Chantage à la webcam: deux hackeurs condamné à trois ans de prison pour "sextorsion"

Costume bleu marine impeccable pour l'un, pull et jean gris pour l'autre: Augustin I. et Jordan R., debout côte à côte à la barre, têtes baissées, ont écouté religieusement le délibéré de leur procès pour "sextorsion", ce jeudi 2 novembre.

La 13e chambre du tribunal correctionnel de Paris les a condamnés tous les deux à trois ans de prison, dont deux ans de sursis, pour chantage et tentative de chantage, accès et maintien frauduleux dans un système de traitement automatisé de données et blanchiment.

Les deux jeunes hackeurs, aujourd'hui âgés de 25 ans, étaient poursuivis pour avoir activé les caméras de milliers d'ordinateurs à distance grâce à un virus et menacé des internautes de diffuser des vidéos intimes d'eux s'ils ne payaient pas de rançon.

[INÉDIT] "Sextorsion": quand les hackeurs font du chantage à la vidéo intime

18:34

Un courriel piégé

L'histoire commence en janvier 2019, par un simple e-mail, contenant une pièce jointe: ils invitent les internautes qui l'ont reçu à régler une facture. Mais un seul clic suffit pour refermer le piège du "malware" Varenyky - un nom imaginé par l'entreprise spécialisée ESET, qui a découvert ce virus, en référence à un plat traditionnel ukrainien.

En ouvrant ce document, l'utilisateur vient sans le savoir de créer un "botnet", un réseau d'ordinateurs infectés, que l'on surnomme "machines zombies". Ce système utilise la boîte mail des premières victimes pour envoyer de nouveaux messages piégés à leur entourage, multipliant ainsi le nombre d'ordinateurs infectés. Près de 2.000 pour ce duo, estimeront les enquêteurs par la suite.

Résultat, des milliers d'adresses mails, achetées sur le dark web ou volées grâce à ce dispositif reçoivent un message d'extorsion d'un pirate informatique. Il prétend les avoir filmés, via la webcam de leur ordinateur, en train de se masturber devant du contenu pornographique.

Des webcams activées à distance

C'est là que le chantage commence. S'ils ne veulent pas que des photographies ou des vidéos d'eux soient diffusées à leurs proches, les internautes sont invités à verser autour de 500 euros en bitcoins, sur un "wallet", c'est-à-dire un "portefeuille" numérique. Mais l'histoire ne s'arrête pas là.

Car si le chantage n'aurait, initialement, reposé que sur du bluff, les enquêteurs estiment qu'une version plus évoluée du "malware" aurait permis d'activer les webcams à distance pour filmer les internautes, dès que certains mots-clés à caractère pornographique étaient tapés dans la barre de recherche.

Sur ce point, le duo botte en touche. S'ils ont bien mis au point ce système, ils ont rapidement abandonné le projet, affirmeront-ils devant les enquêteurs, expliquant que les données reçues étaient trop nombreuses et généraient un grand nombre "de faux positifs". D'autant que, selon leur récit, ces fichiers ne leur permettaient pas d'identifier des victimes précises.

Les expertises informatiques contredisent cette version. Des fichiers contenant des données personnelles de victimes et des captures d'écran des vidéos de personnes enregistrées par leur webcam devant des sites pornographiques ont été retrouvés dans le matériel informatique des deux hackeurs.

Des victimes probablement plus nombreuses

À l’époque, de l'autre côté de l'écran, si certains internautes ignorent ce message, d'autres cèdent à la panique, allant même jusqu'à payer la rançon. Entre janvier et juin 2019, les policiers reçoivent plus de 20.000 signalements. Une enquête est alors ouverte par le parquet de Paris.

Au total, 1.300 personnes déposent plainte. Parmi elles, 47 auraient payé la rançon exigée. Mais selon les policiers, le nombre de victimes pourrait être beaucoup plus important, certaines, par honte, n'ayant pas osé porter plainte ou dire qu'elles avaient payé.

Après plusieurs mois d'investigations, les enquêteurs de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLTIC) identifient Jordan R. et Augustin I. Le premier est arrêté à l'aéroport de Roissy Charles-de-Gaulle en septembre 2019, à son retour de Pologne. Le second, se sachant recherché, s'est présenté de lui-même dans un commissariat parisien en décembre de la même année.

Devant les enquêteurs, Jordan R. et Augustin I. reconnaissent les faits, mais ils minimisent tous les deux leur degré d'implication et les gains obtenus. Pour les policiers de l'OCLTIC, le duo, décrit comme ayant de "grandes compétences" en informatique, aurait empoché 1,3 million d'euros en bitcoins,

Faux, affirment Jordan et Augustin, qui évaluent leurs gains à "seulement" l'équivalent de 150.000 euros en bitcoin, affirmant n'avoir in fine touché que 20.000 à 30.000 chacun. Après quatre ans d'investigations, impossible pour les enquêteurs de déterminer précisément la somme, ni de savoir si elle provenait uniquement de cette fraude-là.

Un système de blanchiment

Et pour cause, les cryptomonnaies récoltées étaient converties en espèce, notamment via un bureau de change à Odessa en Ukraine. Cet argent liquide était ensuite dépensé pour des dépenses quotidiennes, comme des loyers, des hôtels, des restaurants ou du matériel informatique, mais également pour de nombreux voyages entre l'Ukraine, la France et d'autres pays de l'Est.

Lors de leur procès, fin septembre, les deux jeunes hommes étaient revenus sur les difficultés psychologiques et leur isolement respectif. Une "addiction" aux jeux vidéo et des séjours en hôpital psychiatrique pour Augustin, du harcèlement scolaire et des difficultés financières pour Jordan.

Les deux garçons se sont connus sur internet, à l'adolescence, et se sont formés à l'informatique de manière autodidacte. Le duo, qui cherchait un pays "où le coût de la vie n’était vraiment pas cher", se retrouve en Ukraine à l'été 2018. Augustin I. s'occupe de créer Varenyky, à partir d’un de ses premiers logiciels malveillants. Jordan R., lui, gère les serveurs permettant d’administrer les machines infectées.

"Un show stupide"

Lors de son arrestation, Jordan R. pointe du doigt son ami, qu'il présente comme le cerveau de l'opération. Un rôle qu'assume dans un premier temps Augustin I., avant de se rétracter. "Quand j’étais en garde à vue, j’ai tout exagéré. Tout était un show stupide", a-t-il expliqué à la barre. Jordan R. lui "voulait que ça s'arrête", a-t-il assuré, évoquant son retour en France, alors qu'il savait qu'il était recherché.

"Monsieur I. a tout intérêt à minimiser ses compétences (...) Ce ne sont pas juste des copier-coller à la portée de n’importe quel “bras cassé” (...) On est sur un volume absolument massif ", avait estimé la procureur le dernier jour du procès.

Pour elle, si le montant des gains n'est pas clair, c'est justement parce que c'était "l’objet du schéma (de blanchiment) qui a été mis en place". Mais pour le tribunal, la participation des deux pirates informatiques est "similaire", a expliqué la présidente, ce jeudi, en détaillant la peine, identique pour les deux prévenus. Ils ont chacun écopé de trois ans de prison, dont un an sous surveillance électronique et deux ans de sursis probatoire, avec obligation de travail, de soin et indemnisation des parties civiles.

Si 149 personnes s'étaient constituées parties civiles, un grand nombre d'entre elles ont été écartées en raison d'emails reçus hors de la période des faits reprochés aux deux jeunes hommes - janvier à juin 2019 - et de messages en anglais, que le duo nie avoir rédigés. Jordan R. et Augustin I. devront verser aux autres 600 euros au titre de leur préjudice moral.