Les services numériques étant désormais omniprésents, les preuves informatiques prennent logiquement de plus en plus d’importance dans les procédures judiciaires. Et ce n’est pas pour rien que la convention internationale sur le cybercrime (dite convention de Budapest) a récemment été complétée par un protocole additionnel qui facilitera dorénavant l’accès transfrontalier à ces données particulières.
Mais cette tendance s’accompagne également d’un comportement abusif de plus en plus visible : la fabrication de fausses preuves informatiques. Les chercheurs en sécurité Tom Hegel et Juan Andres Guerrero-Saade de la société Sentinel One ont profité de la conférence Black Hat USA 2022 pour présenter les agissements d’un acteur de cybermalveillance baptisé « ModifiedElephant ».
Accusés de fomenter un coup d’État
Ce groupe est actif depuis une dizaine d’années en Inde, où il réalise des opérations d’espionnage… mais pas seulement. Il tente aussi de piéger certaines cibles en téléchargeant sur leurs ordinateurs des documents compromettants. Tellement compromettants que les cibles peuvent aller en prison pour plusieurs années.
Et c’est d’ailleurs ce qui s’est passé en 2018. Deux militants des droits de l’Homme, Surendra Gadling et Rona Wilson, ont été accusés de fomenter un coup d’État et ont été mis en prison. L’acte d’accusation s’appuyait sur des documents que la police a trouvés sur leurs ordinateurs. Mais des experts en forensique, de la société Arsenal Consulting, ont pu montrer que ces documents ont été fabriqués et déposés par des pirates au moyen d’une porte dérobée (backdoor) qu’ils avaient installée auparavant sur les ordinateurs de leurs victimes. Ce transfert a été réalisé rapidement, les sessions de connexion n’ayant duré que 15 à 20 min.
Ce travail de faussaire était heureusement loin d’être parfait. « Les experts d’Arsenal Consulting ont prouvé que ces documents n’ont jamais été ouverts par personne et qu’ils ont été écrits avec un éditeur que les deux accusés n’ont jamais eu », a expliqué M. Guerrero-Saade. Ce dernier pense qu’il existe sans doute d’autres victimes de ce genre, étant donné la longévité du groupe ModifiedElephant. Quatorze autres militants ont été emprisonnés pour des accusations similaires durant la même période. Ce groupe de personnes est appelé « Bhima Koregaon 16 » (BK16).
Une nébuleuse interconnectée
Qui se cache derrière ModifiedElephant ? Le fait que les faux documents aient été déposés quelques jours seulement avant la perquisition de la police fait immédiatement penser à un complot. Les analyses de SentinelOne ont montré par ailleurs que les opérations de ModifiedElephant étaient en partie liées avec celles de SideWinder et d’Operation Hangover. Deux groupes de cyberespionnage probablement d’origine étatique. Il est donc possible que leurs activités soient coordonnées par une même organisation gouvernementale.
Mais c’est finalement un fournisseur de messagerie électronique qui a permis de voir beaucoup plus clair dans cette affaire. Il a révélé aux deux chercheurs que les hackers de ModifiedElephant avaient utilisé une certaine adresse e-mail et un certain numéro de téléphone comme identifiants de secours pour trois comptes e-mails compromis en 2018 et 2019. Et il s’avère que ces données de contact appartiennent… à un officier de la police de la ville de Pune (État du Maharashtra, ouest de l’Inde). « Cette personne a d’ailleurs utilisé le même numéro de téléphone pour créer un compte WhatsApp où l’on voit sa photo », a souligné M. Guerrero-Saade. Une erreur de débutant.
Ces révélations portent à croire que ces fausses preuves ont été créées ou commanditées par la police elle-même ! Il sera désormais intéressant de voir comment la justice va démêler ce sac de nœuds. Quoi qu’il en soit, ce n’est sans doute pas la dernière fois que l’on verra des affaires de fausses preuves informatiques. En 2011, des journalistes turcs ont déjà été arrêtés pour terrorisme sur la base de faux documents trouvés sur leurs ordinateurs. Les analyses forensiques menées par les limiers d’Arsenal Consulting – déjà eux – avaient montré qu’il s’agissait d’un piratage.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Black Hat USA 2022
