Snowflake : un Canadien extradé vers les États-Unis pour une série de cyberattaques

Posted On 25 Mar 2025

Tag: infos stealers, infostealer, Snowflake, The Com, waifu

Un Canadien extradé vers les États-Unis pour une série d’attaques informatiques contre 165 clients de Snowflake. Le ver était dans l’info stealer !

Connor Moucka, âgé de 26 ans, a accepté son extradition vers les États-Unis après avoir été inculpé de 20 chefs d’accusation fédéraux, notamment pour fraude informatique, accès illégal à des systèmes protégés, menaces contre la confidentialité des données, fraude électronique et usurpation d’identité aggravée. Ce citoyen canadien est accusé d’être impliqué dans une vaste série d’attaques ciblant plusieurs dizaines de clients de la société Snowflake (cloud).

Une extradition rapide vers les États-Unis

Connor Moucka, connu sous plusieurs pseudonymes en ligne, dont « Waifu », « Judische », « Catist » et « Ellyel8, » a été arrêté le 30 octobre 2024 à Kitchener, en Ontario, à la demande des autorités américaines. La justice fédérale américaine a rendu publique l’acte d’accusation en novembre 2024, révélant l’implication de Moucka dans une série d’attaques massives ayant compromis les environnements Snowflake de nombreuses grandes entreprises, dont AT&T, Ticketmaster.

Moucka a comparu devant le juge Ian Smith de la Cour supérieure de justice de Kitchener, où il a consenti à son extradition en signant une renonciation au délai d’attente de 30 jours prévu par la Loi sur l’extradition du Canada. Il faut dire aussi qu’accepter d’être extradé et jugé rapidement permet de réduire la peine de prison. En signant le document sous le nom d’Alexander Moucka/Connor Moucka, il a formellement accepté d’être transféré vers les États-Unis pour y être jugé.

Service de Veille ZATAZ – 96% de satisfaction

L’extradition de Moucka marque une accélération dans l’affaire, les autorités américaines cherchant à juger rapidement les responsables de cette campagne de piratage massive. Si les accusations sont confirmées, Moucka risque plusieurs décennies de prison fédérale, en raison de la gravité des charges retenues contre lui.

Des attaques d’envergure ayant compromis des millions de données sensibles

Les attaques menées par Moucka et ses co-conspirateurs ont exposé plusieurs centaines de millions d’enregistrements sensibles dans les environnements Snowflake compromis. Snowflake, une plateforme de gestion de données en cloud très utilisée par les grandes entreprises, a été le théâtre de cette attaque massive qui a ciblé les environnements de stockage et d’analyse de données de plusieurs clients.

Selon l’acte d’accusation, Moucka et ses complices auraient tenté de soutirer des rançons à plus de 10 entreprises et auraient réussi à extorquer environ 2,5 millions de dollars en cryptomonnaie à leurs victimes. Les enquêteurs fédéraux estiment que Moucka et ses complices ont exploité des failles dans les configurations de sécurité des environnements Snowflake, utilisant des techniques avancées de piratage pour infiltrer les systèmes, extraire des données sensibles et menacer de les divulguer publiquement en cas de non-paiement.

Un réseau criminel international

Les procureurs fédéraux américains accusent Moucka d’avoir agi en collaboration avec d’autres cybercriminels, dont John Binns et Cameron Wagenius. Les trois hommes seraient liés à un écosystème criminel en ligne appelé « The Com« , une organisation connue pour ses activités dans le domaine de la cybercriminalité, de la violence, de l’extorsion, des enlèvements, des fusillades et des vols.

John Binns, co-conspirateur présumé de Moucka, fait face à des accusations similaires devant le tribunal fédéral du Western District de Washington. Les procureurs affirment que Moucka et Binns ont coordonné leurs attaques à l’aide de techniques sophistiquées, tirant parti de vulnérabilités dans les configurations de sécurité de Snowflake pour accéder à des bases de données sensibles.

Service de Veille ZATAZ – 96% de satisfaction

Cameron Wagenius, âgé de 21 ans et membre de l’armée américaine, a été arrêté en décembre 2024 après avoir tenté de vendre des informations sensibles volées à un service de renseignement étranger. Wagenius aurait fourni des dossiers téléphoniques confidentiels et d’autres données critiques en échange d’une rémunération. Il a depuis déposé une intention de plaider coupable pour diffusion illégale d’informations confidentielles.

Selon les enquêteurs, Moucka, Binns et Wagenius ont utilisé leurs accès pour exploiter stratégiquement les environnements Snowflake, combinant piratage informatique, extorsion et revente de données à des acteurs étrangers. Ce mode opératoire témoigne d’une organisation structurée, avec des rôles distincts pour l’accès initial, le vol de données et la revente ou la diffusion des informations obtenues.

Une fois encore, ce n’est pas la sécurité de Snowflake qui a été visée directement, mais ses clients. Les pirates ont utilisé des identifiants obtenus par info stealers, le Service de Veille ZATAZ et le ZATAZ Watch surveillent une centaine de groupes de pirates exploitant ce type d’outils d’espionnage, pour accéder à des comptes Snowflake qui ne disposaient pas d’une authentification multifactorielle (MFA/2fa) ou dont l’accès n’était pas restreint à des emplacements de confiance. Certains des identifiants utilisés étaient vieux de plusieurs années.

Des petites annonces sur des forums russes, dont White warlock ou encore Kraken proposaient à la vente des données de 30 millions de clients de Santander Group. Les informations volées incluaient des données de clients de Santander Chili, Espagne et Uruguay, ainsi que des données d’employés. Live Nation, la société mère de Ticketmaster, signalait dans la foulée une « activité non autorisée » dans une base de données cloud tierce. Les données volées de Ticketmaster, impliquant potentiellement 560 millions de personnes, ont été mises en vente sur BreachForums. Forum fermé par le FBI.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.