Épisode 6/8 : En Inde, l'eldorado du piratage informatique

Comme leurs ancêtres marins, les pirates informatiques sont otages de la fiction. Depuis le film Wargames dans les années 80 jusqu'à Hacker de Michael Mann, en passant par Matrix et les séries Mr Robot ou Homeland, les hackers saturent nos écrans, à ce point qu'il est devenu difficile de les imaginer autrement que jeunes, encapuchonnés de noir et rebelles... Mais il existe un autre type de pirates, moins romantique, mais bien plus réel.

Ces pirates-là ne sont pas des surdoués géniaux et incompris travaillant la nuit dans une chambre en désordre. Ce sont des employés de bureau qui, tous les jours de la semaine, de 9h à 17h, cambriolent des boîtes mails et pénètrent des réseaux sécurisés pour le compte de clients privés et étatiques.

Ces ateliers d'effraction informatique sont presque tous en Inde. Un pays qui dispose, sur le marché du piratage, de multiples avantages comparatifs : la main d'œuvre y est peu chère et parfaitement anglophone, et les autorités compréhensives, quand elles ne sont pas complices.

Mais si les protections étatiques assurent l'immunité, elles ne garantissent pas la discrétion. À force de travailler pour tout le monde, et parfois simultanément pour des camps adverses, certains cybercorsaires indiens ont fini par attirer l'attention. C’est le cas de Rajat Khare, fondateur de Appin dont l’histoire est "exemplaire car elle a inauguré une véritable industrie en Inde" selon notre invité John Scott-Railton, chercheur chez Citizen Lab à l'école Munk de l'Université de Toronto.

S’en sont suivis d’autres, de BellTroX à Dark Bassin avec des dizaines, voire centaines de sociétés ciblées par ces groupes de pirates mercenaires. Et alors que ces entreprises finissent par être connues et que leur existence n’est d’ailleurs pas cachée par leurs fondateurs respectifs — malgré une activité complètement illégale, rappelons-le – l’Etat indien continue de fermer les yeux. Il faut dire que ces systèmes de hacking peuvent être très utiles quand il s’agit d'infiltrer les boîtes mail de dissidents politiques…

Mais en juin 2020, Citizen Lab publie un rapport exposant BellTroX et ses activités de piratages. Elle est donc mise en cause et une enquête s’ouvre. Avant BellTroX cependant, les entrepreneurs qui ont bâti l'eldorado indien du cyberpiratage, et notamment Rajat et sa société Appin, avaient toujours réussi à échapper aux tribunaux. La mise en examen de BellTroX et de son directeur, Sumit Gupta, sonne alors un début d'alarme, car il y a une continuité directe entre Appin et BellTroX.

Les boîtes mails sont ciblées par milliers, comme BellTroX qui en a piraté plus de 10 000 sur une période de sept ans. John Scott-Railton affirme que : "Souvent, les attaques ne sont pas sophistiquées, mais ça ne veut pas dire que celui qui est derrière n'a pas la capacité d'utiliser ses informations pour faire du mal aux victimes. Et on le voit partout."

Cependant, ce n’est pas toujours le cas, car le chercheur de Citizen Lab confirme aussi que BellTroX "s’était muni d'informations sur des relations assez privées entre diverses personnes ; entre avocats et clients, etc… Et avait créé des mails de ‘phishing’ assez intéressants, parfois des mails qui étaient soit internes aux organisations, ou des mails de collègues qui parlaient entre eux qui semblaient être totalement légitimes." Sophistiquées ou non, les offres de cyberpiratage ne cessent d’augmenter. Les États sont-ils alors suffisamment attentifs au contrôle des technologies offertes ?