BX1 is back : l’enquête qui remet devant la justice le pirate Hamza Bendelladj

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS
Si vous aimez nos actus inédites, ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS

Le pirate informatique Hamza Bendelladj, aka BX1, devait quitter les geôles américaines après une décennie derrière les barreaux pour piratage bancaire. Le hacker est de nouveau devant la justice, mais cette fois en France.

Une analyse minutieuse du fonctionnement du rançongiciel, des requêtes judiciaires fructueuses et des recherches en sources ouvertes. C’est, selon les informations de Zdnet, par le biais du journaliste Gabriel Thierry, la combinaison gagnante utilisée par les enquêteurs de la Brigade de Lutte contre la Cybercriminalité (BL2C) de la Préfecture de Police de Paris pour retracer le pirate informatique Hamza Bendelladj (Aka BX1).

Condamné en 2016 par la justice américaine à 15 ans de prison, Bx1 devait retrouver une semi-liberté. La justice américaine a préféré le garder entre 4 murs pour que la justice française puisse l’entendre ce 31 août 2023 au tribunal de Paris.

Pourquoi ? Bx1 est coincé au cœur de l’enquête concernant PyLocky, le rançongiciel découvert en 2018. Hamza aurait continué ses malveillances de sa prison américaine en lançant des cyber attaques exploitant ce logiciel pirate ! Il aurait, par exemple, permis de rançonner des prisons, une association de notaires ou une banque coopérative. Ce 31 août, il sera jugé par visioconférence depuis sa prison, comme ce fût le cas, en mai 2023. La justice américaine a décidé de le garder, de crainte qu’il disparaisse avant de comparaitre devant la justice française.

Selon certains spécialistes, il aurait également participé à l’utilisation du malware Tinynuke, contre des banques françaises, en 2017/2018. TinyNuke, également connu sous le nom de Nuclear Bot, était un malware bancaire découvert en 2016. Son code source sera révélé en 2017, profitant ainsi à de nombreux autres pirates.

Actif depuis juillet 2018, les attaques PyLocky étaient dirigées contre les utilisateurs européens : fin août, près des 2/3 des cibles du ransomware se trouvaient en France. Les messages étaient rédigés en anglais, français, italien, coréen. A l’époque, les spécialistes de Trend Micro soulignaient que PyLocky n’avait rien à voir avec Locky, un autre agressif logiciel pirate.

Le malware avait été créé à l’aide de PyInstaller, outil qui permet de transformer une application Python en fichier exécutable. PyLocky utilisait aussi un programme d’installation open source Inno Setup, le rendant difficile la détection.

Ce logiciel pirate était distribué de manière traditionnelle : le spam. De nombreux courriels étaient envoyés à des employés de diverses entreprises [et pas des particuliers tirés au hasard]. Ils dirigeaient  les cibles via de faux sites : securitesitefr[.]com, Etc.

Une fois activé, le programme malveillant se mettait en veille pendant 11 jours.

Bx1 aurait diffusé 500.000 mails piégés lors de chaque cyber attaque, selon une source proche du dossier.

Derrière les barreaux, le business continue

Comme je vous l’expliquais dans cet article, le business pour certains pirates (homme et femme) continue même en prison. Il semble donc que pour le « hacker souriant » [Smile Hacker], il en soit de même.

BX1 a attiré l’attention des policiers français à la suite de plaintes en juin 2018. Ces enquêteurs ont exploré le rançongiciel PyLocky, découvrant son code simple en Python et son infrastructure peu sophistiquée. L’analyse des campagnes de spam a révélé un premier indice : le serveur utilisé se trouvait en France, chez un hébergeur Lyonnais. Grâce à une copie du serveur obtenue par une réquisition judiciaire, les enquêteurs ont scruté la mécanique de l’envoi des spams, en examinant les adresses de messagerie liées aux envois de tests pour contourner les filtres antispam.

Lors de leurs investigations, les enquêteurs découvrent l’implication d’une personne nommée Boualem. À leur grande surprise, des recherches ultérieures révèlent que Boualem est en fait le frère de Bx1, en prison aux USA. « Cette localisation prend un sens particulier pour les enquêteurs, car elle est déjà mentionnée dans le dossier judiciaire en relation avec des adresses IP liées à des attaques survenues dans cette région. » explique Gabriel Thierry.

L’examen d’autres adresses utilisées pour les tests apporte plus de contexte. L’une d’entre elles, prétendument associée à la compagne de Boualem, attire l’attention en raison de sa relation antérieure avec l’un des domaines du botnet Zeus, mentionnée dans une plainte de Microsoft en 2012.

En juin 2019, les autorités françaises diffusées un outil permettant de déchiffrer les fichiers pris en otage par PyLocky. Un outil, fruit de la collaboration des services du ministère de l’Intérieur, en particulier de la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI), aujourd’hui baptisé BL2C,  de la Direction régionale de la police judiciaire de Paris et des chercheurs en sécurité bénévoles. Ces éléments ont permis au Service des technologies et des systèmes d’information de la sécurité intérieure ST(SI), rattaché à la Gendarmerie nationale, de réaliser l’anti PyLocky.

Fait intéressant, selon les observations du spécialiste Michael Gillespie, l’outil des autorités françaises contennait deux clés privées RSA codées en dur. Cela signifiait que les experts avaient non seulement trouvé une faille dans l’algorithme de chiffrement utilisé par le ransomware, mais que les forces de l’ordre avaient pu accéder au serveur de contrôle des attaquants, où ils ont trouvé les clés principales des versions 1 et 2 de PyLocky. Fait confirmé depuis par la justice.

Une autre adresse électronique établit également un lien avec un nom de domaine associé à TinyNuke, le cheval de Troie cité plus haut ! Logiciel pirate qui permet de diffuser PyLocky. PyLocky avait été créé par un jeune Français nommé Augustin 1er. Les messages se font passer pour La poste et diffusent de fausses factures. A lire l’enquête exceptionnelle d’un ancien membre d’une équipe CERT d’une banque française sur le sujet.

Cette nouvelle affaire doit connaître son dénouement, jeudi 31 août, à Paris. Un jugement qui pourrait encore être reporté à la demande des deux avocats de Bx1. Ce dernier plaide son innocence indiquant ne pas être responsable de ce qui lui est reproché.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.