Le chercheur ayant ralenti WannaCrypt arrêté par le FBI, pour un malware bancaire

Le jeune chercheur anglais qui avait accidentellement trouvé le « kill switch » de WannaCrypt a été arrêté par le FBI. Il est accusé d’avoir élaboré le malware Kronos, dont la spécificité était de s’attaquer aux données bancaires, et d'avoir participé à sa revente en ligne.

Pour beaucoup, le nom de Marcus Hutchins ou le pseudonyme MalwareTech étaient inconnu jusqu’à ce printemps. L’émergence de WannaCrypt et sa large couverture médiatique ont assuré les conditions de sa célébrité. Hutchins est en effet un jeune chercheur en sécurité de 23 ans, qui s’est penché sur le fonctionnement du ransomware et a trouvé par hasard un kill switch, rendant inopérante la menace et l’empêchant de se propager.

Or, le jeune Anglais est actuellement entre les mains du FBI, qui l’accuse d’avoir participé à la création de Kronos. Une allégation qui provoque le scepticisme dans la communauté des chercheurs, MalwareTech était connu comme un « white hat ».

Arrestation surprise

Nous n’avons actuellement que peu de détails, mais certaines informations ont été confirmées par Motherboard après vérification. On sait donc qu’il a été appréhendé mercredi à Las Vegas. Dans un premier temps, il a été détenu à la prison d’Henderson, dans le Nevada. Selon un ami proche du chercheur, il a ensuite été déplacé dans un autre centre de détention, dont l’emplacement n’est pas connu.

Dans un premier temps, le même ami a indiqué qu’il était impossible d’avoir des explications sur cette arrestation, le Marshall interrogé lui ayant répondu que Hutchins n’était nulle part « dans le système ». Nos confrères ont pu cependant s’entretenir avec un autre Marshall, qui leur a confirmé que le chercheur avait bien été arrêté par le FBI.

La piste Kronos

Le Bureau, silencieux les premiers jours, a fini par expliquer hier que le chercheur était suspecté d’avoir participé à l’élaboration de Kronos. Il s’agit de l’un des nombreux malwares destinés à siphonner les identifiants bancaires des internautes. Dans un document récupéré par Motherboard, on peut ainsi lire que ce rôle clé est la raison précise pour laquelle Hutchins a été arrêté. Il en serait même le principal responsable. Le document mentionne un deuxième suspect, mais son nom n’est pas donné.

L’association de malfaiteurs est a priori une piste retenue puisque le second suspect aurait cherché à revendre Kronos – pour 7 000 dollars – sur plusieurs places de marché du « dark web », dont AlphaBay qui n’existe plus aujourd’hui (après action conjointe de plusieurs pays il y a deux semaines) . Les évènements se seraient déroulés entre juillet 2014 et 2015, et Marcus Hutchins aurait participé à la création d'une vidéo expliquant comment fonctionnait Kronos, publiée sur YouTube le 13 juillet 2014. Le malware étant encore actif cette année, le FBI serait donc sensible au sujet, selon un communiqué officiel.

Un certain scepticisme dans la communauté des chercheurs

L’arrestation a surpris. Marcus Hutchins est largement reconnu comme un « white hat », c’est-à-dire un hacker (et non un pirate) plongeant dans les entrailles des malwares pour mieux en comprendre le fonctionnement, avant d’en exposer les caractéristiques. Il a d’ailleurs été arrêté en quittant la Def Con de Las Vegas, évènement justement consacré à ce type de recherche. Il était également connu pour avoir réalisé un suivi des attaques par le botnet Mirai, qui avait provoqué tant de dégâts.

Dans le camp des chercheurs en sécurité, le scepticisme règne. MalwareTech est cependant considéré en danger, comme le signale Martjin Grooten. Selon lui, si Hutchins est coupable (ce dont il doute), il devrait avouer très rapidement. S’il ne l’est pas, sa situation sera complexe. Le travail d’un white hat se fait en effet sur le fil du rasoir, en plongeant autant ses mains dans le cambouis qu’un pirate, par exemple en obtenant une copie sur un black market. Dans ce même cadre, publier une vidéo expliquant le fonctionnement d’un malware n’a rien d’extraordinaire.

Le fait qu’il ait eu 20 ans au moment des faits pourrait par ailleurs expliquer cette manière de procéder. Il aurait pu être conseillé, notamment pour éviter les problèmes juridiques, mais il semblait vouloir se pencher sur les questions qui l’intéressaient, sans avoir réellement conscience des risques encourus.

Pas d'avocat ni de visites

Un autre ami de Hutchins, Andrew Mabbitt (également chercheur), a indiqué sur Twitter travailler à la recherche d’un avocat. Selon lui, Hutchins n’en aurait toujours pas, pas plus que le droit à des visites. Il se dit prêt à lancer une campagne de financement participatif pour payer les frais de la défense.

Les faits ne sont pour l’instant pas nombreux. Le document indique que Hutchins a été arrêté pour six chefs d’inculpation, tous des cybercrimes, bien que seul le cas de Kronos soit abordé. Il faudra donc attendre que de nouveaux détails émergent.

I'm working on getting a lawyer for @MalwareTechBlog as he has no legal representation and no visitors. I'll be crowdfunding legal fees soon

— Andrew Mabbitt (@MabbsSec) 3 août 2017