L’attaque informatique contre Edenred en cachait une autre

Est-ce une nouvelle version moderne du pompier pyromane ou le bouc émissaire victime d’un piratage technologique de très haut vol ? Lundi 21 septembre, la 12^e chambre du tribunal correctionnel de Paris s’est penchée sur une drôle d’affaire qui s’est déroulée en marge du piratage informatique d’Edenred en novembre 2019. Antoine est soupçonné d’avoir tenté d’escroquer cette entreprise qui édite les Tickets restaurants et d’avoir abusé de la confiance de son ancien employeur, Microsoft.

L’audience est un peu spéciale. C’est en effet la dernière fois que la vice-procureure Alice Cherif, cheffe du pôle cybercriminalité du parquet de Paris, représente l’accusation. La magistrate va partir dans quelques jours en détachement aux douanes.

Antoine, tout juste 30 ans, est un crack informatique du Val-d’Oise. Depuis cette histoire, ce jeune homme bien habillé et aux cheveux soigneusement coiffés a changé de boîte et émarge désormais à un salaire confortable chez le leader français des services numériques, Capgemini. Il est senior architecte en cybersécurité. Et bien embêté des accusations graves portées contre lui. Sa demande de relaxe au bénéfice du doute fait face aux neuf mois d’emprisonnement requis par le parquet.

— Est-on sûr que c’est lui, sous la cagoule ?, questionne son avocat, M^e Antoine Guglielmi. Non, on n’est pas sûr. Sa version n’est pas entièrement contredite. On le fait passer pour l’ultra-méchant et le gros malin. Mais s’il avait dû faire [cette tentative d’extorsion], il aurait fait mieux.

— J’ai une certaine expérience dans l’informatique, complète Antoine. Commettre ce genre d’erreur, par rapport au niveau que je possède aujourd’hui, c’est comme aller [braquer] une banque avec sa voiture personnelle. Il n’y a pas eu de réseau privé virtuel utilisé pour masquer l’adresse IP. Et faire cela depuis un lieu où je suis tout seul et avec un ordinateur de travail, c’est quand même bête.

La justice soupçonne un nouveau maître chanteur

Il y a moins d’un an, à la fin novembre 2019, la société Edenred est victime d’une attaque informatique. Il s’agit d’un rançongiciel : des données internes resteront chiffrées tant qu’une rançon n’aura pas été payée. Alors que la société relève péniblement la tête – l’enquête sur ce volet est toujours en cours –, elle reçoit coup sur coup deux mails, les 3 et 6 décembre, demandant expressément le versement d’une rançon de plusieurs centaines de milliers d’euros. Une demande étonnante : des négociations étaient pourtant en cours avec les pirates pour le versement de Monero, une cryptomonnaie.

Mais qui est donc ce nouveau maître-chanteur ? Pour les enquêteurs de la brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti), il s’agit d’Antoine, l’un des sept membres de l’équipe de spécialistes missionnés par Microsoft auprès d’Edenred pour justement lui éviter le naufrage après l’attaque informatique. L’informaticien est chargé d’une mission particulièrement sensible. Il doit inspecter l’Active directory, cette sorte d’annuaire qui permet de voir les accès et les autorisations informatiques.

Plusieurs indices mènent les policiers au jeune homme. L’adresse IP enregistrée le 29 novembre 2019 lors de la création du mail utilisé pour la nouvelle demande de rançon, qui correspond à la salle de réunion d’un imprimeur rennais, Jouve, où Antoine effectuait une nouvelle mission. Deux minutes plus tard, on notera dans cette salle une connexion vers un navigateur Tor, qui permet d’anonymiser sa session de navigation. Antoine est le seul des quatre personnes présentes ce jour-là dans cette salle à s’être branché au réseau internet filaire. Le mail de récupération de l’adresse Protonmail, un service sécurisé basé en Suisse, renvoie également à un compte Gmail créé en 2005 par Antoine. Quant au chiffre de l’adresse mail, il est utilisé fréquemment par le prévenu pour d’autres alias sur le net : il correspond au mois et jour de naissance de sa mère.

Enfin, Antoine fait partie de la poignée de destinataires qui ont eu accès au rapport interne de Microsoft sur la première attaque, envoyé par le nouveau maître-chanteur dans le second mail comme preuve de sa présence dans les systèmes d’information d’Edenred. « Ce n’est pas un faisceau d’indices, mais des preuves multiples et répétées, résume Alice Cherif. Il a cru qu’il serait protégé en en utilisant une messagerie Protonmail ».

Thèse du piratage informatique

Pendant environ deux heures, le jeune homme, qui conteste être à l’origine de la tentative d’extorsion, va au contraire plaider la thèse du piratage informatique. Certes, la nouvelle demande de rançon a bien été faite depuis son ordinateur. Mais à son insu. Dans la salle d’audience du quatrième étage du palais de justice de Paris, les débats se concentrent d’abord sur le déroulé de la pause déjeuner d’Antoine, le 29 novembre 2019. Une chose est sûre : entre midi et 14 heures, le jeune homme a bien regardé quelques vidéos sur Netflix.

— J’étais en train de regarder Netflix mais mon pare-feu était désactivé pour pouvoir faire des tests, se souvient Antoine. La personne aurait pu prendre le contrôle à distance. Un de mes comptes bancaires a été piraté, j’ai été remboursé depuis.

— Mais comment un spécialiste informatique peut-il être aussi facilement victime d’un piratage, s’étonne le juge rapporteur Truffert.

— J’étais surchargé de travail, j’avais passé de nouvelles certifications et pas mal révisé. J’ai été toujours à 200 %, répond Antoine.

— Le prévenu a toujours réponse à tout, observe Alice Cherif, circonspecte.

— Évidemment qu’il a réponse à tout, c’est son métier, rétorque M^e Antoine Guglielmi. Rien n’est clair dans cette enquête.

— Les enquêteurs ont regardé uniquement les logs de la machine, pas les pare-feux. Ils ont vu une déconnexion entre le réseau filaire et mon partage de connexion 4G, mais n’ont pas analysé la connexion 4G de mon téléphone, conclut Antoine.

La mise en cause des enquêteurs de la Befti, le service de police judiciaire en charge du plus grand nombre d’enquêtes sur des rançongiciels en France, fait voir rouge la vice-procureure. « C’est leur métier de trouver des traces, on ne peut pas leur faire la leçon », rappelle-t-elle. « Ils ont très bien fait son travail, abonde M^e Sandrine Cullaffroz-Jover, l’avocate d’Edenred. Il n’y a pas de trace de compromission à distance du pare-feu de Jouve, pas de trace d’intrusion dans votre disque dur, ni de malware ou de logiciel qui aurait permis une prise de contrôle. Comment ces opérations auraient-elles pu se réaliser sans votre maîtrise ? »

Après la pause déjeuner sur Netflix, les magistrats s’intéressent aux autres éléments à charge contre Antoine.

— Comment expliquez-vous le fait que le chiffre 716 soit repris ?, demande le juge Truffert.

— Il suffit qu’un appareil soit compromis pour que les hackers puissent tout consulter, répond Antoine. Ils vont forcément tomber sur le chiffre 716. Personne n’est à l’abri d’un piratage. Il y a toujours plus fort que soi. Vous n’imaginez pas toutes les données que l’on peut récupérer sur une machine.

— Mais qui pourrait vous en vouloir ?

— Je ne sais pas. Peut-être que ce n’est pas vraiment moi la cible, ou même Microsoft. Nous avons accès à tout un panel de clients.

Pour Microsoft et son client Edenred, la facture de la nouvelle tentative d’extorsion est justement particulièrement salée. Le spécialiste du ticket restaurant estime avoir dépensé près de 219 000 € pour ce nouvel épisode. Microsoft, compte tenu des soupçons qui pèsent sur son ancien employé, s’est assis sur une grosse facture de 330 000 €. Des sommes que les deux entreprises réclament aujourd’hui à Antoine. « Je me pose la question du préjudice économique de Microsoft, s’interroge M^e Antoine Guglielmi. Y a-t-il eu une rupture de confiance avec Edenred ? Je ne crois pas, puisque l’entreprise a continué à fournir une prestation. Mais que Microsoft ait offert quelque chose une fois dans sa vie, cela les honore. »

Le jugement a été mis en délibéré.