru des documents judiciaires, des lettres et des dossiers gouvernementaux pour jeter un peu plus de lumière sur leurs crimes, leurs relations et leurs antécédents familiaux.
Vladislav Klyushin
Dans ses documents judiciaires, Vladislav Klyushin a affirmé être un homme honnête, le genre de personne qui payait les factures médicales de ses connaissances et les réparations des monastères locaux. Il a fait preuve, comme le suggèrent diverses lettres d’amis, d’une « compassion, d’une générosité et d’un engagement civique et caritatif extraordinaires ».
Selon le gouvernement américain, Klyushin aurait gagné des dizaines de millions de dollars en pariant pour et contre des sociétés américaines (« shorting ») en utilisant des informations piratées et non publiques pour effectuer des transactions boursières. Il a été arrêté en 2021 après son arrivée en Suisse à bord d’un jet privé, mais avant d’avoir pu monter dans l’hélicoptère qui l’aurait emmené à un séjour de ski prévu dans les Alpes.
Klyushin n’a jamais rencontré son père, a-t-il dit, un homme qui buvait « excessivement » et qui a été tué lors d’un vol de voiture qui a mal tourné alors que Klyushin avait 14 ans. La mère de Klyushin n’avait que 19 ans lorsqu’elle l’a eu, et la famille « avait parfois peu de nourriture et de vêtements ». Klyushin a essayé d’aider en entrant sur le marché du travail à 13 ans, mais il a réussi à obtenir son diplôme de fin d’études secondaires, d’université et même de troisième cycle, pour finalement obtenir un doctorat.
Après avoir travaillé à plusieurs reprises, notamment à l’Université linguistique d’État de Moscou, Klyushin a accepté un poste chez M-13, une société informatique moscovite qui effectuait des tests de pénétration et des « émulations avancées de menaces persistantes » – autrement dit, M-13 pouvait être embauchée pour agir comme un groupe de hackers, sondant la cybersécurité des entreprises ou des gouvernements. Curieusement pour une société de sécurité informatique, M-13 offrait également des conseils en investissement : donnez-leur votre argent et on vous promettait des rendements fantastiques, M-13 gardant 60 % de ses bénéfices.
Il ne s’agissait pas non plus d’une simple vantardise. Selon le gouvernement américain, l’équipe M-13 « avait un taux de réussite improbable de 68 % » sur ses transactions boursières et « générait des rendements phénoménaux à huit chiffres », transformant 9 millions de dollars en 100 millions de dollars (« un rendement de plus de 900 % sur une période où le marché boursier dans son ensemble n’a rapporté qu’un peu plus de 25 % », a déclaré le gouvernement).
Mais Klyushin et ses associés n’étaient pas des magiciens de la sélection d’actions. Au lieu de cela, ils avaient commencé à pirater Donnelly Financial et Toppan Merrill, deux « agents de dépôt » que de nombreuses grandes entreprises utilisent pour soumettre leurs rapports de résultats trimestriels et annuels à la Securities and Exchange Commission. Ces rapports étaient téléchargés dans les systèmes des agents de dépôt plusieurs jours avant leur publication publique. Tout ce que l’équipe M-13 avait à faire était de libérer les fichiers en avance, de les lire et d’acheter des actions de sociétés qui avaient surperformé tout en vendant à découvert des actions de sociétés qui avaient sous-performé. Lorsque les rapports ont été rendus publics quelques jours plus tard et que les marchés y ont répondu, l’équipe M-13 a réalisé d’énormes bénéfices. Klyushin lui-même a gagné plusieurs dizaines de millions de dollars entre 2018 et 2020.
Pour éviter les conséquences de ce comportement manifestement illégal, Klyushin n’avait qu’à rester en Russie – ou du moins ne pas se rendre ou transiter par un pays susceptible de l’extrader vers les États-Unis – et il pouvait continuer à acheter des yachts, des voitures et des biens immobiliers. En effet, la Russie – avec la Chine et l’Iran, les trois plus grandes sources de pirates informatiques qui attaquent des cibles américaines – ne fait pas grand-chose pour arrêter les attaques dirigées contre les intérêts américains. Comme le souligne le gouvernement américain, aucun de ces gouvernements « ne répond aux assignations à comparaître du grand jury et ne fournit que rarement, voire jamais, les types d’informations médico-légales qui aident à identifier les cybercriminels. Ils n’extradent pas non plus leurs ressortissants, ce qui laisse le gouvernement s’en remettre au risque qu’un accusé inculpé voyage ».
Mais quand on a des dizaines de millions de dollars, on a souvent envie de les dépenser à l’étranger. Klyushin a donc voyagé et s’est fait arrêter à son arrivée en Suisse. Extradé vers les États-Unis en 2021, il a été reconnu coupable lors de son procès et condamné à neuf ans de prison et à la confiscation de 34 millions de dollars. On ignore si le gouvernement américain a pu mettre la main sur une partie de cet argent, qui était caché sur des comptes bancaires dans le monde entier.
Les complices de Klyushin ont eu la sagesse de rester en Russie. Grâce à sa libération dans le cadre de l’échange de prisonniers d’aujourd’hui, tous pourront profiter de leurs biens mal acquis sans autre conséquence. L’un des collègues de Klyushin au M-13, Ivan Ermakov, serait un « ancien officier du renseignement militaire russe » qui dirigeait des programmes de désinformation « ciblant les agences internationales antidopage, les fédérations sportives et les responsables antidopage ».