L'arrestation, mardi, de Giulio Occhionero et de sa sœur, Francesca Maria, a permis de mettre en évidence ce qui semble être le plus grand et le plus médiatisé des piratages de comptes d’administrations publiques et d’entreprises sur le sol italien. D’après le mandat d’arrestation, le frère et sa sœur ont réussi à introduire le cheval de Troie Pyramid Eye sur des ordinateurs en utilisant une technique de harponnage. La fraude dure depuis plusieurs années. Les enquêteurs ont repéré pas moins de 18 000 cibles parmi lesquelles figurent des personnalités de haut rang, comme les anciens premiers ministres Matteo Renzi et Mario Monti, le président de la Banque centrale européenne, Mario Draghi, des employés et des directeurs de divers ministères, dont le ministère de l’Intérieur, mais aussi les ministères du Trésor, des Finances et de l'Éducation.
Des membres du Parlement et de la Banque d'Italie, le cardinal du Vatican, Gianfranco Ravasi, et plusieurs membres de la franc-maçonnerie - Giulio Occhionero est grand-maître de la loge romaine - comptent également parmi les victimes. Le « couple » aurait mené avec succès plus de 1 700 attaques. Au cours de son enquête, la police a trouvé de nombreux mots de passe de comptes de messagerie, 1 137 identifiants pour accéder aux ordinateurs compromis et 87 Go de données stockées sur un réseau de serveurs et d’ordinateurs de commande et de contrôle, en Italie et aux États-Unis. La police postale et des communications italienne a obtenu l’aide du FBI pour enquêter sur l'infrastructure basée aux États-Unis.
Un Trojan installé par la police
Giulio Occhionero possède une maîtrise en génie nucléaire. Il a créé Westlands Securities, une société d'analyse financière quantitative dont le siège se trouve à Malte. Il est également développeur de logiciels et dispose à ce titre de plusieurs certifications. Celui-ci aurait modifié et développé de nouvelles fonctionnalités pour le logiciel malveillant Pyramid Eye et il aurait assuré la maintenance du réseau de serveurs et de boîtes aux lettres utilisées pour collecter les données exfiltrées. L’analyse du logiciel malveillant Pyramid Eye, des noms de domaine connectés, des adresses IP et des boîtes aux lettres utilisées a été publiée (en anglais) par Federico Maggi, un chercheur de Trend Micro spécialisé dans l’analyse des menaces.
Le blog de l’entreprise de sécurité contient également des détails sur le code du malware. Certains éléments du code, comme la clé de licence de la bibliothèque MailBee.NET.dll que Giulio Occhionero a acquise en son nom propre auprès de l’éditeur américain Afterlogic, de même que les adresses IP des serveurs de commande et de contrôle partagées par des sites Web, ont permis à la police italienne de l'identifier et de le surveiller de près depuis le mois d’août dernier. Giulio Occhionero a sans doute repéré qu’il était surveillé, car il a commencé à supprimer des données sur ses serveurs. Mais la police a pu suivre toutes ses activités, sans doute à l’aide d’un Trojan qu’elle a elle-même implanté.
Des imprudences étonnantes
Le mandat d'arrestation fait état de captures d'écran et d’historiques de chats WhatsApp. « On ne peut pas récupérer ce genre de preuves par de simples écoutes », fait remarquer, dans un blog, l'expert en informatique légale, Matteo Flora. L’un des aspects les plus étonnants de l’affaire est sans doute ce mélange de compétences et d’amateurisme : pendant des années, les pirates ont pu s’appuyer sur un réseau de surveillance de grande envergure opérant à travers des frontières internationales, mais Giulio Occhionero a utilisé une dll avec sa propre signature pour développer le malware. Il a également utilisé la même adresse IP pour ses activités légitimes et ses activités criminelles.
D'autres questions restent en suspend : par exemple, les enquêteurs se demandent comment les deux suspects, dont les compétences en piratage étaient sans doute limitées, ont pu, pendant au moins quatre ans, mener une opération d'espionnage aussi massive sur des cibles gouvernementales de haut rang sans être détectés ? Ils ne connaissent pas non plus leurs motivations véritables et n’ont pas encore identifié les éventuels complices ni le cerveau de l’opération. La juge Maria Paola Tommaselli, qui a inculpé le frère et sa sœur pour des faits d’intrusion abusive dans des systèmes informatiques, d’écoute abusive et d’acquisition d'informations sur la sécurité nationale, a laissé entendre que d'autres personnes pourraient être impliquées.
Des liens avec une organisation criminelle
Quatre des adresses électroniques utilisées pour l'exfiltration des données sont liées à une autre affaire criminelle datant de 2011 : les mêmes adresses avaient été utilisées par une organisation clandestine et potentiellement subversive qui amassait des informations sur des politiciens et des dirigeants d’entreprise. Giulio et Francesca Maria Occhionero sont également membres du conseil d'administration d'une entreprise de bâtiment romaine liée au crime organisé, sur laquelle une enquête est en cours. À en juger par les cibles, principalement des personnalités du monde de la finance et de la franc-maçonnerie, il semble que le frère et la sœur ont voulu utiliser ces données pour récolter des informations privilégiées au profit des activités de Westland Securities et pour renforcer la position de Giulio Occhionero dans la franc-maçonnerie. Les avocats de Giulio et Francesca Maria Occhionero ont nié tout acte répréhensible, affirmant que leurs clients utilisaient le réseau de serveurs à des fins uniquement commerciales.