Une développeuse web risque 87 années de prison

La Justice américaine a identifié 7 membres – tous russes – du groupe à l'origine du malware Trickbot. L'un d'entre eux aurait même été arrêté, à Miami, en février. Une développeuse web de 55 ans, au profil somme toute détonant eu égard aux clichés d'ordinaire véhiculés au sujet des cybercriminels russophones.

Le 4 juin le département de la Justice (DoJ) américain a publié un communiqué expliquant qu'« Alla Witte, alias MAX, une ressortissante lettone de 55 ans, a été inculpée de 19 chefs d'accusation pour son rôle présumé dans une organisation transnationale de cybercriminalité responsable de la création et du déploiement d'un cheval de Troie bancaire informatique et d'une suite de logiciels malveillants ransomware appelée Trickbot » :

« Le groupe Trickbot opérait en Russie, en Biélorussie, en Ukraine et au Suriname, et ciblait principalement les ordinateurs des victimes appartenant à des entreprises, des entités et des individus. Les cibles comprenaient les hôpitaux, les écoles, les services publics et les gouvernements. Witte, qui résidait auparavant à Paramaribo, au Suriname, a été arrêtée le 6 février à Miami, en Floride. »

Elle est plus particulièrement accusée d'avoir « collaboré avec d'autres membres de l'organisation criminelle transnationale pour développer et déployer une suite numérique d'outils malveillants utilisés pour cibler des entreprises et des individus du monde entier à des fins de vol et de rançon ».

Le malware Trickbot, accusé d'avoir infecté des dizaines de millions d'ordinateurs dans le monde depuis 2016, avait en effet été conçu pour « capturer les informations de connexion bancaires en ligne et collecter d'autres informations personnelles, notamment les numéros de carte de crédit, les e-mails, les mots de passe, les dates de naissance, les numéros de sécurité sociale et les adresses », précise le DoJ :

« Witte et d'autres auraient également capturé des identifiants de connexion et d'autres informations personnelles volées pour accéder à des comptes bancaires en ligne, exécuter des transferts de fonds électroniques non autorisés et blanchir l'argent via des comptes de bénéficiaires américains et étrangers. »

Selon l'acte d'accusation, Witte a notamment « travaillé en tant que développeur de logiciels malveillants pour le groupe Trickbot », et écrit du code lié au contrôle, au déploiement et aux paiements du ransomware.

Witte aurait en outre fourni au groupe un code qui « surveillait et suivait les utilisateurs autorisés du logiciel malveillant », et aurait également « développé des outils et des protocoles pour stocker les identifiants de connexion volés ».

Une ancienne prof de maths devenue développeuse web

Sur VK, le Facebook russe, Alla Witte dit être née en 1965 à Rostov-sur-le-Don, être mariée, et que son métier est de créer des sites et pages web.

Sur Facebook et LinkedIn, elle dit s'appeler Alla Klimova, se présente comme développeuse web indépendante depuis 2012, vivant à Amsterdam, aux Pays-Bas (d'après LinkedIn), ou à Paramaribo, la capitale du Suriname (l'ex Guyane néerlandaise), en Amérique du Sud (d'après Facebook).

Sur LinkedIn, elle explique avoir étudié les mathématiques appliquées à l'Université de Lettonie de 1983 à 1988, été ingénieure-programmeuse et « responsable d'un mini ordinateur » jusqu'en septembre 1990, puis directrice commerciale à Riga de 1993 à 1999, professeur de mathématiques et d'informatique au lycée de 1999 à 2003, avant de se lancer en tant que développeuse web indépendante en 2012.

« Je suis programmeur informatique de formation », précise son site web, allawitte.nl, en russe, anglais et en néerlandais : « J'aime résoudre des problèmes complexes de la vie qui nécessitent un "brainstorming". C'est exactement à ça que sert le fait de coder ! ».

Alex Holden, un chercheur en sécurité informatique d'origine ukrainienne qui a lu de nombreux messages postés par Anna Klimova sur différents forums en langue russe, confirme que « sa passion tout au long de sa vie a été la programmation », quand bien même elle n'en aurait vraiment fait son métier que passé la quarantaine, à partir de 2012.

En 2013, elle écrivait ainsi : « Je veux être une grande programmeuse capable de créer des solutions exclusives et voyager chez des clients dans différents pays. Je travaille pour moi-même et pour des clients pendant énormément de temps parce que je peux le faire, donc je le fais. »

Recrutée au Pays-Bas, elle s'y serait mariée (d'où le changement de nom de Klimova à Witte), avant de partir vivre au Suriname. Sur Facebook, elle partageait des dizaines de photographies de ses voyages, en Indonésie notamment, avec son mari. Sa dernière photo, prise « au petit matin dans la jungle amazonienne », date de juin 2018.

Son profil GitHub, qui comporte 97 repositories, montre qu'elle y était encore active en décembre dernier. En réponse à un chalenge OSINT lancé suite à l'annonce de son arrestation, un Vietnamien a par ailleurs listé plus d'une dizaine de comptes, pour une bonne part sur des réseaux de développeurs, reliés à son identité.

MAX, la menace

Le DoJ, pour sa part, écrit dans l'acte d'accusation qu'elle aurait eu accès au serveur de développement de Trickbot à partir du mois d'octobre 2018. En décembre, elle fournissait au groupe une vidéo démontrant comment utiliser le logiciel de tracking des utilisateurs autorisés de Trickbot.

Un an plus tard, en octobre 2019, elle leur fournissait un code permettant de déployer le module de ransomware de Trickbot. Le DoJ souligne que le ransomware contenait un code qui multipliait automatiquement par deux le montant de la rançon si la victime ne la payait pas dans le temps imparti.

En janvier 2020, elle recherchait sur Internet « laravel faker bitcoin address », une référence au fait de pouvoir créer une fausse adresse Bitcoin pour tester le système de paiement du ransomware, précise le DoJ.

On retrouve de fait la trace de messages qu'elle avait postés sur le GitHub de laravel au sujet d'erreurs qu'elle ne parvenait pas à identifier, en novembre 2019, ainsi que sur Stackoverflow en mai et octobre 2020.

On y retrouve aussi des messages au sujet de Binance, la plateforme qui permet d'échanger plus de 100 cryptomonnaies, postés en septembre et octobre 2018, au moment où elle aurait commencé à accéder au serveur de développement de Trickbot. Sans que l'on puisse pour autant faire de lien entre ce qu'elle partageait sur GitHub et ce qu'elle aurait fait pour Trickbot.

L'acte d'accusation mentionne également de nombreux transferts bancaires de plusieurs dizaines voire centaines de milliers de dollars, dont 7 aux alentours du 3 octobre 2018, pour un montant total cumulé de 859 200 dollars, aux dépens d'une société immobilière dans l'Ohio. Le texte ne précise pas, cela dit, si Witte est accusée d'y avoir activement participé, ou si elle en est accusée du fait de sa participation au groupe.

Un malware, des inconnues

Alex Holden relève de son côté que sa « plus grande erreur s'est peut-être produite aux alentours de Noël en 2019, lorsqu'Alla Witte a infecté l'un de ses propres ordinateurs avec le malware Trickbot, lui permettant de voler et d'enregistrer ses données dans l'interface du botnet ».

De fait, en janvier 2020, un chercheur en cybersécurité avait partagé sur Twitter le fait que son site web, allawitte.nl, hébergeait un .exe contenant Trickbot.

On en retrouve d'ailleurs la trace sur plusieurs sites d'analyse de malwares, qui avaient eux aussi identifiés le fait qu'un ou plusieurs fichiers .exe hébergés par http://allawitte.nl/ étaient associés à Trickbot.

Le fichier aurait tout aussi bien pu y avoir été déposé par des personnes mal-intentionnées profitant d'une éventuelle faille de sécurité. On peine en effet à imaginer qu'un développeur contribuant, sous pseudo, au développement d'un malware, serait assez bête pour déposer sur le site web associé à sa véritable identité un .exe le reliant explicitement à ses activités criminelles.

Reste que le DoJ ne mentionne pas cet impair, pas plus qu'il ne précise comment il serait parvenu à relier Alla Witte à « MAX », non plus qu'à Trickbot. Il n'explicite pas plus comment ont été identifiés les 6 autres membres russes du gang dont les noms ont, contrairement à celui de « MAX », été anonymisés dans l'acte d'accusation.

Il ne détaille pas non plus ce pourquoi, alors que Trickbot était dans le viseur des autorités américaines, « MAX » se serait ainsi rendue à Miami en février dernier, prenant le risque d'y être arrêtée.

Et ce, alors même que Trickbot avait fait l'objet d'une contre-attaque coordonnée par le Cyber Command de l'armée américaine et la Digital Crimes Unit (DCU) de Microsoft, en octobre dernier, qui serait parvenu à désactiver 120 des 128 serveurs (soit 94 %) du centre de commande et de contrôle de Trickbot...

Ce qui n'avait pas empêché la Cybersecurity & Infrastructure Security Agency (CISA, l'ANSSI américaine) de lancer une nouvelle alerte en mars dernier.

Si Alla Witte était reconnue coupable de l'ensemble des 19 chefs d'accusation dont elle est accusée, elle pourrait être condamnée à une peine maximale de 87 années cumulées :

• cinq ans de prison pour complot en vue de commettre une fraude informatique et une usurpation d'identité aggravée ;
• 30 ans de prison pour complot en vue de commettre une fraude électronique et bancaire ;
• 30 ans de prison pour chaque chef d'accusation de fraude bancaire importante ;
• une peine obligatoire de deux ans pour chaque chef d'usurpation d'identité aggravée, qui doit être purgée consécutivement à toute autre peine ;
• et 20 ans de prison pour association de malfaiteurs au blanchiment d'argent.