Close

L’affaire “Aleksei Burkov” : un présumé cybercriminel au cœur d’un bras de fer diplomatique

Sur demande d’Interpol, le ressortissant russe Aleksei Burkov a été arrêté en décembre 2015 à l’aéroport Ben Gourion de Tel-Aviv, accusé de fraude électronique, intrusion informatique, vol d’identité et blanchiment d’argent. Face aux États-Unis qui demandaient son extradition, pour qu’il puisse être jugé par les autorités américaines, Moscou s’est engagé dans une véritable bataille diplomatique pour obtenir le rapatriement du présumé pirate informatique, alimentant des rumeurs sur ses supposés liens avec le gouvernement russe[1]. Finalement extradé vers Washington, Burkov a comparu pour la première fois le 12 novembre 2019 devant le tribunal fédéral du district oriental de Virginie. Loin d’être un cas isolé, son affaire reflète bien l’enjeu que constitue, pour la Russie comme pour les États-Unis, l’arrestation de pirates informatiques russes, dans un contexte de confusion croissante entre les activités de « cybercriminalité » et de « cyberespionnage ».

1.          Retour sur l’affaire Aleksei Burkov

Aleksei Burkov : un hacker d’élite aux activités ambiguës ?

Selon son acte d’accusation[2], Burkov est suspecté d’avoir alimenté deux forums russophones sur le Darknet, respectivement consacrés à la fraude à la carte bancaire et au piratage informatique. Il est notamment accusé d’avoir été à la tête de CardPlanet, une plateforme dédiée à la vente de numéros de cartes de paiement, aujourd’hui désactivée, et qui reposait sur une base de données de plus de 150 000 cartes compromises. Leur majorité aurait été délivrée par une entité bancaire enregistrée dans le district oriental de l’État de Virginie. Obtenus via des intrusions informatiques, les numéros de ces cartes auraient permis des achats frauduleux d’une valeur totale, pour les seules cartes américaines, estimée à 20 millions USD.

Le nom du second forum n’a pas été rendu public afin de ne pas compromettre l’enquête en cours[3]. L’acte d’accusation évoque une plateforme où les « cybercriminels d’élite » pouvaient planifier des attaques, acheter et/ou vendre des biens et services (données personnelles, logiciels malveillants, etc.). Il met également en lumière le caractère très exclusif de ce forum qui était régi par des conditions restrictives : chaque adhérent devait être parrainé par trois membres et s’acquitter d’une caution pouvant s’élever jusqu’à 5 000 USD.

D’après les investigations conduites par KrebsOnSecurity, Burkov aurait aussi opéré sur d’autres forums russophones sous le pseudonyme de « K0pa », qui est le surnom de l’un des administrateurs des plateformes Mazafaka et DirectConnection. Les conditions d’accès de ces dernières auraient été similaires à celles établies dans l’acte d’accusation. En remontant l’adresse courriel qu’il utilisait, KrebsOnSecurity, a pu établir que le même K0pa aurait également joué un rôle clé sur les forums Spamdot et Verified, en plus d’avoir été un membre-fondateur des « CyberLords ». Pendant près d’une décennie, ce groupe de hackers a publié en ligne des outils de piratage et des exploits ciblant des vulnérabilités longtemps inconnues[4].

Selon un ancien responsable américain[5], le second forum sur lequel Burkov aurait été actif et pour lequel il est inculpé ne correspondrait ni à Mazafaka, ni à DirectConnection. Alors que ses liens avec l’un de ces forums restent à être prouvés, la justice américaine reste convaincue que Burkov est bien lié à la cybercriminalité russe. Andrei Klimov, représentant du comité pour les Affaires internationales du Conseil de la fédération de Russie, a admis qu’il était possible que Burkov possède « certaines informations », ce qui expliquerait les accusations américaines[6].

Aleksei Burkov : la partie immergée de l’iceberg ?

Loin d’être un cas isolé, l’affaire Burkov fait écho à d’autres cas d’arrestations de présumés cybercriminels russes par la justice américaine. Comme Burkov, ces derniers sont de supposés cybercriminels dont les années de naissance oscillent entre 1980 et 1990. Ils représentent cette génération qui a connu directement l’effondrement de l’URSS, une économie sinistrée, la paupérisation de la population et d’importantes inflations. Ce contexte socio-économique pourrait expliquer le tropisme de cette classe d’âge pour le piratage informatique comme source de revenus, favorisé par une législation floue sur les questions cybernétiques.

Hackers russes extradés vers les États-Unis[7][8][9][10][11]

Burkov fait partie des quelques pirates informatiques russes à avoir été extradés vers les États-Unis. Une comparaison d’ensemble montre que les faits reprochés sont liés à de la cybercriminalité classique, allant de la fraude à la carte bancaire au vol de données personnelles, en passant par l’animation de forums. Les chefs d’inculpation sont similaires (fraude électronique, intrusion informatique, dommage intentionnel sur un ordinateur protégé, vol aggravé d’identité, blanchiment d’argent, complot).

La différence majeure réside toutefois dans la durée qui sépare les arrestations et extraditions. Pour Burkov, cet intervalle est de quatre ans, alors qu’il ne dépasse pas – en attendant l’extradition d’Andrei Tyurin – les deux dans les autres cas. Ce délai pourrait s’expliquer par l’implication plus intense de Moscou dans ce dossier que dans les précédents. La pression exercée par la Russie pour obtenir son rapatriement afin qu’il soit appréhendé par la justice nationale est assez inhabituelle[12]. Outre des échanges politiques de haut niveau avec Tel-Aviv[13], plusieurs demandes de voie de recours ont été formulées auprès des plus hautes juridictions israéliennes. Les autorités russes auraient également arrêté une citoyenne israélo-américaine en avril 2019 pour « détention de stupéfiants », dans la perspective potentielle d’un échange de prisonniers[14]. Infructueux, les efforts russes laissent toutefois penser que la réalité des activités de Burkov est telle que le Kremlin ne peut se permettre de le laisser à la justice américaine. Plus largement, cette bataille diplomatique reflète bien les efforts de plus en plus manifestes de la Russie pour empêcher l’extradition de ses présumés cybercriminels, plus particulièrement vers les États-Unis[15].

Les arrestations et inculpations de ressortissants russes aux États-Unis et à l’étranger se sont en effet accrues ces dernières années, dans le contexte de soupçons d’ingérence russe dans les élections présidentielles américaines de 2016. Avec une moyenne de deux par an pour la période 2010-2016, leur nombre s’est élevé à sept en 2017[16] dont quatre pour des faits de cybercriminalité (cf. tableau précédent). En novembre 2018, la Russie a accusé les États-Unis de « chasser » et « d’enlever » ses citoyens dans le monde, recommandant même à sa population de limiter ses déplacements à l’étranger[17]. En l’absence d’accord bilatéral en la matière, la stratégie américaine pour obtenir l’extradition de cybercriminels repose sur l’arrestation de suspects lorsqu’ils quittent la protection juridique de la Fédération de Russie en se rendant dans un État-tiers.

La Fédération de Russie s’efforce de son côté de protéger ses ressortissants dont l’extradition est interdite par l’article 61 de sa Constitution. Ce cadre politique et juridique pourrait expliquer la diversité des moyens techniques mises en œuvre pour rapatrier les citoyens inquiétés par des justices étrangères. À cet égard, certains responsables américains dénoncent des méthodes coercitives telles que la corruption, ainsi que des tentatives d’exploiter le système juridique, visant à faire pression sur les pays-tiers afin qu’ils bloquent les demandes d’extradition formulées par les États-Unis[18].

Dans ce contexte, la forte implication de Moscou pour éviter l’extradition de Burkov pourrait constituer une réponse aux efforts répétés de la justice américaine d’arrêter et de faire extrader des cybercriminels, sans forcément supposer de liens avec le Kremlin. Les efforts de la diplomatie russe ne pourraient toutefois être entièrement anodins non plus. Les États-Unis présument une grande influence de Burkov sur la cybercriminalité russe, faisant de lui une potentielle source d’informations sur le fonctionnement de cet écosystème. Dans le cas où les faits d’inculpation s’avèrent, obtenir son rapatriement aurait constitué une opportunité pour les autorités russes de l’enrôler en vue d’exploiter son expertise technique.

2.          De la cybercriminalité à l’espionnage

Des cybercriminels russes accusés d’espionnage

L’affaire Burkov laisse supposer des activités qui dépassent le cadre de la cybercriminalité pour celui du cyberespionnage, voire plus largement une certaine connivence entre les services de renseignement et les cybercriminels russes. Dans le contexte des efforts de la Russie pour protéger sa souveraineté dans le cyberespace, de telles interactions seraient en effet envisageables. Les États-Unis soupçonnent d’ailleurs certains d’entre eux d’entretenir des relations avec les Forces armées de la Fédération de Russie (RuAF) :

Cybercriminels russes appartenant ou soupçonnés de liens avec les RuAF[19][20][21][22][23]

 

La majorité des pirates informatiques russes accusés de cyberespionnage sont des officiers issus du Service fédéral de sécurité de la Fédération de Russie (FSB) et de la Direction générale des renseignements (GRU). Peu de civils sont soupçonnés de faits d’espionnage, exceptés Maksim Yakubets et Evgeniy Bogachev, dont les accusations officielles se limitent à des pertes financières liées au développement et à l’exploitation de logiciels malveillants. L’hypothèse que ces outils ont pu être utilisés par les RuAF dans le cadre d’activités de cyber renseignement peut en revanche être émise. Contrairement au cas de Yakubets, l’acte d’accusation contre Burkov n’établit aucune suspicion de relations avec les RuAF.

La cybercriminalité au service du renseignement ?

La nomination en 2012 du général d’armée Sergueï Choïgou à la tête du ministère de la Défense s’est traduite par une implication plus importante des militaires dans les affaires cybernétiques. Son arrivée coïncide avec l’acception d’une thèse selon laquelle la Russie serait victime d’une « guerre de l’information » au niveau mondial. Ce nouveau paradigme expliquerait la stratégie du Kremlin de former et d’encourager la formation de pirates informatiques afin de conduire des activités de cyberespionnage.

Les RuAF auraient rapidement envisagé de recruter des cybercriminels. Dans un article intitulé Enlisted Hacker publié dans le journal gouvernemental Rossiiskaya Gazeta (2013), l’ancien vice-ministre de la Défense, le général de corps d’armée Oleg Ostapenko, a déclaré que les « escadrons scientifiques » (unités de cyberdéfense composées de civil établies dans plusieurs bases militaires du pays[24]) pouvaient faire l’objet d’un élargissement vers des pirates informatiques ayant des antécédents criminels, dans le but d’exploiter leurs capacités techniques. Un tel choix stratégique pourrait déboucher sur de potentielles coopérations entre les autorités russes et certains cybercriminels incarcérés en échange de leur libération[25].

Répondant aux soupçons d’ingérence dans les élections américaines de 2016, Vladimir Poutine a indiqué que les suspects étaient des « gens libres », « artistes » et « patriotes »[26] . Autrement dit, tant que les cybercriminels ne vont pas à l’encontre des intérêts nationaux, il n’est pas nécessaire de les surveiller de près ou de les recruter. La stratégie russe consisterait ainsi à laisser se former des groupes et des pirates informatiques isolés, plus ou moins autonomes, qui auront besoin un jour ou l’autre d’une protection de l’État ou dont les autorités pourraient avoir besoin. Figurant parmi les cybercriminels les plus recherchés au monde, Bogachev aurait permis au Kremlin de collecter des informations classifiées en Turquie et en Ukraine[27].

Les accusations de cyberespionnage, un moyen de pression politique ?

Les précédents exemples mettent en exergue une tendance globale des États-Unis à poursuivre des ressortissants d’autres pays, qu’ils soient hackers, espions ou les deux. Outre la Russie, avec le cas de Yakubets qui aurait contribué « aux efforts malveillants du gouvernement russe en matière cyber[28] », la Chine est aussi particulièrement visée. Il est par ailleurs intéressant de noter que Moscou et Pékin ne contestent pas spécialement le cyberespionnage des États-Unis et n’ont jamais accusé directement des citoyens américains des mêmes faits. Les pirates informatiques chinois recherchés par le FBI le sont principalement pour des faits de vol de propriété industrielle, dans un contexte où les États-Unis accusent la Chine de cyberespionnage au profit de ses progrès technologiques, sa modernisation militaire et ses objectifs économiques[29].

Hackers chinois recherchés par les États-Unis[30][31][32][33]

En pleine guerre commerciale entre la Chine et les États-Unis, les accusations contre Fujie Wang (2019), Zhu Hua et Zhang Shilong (2018) revêtent une signification singulière. À l’instar de la Russie, la Chine n’extrade pas ses ressortissants et aucun traité en la matière ne la lie aux États-Unis. Au regard des difficultés d’attribution, les accusations de cyberespionnage contre des ressortissants chinois constitueraient davantage un moyen de montrer à l’échelle internationale que la Chine n’est pas un partenaire loyal. Dans une autre mesure, elles permettraient de mettre Pékin en porte-à-faux sur ses engagements relatifs à son accord de cybersécurité avec Washington, qui visait à réduire l’espionnage économique entre les deux pays (2015).

Contrairement à la cybercriminalité, le cyberespionnage ne fait pas l’objet de réglementation. Son encadrement relève de l’espionnage, réprimandé par les législations nationales mais qui n’est ni autorisé, ni prohibé par le droit international. Il est néanmoins admis qu’un acte d’espionnage peut constituer un fait internationalement illicite[34]. Par ailleurs, si le droit des conflits armés (notamment l’article 24 de la convention de La Haye) reconnaît un statut à l’espion en temps de guerre, ce dernier peut difficilement s’appliquer dans le cyberespace. Le cyberespionnage ne requiert en effet pas l’envoi physique d’agents et les États reconnaissent le cyber comme un domaine et non comme un territoire. Pour certains pays, il est davantage considéré comme un acte « inamical » voire « inacceptable » (Allemagne, États-Unis, France, etc.). Le cyberespionnage étant devenue une activité essentielle pour la protection de la sécurité nationale[35], les États se satisfont de cette « zone grise ».

Face à des extraditions finalement peu nombreuses, la stratégie américaine montre qu’elle n’est pas toujours utile au plan judiciaire mais qu’elle constitue davantage un moyen de pression politique. Le cyberespionnage fait partie des arguments mis en avant pour accuser certains pirates informatiques. Néanmoins, contrairement à la cybercriminalité qui a fait l’objet d’un encadrement juridique avec la Convention de Budapest, le cyberespionnage est « toléré » dans le droit international. Son utilisation accrue dans des motifs d’inculpation tend à nourrir une certaine confusion avec la cybercriminalité.

 

[1] Bar Peleg, Josh Breiner, « Russian Hacker Jailed in Israel Says He’s Not a Spy, Denies Meddling in U.S. Election », Haaretz [en ligne], 3 novembre 2019.

[2] « Russian National Extradited for Running Online Criminal Marketplace », US DoJ [en ligne], 12 novembre 2019.

[3] Jeff Stone, « Aleksei Burkov, Russian accused of operating ‘elite’ hacking forum, pleads not guilty », Cyber Scoop [en ligne], 22 novembre 2019.

[4] « Why Were the Russians So Set Against This Hacker Being Extradited? », KrebsonSecurity [en ligne], 18 novembre 2019.

[5] Op. cit. Jeff Stone, Cyber Scoop [en ligne], 22 novembre 2019.

[6] Op. cit. Natalya Bashlykova, Izvestia [en ligne], 18 novembre 2019 (en Russe).

[7] « Yevgeniy Nikulin Appears In U.S. Court Following Extradition », US DoJ [en ligne], 30 mars 2018.

[8] « United States vs. Peter Levashov », US DoJ [en ligne], 20 décembre 2018.

[9] « Russian cybcercriminal Roman Seleznev pleads guilty in Atlanta », US DoJ [en ligne], 8 septembre 2017.

[10] « Les États-Unis condamnent Martyshev pour cyber-fraude », RT [en ligne], 19 avril 2019 (en Russe).

[11] « Russian Hacker Who Used Neverquest Malware To Steal Money From Victims’ Bank Accounts Pleads Guilty In Manhattan Federal Court », US DoJ [en ligne], 22 février 2019.

[12] Josh Breiner, Bar Peleg, Lisa Rozovsky, « No Kremlin Link Found to Russian Hacker Awaiting Extradition in Israel, Lead Investigator Says », Haaretz [en ligne], 17 octobre 2019.

[13] Tova Tzimuki, « Israel sets to extradite Russian hacker to U.S. », Ynet News [en ligne], 14 octobre 2019.

[14] Op. cit. Jeff Stone, Cyber Scoop [en ligne], 22 novembre 2019.

[15] Dustin Volz, Felicia Schwartz, « Moscou ne recule devant rien pour éviter à ses hackers une extradition vers les Etats-Unis », L’Opinion [en ligne], 6 novembre 2019.

[16] Polina Ivanova, « Russia says U.S. ‘hunting’ for Russians to arrest around the world », Reuters [en ligne], 2 février 2018.

[17] Tom Balmforth, « Moscow accuses U.S. of hunting Russians after Israel extradites suspected hacker », Reuters [en ligne], 13 novembre 2018.

[18] Op. cit. Dustin Volz, Felicia Schwartz, L’Opinion [en ligne], 6 novembre 2019.

[19] « Treasury Sanctions Evil Corp, the Russia-Based Cybercriminal Group Behind Dridex Malware », US Department of the Treasury [en ligne], 5 décembre 2019.

[20] « Actions in Response to Russian Malicious Cyber Activity and Harassment », Obama White House (Archives) [en ligne], 29 décembre 2016.

[21] « U.S. Charges Russian GRU Officers with International Hacking and Related Influence and Disinformation Operations », US DoJ [en ligne], 4 octobre 2018.

[22] « Grand Jury Indicts 12 Russian Intelligence Officers for Hacking Offenses Related to the 2016 Election », US DoJ [en ligne], 13 juillet 2019.

[23] « U.S. Charges Russian FSB Officers and Their Criminal Conspirators for Hacking Yahoo and Millions of Email Accounts », US DoJ [en ligne], 15 mars 2017.

[24] A. Kramer, « How Russia recruited elite hackers for its cyberwar », The New York Times [en ligne], 29 décembre 2016.

[25] Ibid.

[26] « Maybe Private Russian Hackers Meddled in Election, Putin Says », The New York Times [en ligne], 1er juillet 2017.

[27] Op. cit. KrebsOnSecurity, 18 novembre 2019.

[27] Op. cit. US Department of the Treasury [en ligne], 5 décembre 2019.

[28] Foreing Economic Espionage in Cyberspace, NCSC, Director of National Intelligence, 24 juillet 2018, p. 5.

[29] Zhu Hua, FBI [en ligne], 20 décembre 2018.

[30] Zhang Shilong, FBI [en ligne], 20 décembre 2018.

[31] Fujie Wang, FBI [en ligne], 7 mai 2019.

32] « Five Chinese Military Hackers Charged », FBI [en ligne], 19 mai 2014.

[33] Par exemple, les opérations d’un drone de surveillance peuvent violer la souveraineté d’un État survolé.

[34] « Le cyber-espionnage en droit international », France Culture [en ligne], 13 juin 2016 (Audio).