MalwareTech, le hacker qui a stoppé WannaCry est détenu par le FBI

Reynald Fléchaux,

MalwareTech, un jeune britannique de 23 ans qui, en mai dernier, a stoppé la diffusion de WannaCry, est soupçonné par les Etats-Unis d’être également l’auteur d’un malware bancaire, Kronos.

Une des rock-stars de la cybersécurité est en détention aux Etats-Unis. Connu sous le pseudo de MalwareTech, le Britannique Marcus Hutchins, âgé de 23 ans, a été appréhendé le 2 août au soir, à Las Vegas, après la conférence DefCon à laquelle il assistait. Le chercheur, qui a connu son heure de gloire en découvrant comment bloquer la diffusion du ransomware WannaCry, est accusé par les autorités américaines d’être à l’origine, avec un complice, du développement du cheval de Troie Kronos.

Cette menace, assez répandue, utilise la technique de l’injection Web, pour insérer dans la navigation Web de fausses pages de connexion à des services bancaires au sein de différents navigateurs. Objectif : récupérer les codes d’accès des utilisateurs. Kronos a été détecté pour la première fois en juillet 2014 et il était encore actif en juin 2016. En juillet 2014, ce Troyen était disponible à la vente sur un forum underground russe pour pas moins de 7 000 $.

Une suite du démantèlement d’AlphaBay

L’acte d’accusation officiel indique que MalwareTech aurait créé et mis à jour cette menace tandis que son complice, dont le nom reste inconnu à ce jour, se serait chargé de faire la publicité de l’outil sur des forums de hacking (où il était cette fois vendu 3 000 $) et sur AlphaBay (pour 2 000 $). Rappelons que les autorités américaines ont saisi les serveurs de cette place de marché du Dark Web le 4 juillet dernier. L’acte d’accusation, qui renferme 6 chefs d’inculpation, mentionne que les deux complices auraient réussi à conclure une vente de Kronos sur AlphaBay, ce qui semble indiquer que c’est bien le démantèlement de ce dernier qui a mis les autorités sur la piste de MalwareTech.

Rappelons qu’en mai 2017, celui qui n’est alors qu’un chercheur assez peu connu dans la cybersécurité est le premier à découvrir que le ransomware WannaCry, qui se répand alors comme une traînée de poudre du fait de l’exploitation d’une faille Windows (révélée par les Shadow Brokers), contient un mécanisme de sécurité permettant de stopper l’infection. Il réserve alors le nom de domaine correspondant et stoppe la diffusion de la menace via ce ‘Killswitch’.

La communauté n’y croit pas

C’est à cette occasion que l’identité réelle de MalwareTech est révélée. Le jeune chercheur, qui est employé par la firme britannique Kryptos Logic, devient un héros et fait l’objet d’articles dans la presse, partout dans le monde. Sa mise en détention par le FBI du Nevada constitue donc un choc pour la communauté de la cybersécurité, où beaucoup doutent de sa culpabilité réelle dans cette affaire, notant que cette mise en accusation pourrait découler d’une mauvaise interprétation des éléments que les autorités ont en leur possession.

A lire aussi :

WannaCry : des millions de machines infectées ?

Un vaccin pour enrayer le ransomware Petya