Mat Hayward - stock.adobe.com

Cybercriminalité : qu’attendre du démantèlement de Hive ?

Probablement pas grand-chose dans l’immédiat. Les effets positifs du démantèlement sont certainement derrière nous. Les affidés de la franchise vont migrer, si ce n’est pas déjà fait, et ses opérateurs, rebondir.

Ce jeudi 26 janvier, le ministère de la Justice américain annonçait en grande pompe le démantèlement de la franchise de ransomware Hive. La police judiciaire française n’a pas manqué d’en profiter pour mettre en avant son rôle dans cette opération internationale remarquable à plus d’un titre.

Mais le point le plus impressionnant est peut-être l’infiltration de l’infrastructure de la franchise Hive, depuis la fin juillet 2022. Grâce à cela, le FBI a « capturé les clés de déchiffrement et les a offertes aux victimes du monde entier ». Plus de 300 victimes du rançongiciel Hive en ont profité. Mais les clés de déchiffrement pour plus d’un millier d’autres victimes, antérieures, ont été distribuées.

Pourquoi révéler l’existence de cette opération maintenant ? Pour envoyer un message aux cybercriminels, mais aussi probablement parce que l’opération commençait à ne plus trop passer inaperçue : après tout, des victimes qui ne paient pas et qui se multiplient brutalement, ça doit se remarquer.

L’activité visible de Hive suggère d’ailleurs que les opérateurs de la franchise ont cherché à cacher l’ampleur du camouflet. À fin juillet 2022, ils avaient revendiqué une centaine de cyberattaques. Mais au cours des cinq mois suivants, le nombre de revendications est tombé à moins de 50. Un chiffre à mettre en parallèle avec celui avancé par le ministère de la Justice américain : plus de 300 victimes de Hive durant cette période.

Mais les effets de l’opération policière menée contre Hive appartiennent très probablement au passé. Sa révélation n’a été accompagnée d’aucune arrestation ni mise en examen, mais d’une offre de récompense, jusqu’à 10 millions de dollars, en échange d’informations sur l’identité ou la localisation géographique d’acteurs liés aux activités de Hive.

Les opérateurs de la franchise vont très probablement rebondir et réapparaître, sous un nouveau nom, peut-être. Ils ont fait preuve de résilience par le passé, notamment en faisant régulièrement évoluer leur ransomware afin d’en corriger les défauts susceptibles de permettre un déchiffrement sans avoir à payer de rançon.

Mais ce qui fait la force d’une franchise mafieuse telle que Hive, ce sont d’abord ses affidés. Si leur activité a été brièvement affectée par le démantèlement, force est de constater que les alternatives ne manquent pas pour eux : des franchises concurrentes les accueilleront probablement à bras ouverts. En outre, certains affidés de la franchise Hive travaillaient peut-être déjà en parallèle avec une ou plusieurs autres franchises.

Aujourd’hui, la première interrogation est donc là : à quelle franchise profitera, au moins initialement, cette disparition – probablement temporaire – de Hive ?

Pour approfondir sur Cyberdélinquance