On peut reconnaître aux cyber délinquants une certaine dose d’imagination dans le choix des noms de leurs rançongiciels (ransomware). Le dénommé Ragnar, qui affecte les appareils exécutant le système d'exploitation Microsoft Windows, est inspiré d’une figure semi-légendaire qui apparaît dans divers écrits de la littérature scandinave, Ragnar Lodbrock, guerrier redoutable qui dévastait, pillait, brûlait les villes dans lesquelles il pénétrait. Le Ragnar numérique n’agit pas autrement, pillant les données informatiques, avant d’exiger une rançon de 5 à 70 millions de dollars en échange de la clef de déchiffrement.

Une « task force » menée par le C3N

Ragnar s'est fait connaître à la fin de l’année 2019, et est vite devenu tristement célèbre pour avoir affecté de grandes organisations dans de nombreux secteurs. En France, le rançongiciel est entré en action en 2020, en attaquant une multinationale du secteur maritime. Alertée, la Section de recherches (S.R.) de la gendarmerie maritime, renforcée par l’antenne du Centre de lutte contre les criminalités numériques (C3N) de Marseille, territorialement compétente, réalise alors une première évaluation de la situation, en lien avec les enquêteurs et les techniciens du C3N qui se déplacent immédiatement sur site, accompagnés par la cellule nationale de négociation du Groupe d’intervention de la gendarmerie nationale (GIGN).

« Le mot d’ordre dans cette situation, c’est d’abord de ne surtout pas payer la rançon, insiste le lieutenant-colonel Jean-Eudes, adjoint au chef de la Division des opérations C3N du Commandement de la gendarmerie dans le cyberespace (ComCyberGend). Parce qu’il n’y a aucune garantie de récupérer la clef de déchiffrement, et que celle-ci peut même détenir un virus permettant d’attaquer à nouveau plus tard. Dans le cadre d’échanges entre la victime et l’attaquant, les négociateurs appuient la victime dans cette discussion qui peut conduire à la baisse du montant de la rançon. C’est, en quelque sorte, une transposition dans l’espace numérique de savoir-faire utilisés lors de négociations avec un forcené ou un preneur d’otage. »

Pour affronter cet ennemi qui semble très structuré, une « task force » est rapidement mise en place au niveau d’Europol, dont le C3N devient le leader. On y retrouve les Pays-Bas, la France, l’Allemagne, l’Italie, l’Espagne, mais aussi les États-Unis, bientôt rejoints par d’autres pays au gré des cyber attaques.

De l’Ukraine au Canada

Les investigations sont menées par une cellule nationale d’enquête armée par une douzaine de gendarmes, issus du C3N, d’antennes C3N, d’unités de recherches et de brigades territoriales. En septembre 2021, une première opération judiciaire est menée en Ukraine. Deux individus sont  interpellés par les forces de l’ordre ukrainiennes. 375 000 $ en numéraires, plus de 400 000 $  en crypto-monnaie, ainsi que des véhicules, sont saisis. Mais c’est surtout l’exploitation du matériel informatique, complétée par les auditions, qui vont permettre de faire avancer l’enquête, et conduire à une deuxième opération judiciaire…

En octobre 2022, c’est au Canada qu’est interpellé un troisième individu, affilié du groupe Ragnar Locker. Le mode opératoire est en effet désormais généralisé : la structure fondatrice permet à des malfaiteurs d’utiliser le logiciel, moyennant une quote-part des profits à reverser. « Chaque opération judiciaire et chaque nouvelle victime permettent de faire avancer l’enquête », insiste le lieutenant-colonel Jean-Eudes.

En août 2023, une information judiciaire est ouverte contre X pour des faits d’extorsion en bande organisée et association de malfaiteurs en vue de commettre un crime ou un délit. Elle conduit, en octobre 2023, une une opération d'ampleur menée par les autorités françaises et allemandes, en concertation avec les autorités américaines et italiennes, et avec l'appui de la Lettonie, la République tchèque, l'Espagne, le Japon et l'Ukraine, permettant l’interpellation de quatre personnes, en France, en Espagne et en Lettonie. Un ressortissant russe est mis en examen à Paris pour association de malfaiteurs en vue de commettre un crime ou un délit, et placé en détention provisoire. Il est soupçonné d'être développeur pour le groupe Ragnar Locker.

« Les investigations sont fructueuses, mais c’est un dossier vivant, qui court toujours », note l’officier du ComCyberGend, ajoutant que « le dossier Ragnar a notamment permis de développer des compétences sur la partie négociation, adaptée à l’environnement cyber, grâce à l’appui du GIGN. » Désormais, le ComCyberGend dispose d’un volume très important de données amassées dont l’exploitation demande un travail spécifique. « C’est un personnel dédié, AnaCrim de formation, qui prend en compte cette analyse, afin de faire des recoupements, des rapprochements, et retracer les flux de crypto-monnaies pour le volet blanchiment. Cela demande un fort investissement. Le travail déjà effectué sur le dossier Ragnar est très important, et celui qui reste à faire l’est tout autant. »