La semaine dernière, les forces de police de 16 pays - dont la France - répartis sur trois continents ont procédé à l'arrestation de 97 personnes soupçonnées d'avoir créé, acheté ou utilisé le fameux cheval de Troie BlackShades. Pendant deux jours, la police a effectué 359 perquisitions et saisi plus de 1 100 ordinateurs de bureau, PC portables, téléphones mobiles, routeurs, disques durs externes et clés USB. L'information a été publiée lundi sur le site internet d'Eurojust, l'agence chargée de renforcer la coopération judiciaire entre les États membres de l'Union européenne. Selon le ministère public néerlandais (OM), l'opération a été coordonnée depuis le siège d'Eurojust à La Haye. « Des rumeurs sur l'enquête menée par la police autour de BlackShades sont apparues sur les forums illégaux début mai et elles se sont intensifiées la semaine dernière », a déclaré Rickey Gevers, un enquêteur spécialisé dans le cyber crime qui a suivi l'opération. « Les institutions judiciaires de différents pays dont les Pays-Bas, la Belgique, la France, l'Allemagne, le Royaume-Uni, la Finlande, le Danemark, l'Autriche, l'Estonie, les États-Unis, le Canada, le Chili, la Suisse, la Croatie, la Moldavie et l'Italie, ont participé à cette vaste opération », ont précisé les procureurs néerlandais.

BlackShades est un outil d'accès à distance, ou RAT. Ses créateurs ont essayé de le commercialiser comme un programme de surveillance ordinaire, mais il a également été vendu à de nombreux pirates et cybercriminels. Une fois installé sur un ordinateur, BlackShades permet à l'opérateur d'effectuer un grand nombre d'actions très intrusives, potentiellement malveillantes, qui empiètent sur la vie privée, comme voir ce qui se passe sur l'écran de l'ordinateur distant, télécharger et ouvrir des fichiers, enregistrer les frappes au clavier, crypter des fichiers et contrôler la webcam. Tous les ordinateurs infectés peuvent être gérés à partir d'une interface d'administration à distance, comme dans un réseau de zombies. « Une affaire pénale portée devant le tribunal de Rotterdam implique un jeune homme de 19 ans qui aurait utilisé BlackShades pour se connecter à 2 000 webcams et pour prendre des photos d'utilisateurs de sexe féminin », ont déclaré les procureurs néerlandais.

Une pile de base pour les activités cyber-criminelles

En novembre dernier, les chercheurs de Symantec avaient signalé que BlackShades était encore vendu et largement utilisé dans des activités cybercriminelles. Pourtant, le code source a été divulgué en 2010 et les principaux acteurs du projet ont été arrêtés par le FBI en 2012. L'opération judiciaire menée par Eurojust semble s'appuyer en partie sur des informations obtenues par le FBI de l'un des créateurs du malware. Lundi, le ministère de la Justice américain a rendu publiques des plaintes pénales déposées contre trois personnes ayant utilisé BlackShades pour infecter des ordinateurs et contre deux autres qui ont vendu le cheval de Troie. Un certain Michael Hogue, qui utilise le pseudo en ligne xVisceral, fait parti des personnes accusées d'avoir distribué le logiciel malveillant. Il a été arrêté le 26 juin 2012 dans le cadre d'une autre opération internationale appelée « Operation Card Shop ».

Selon les plaintes, l'enquête menée par le FBI en rapport avec BlackShades a montré que le malware avait été acheté par plusieurs milliers d'utilisateurs dans plus de 100 pays à travers le monde et qu'il avait été utilisé pour infecter plus d'un demi-million d'ordinateurs. Selon le FBI, BlackShades a été vendu par plusieurs forums et sites web de hackers.