Comment un pirate informatique adolescent est devenu l'un des criminels les plus recherchés d'Europe

Julius Kivimäki

Crédit photo, EUROPOL

Légende image, Julius Kivimäki a été condamné à six ans et trois mois de prison.

Un pirate informatique notoire, qui était l'un des criminels les plus recherchés d'Europe, a été emprisonné pour avoir fait chanter 33 000 personnes en menaçant de publier en ligne les notes de leurs séances de thérapie.

L'arrestation de Julius Kivimäki met un terme à une série de cybercrimes qui a duré 11 ans et qui a commencé lorsqu'il a acquis une certaine notoriété au sein d'un réseau anarchiste de pirates informatiques adolescents, alors qu'il n'avait que 13 ans.

Tiina Parikka
Légende image, Tiina Parikka est l'une des victimes de l'attaque contre Vastaamo, une chaîne finlandaise de cliniques de psychothérapie.

« Au début, j'ai été frappée par la politesse et l'amabilité du ton », se souvient-elle.

L'expéditeur écrit : « Chère Mme Parikka », avant de lui dire qu'il a obtenu ses informations privées dans une clinique de psychothérapie où elle est patiente.

S'excusant presque, l'auteur de l'e-mail explique qu'il les contacte directement parce que la clinique ignore que des données personnelles ont été volées.

Deux ans d'enregistrements méticuleux réalisés par son thérapeute au cours de dizaines de séances étaient désormais entre les mains de ce maître chanteur inconnu.

Si elle ne payait pas la somme exigée dans les 24 heures, toutes les notes seraient publiées en ligne.

« C'était un sentiment d'étouffement », dit-elle. « J'étais assise en robe de chambre, avec l'impression que quelqu'un avait envahi mon univers privé et essayait de gagner de l'argent sur les traumatismes de ma vie.

Tiina se rend vite compte qu'elle n'est pas seule.

Au total, 33 000 autres patients ont également vu leurs dossiers dérobés et des milliers d'entre eux ont été victimes de chantage, ce qui a donné lieu à l'affaire criminelle ayant fait le plus grand nombre de victimes en Finlande.

La base de données volée sur les serveurs de Vastaamo, un réseau finlandais de cliniques de psychothérapie, contenait les secrets les plus intimes d'une grande partie de la société, y compris des enfants. Des conversations sensibles sur des sujets allant des relations extraconjugales aux aveux criminels étaient utilisées comme monnaie d'échange.

Mikko Hyppönen, de la société finlandaise de cybersécurité WithSecure, qui a effectué des recherches sur l'attaque, explique que l'affaire a eu des répercussions et a alimenté l'actualité pendant plusieurs jours dans le pays.

« Une attaque de pirates informatiques de cette ampleur est un désastre pour la Finlande - tout le monde connaissait une personne touchée », explique-t-il.

Tout s'est passé en 2020, pendant les fermetures imposées par la pandémie de Covid-19, et l'affaire a pris le monde de la cybersécurité par surprise.

L'impact des courriels a été immédiat et dévastateur. L'avocate Jenni Raiskio représente 2 600 victimes et, au cours du procès, elle a déclaré que son cabinet avait été engagé par des personnes dont les proches avaient mis fin à leurs jours après la publication de leurs dossiers en ligne. Elle a observé une minute de silence au tribunal pour les victimes.

Le maître chanteur, identifié uniquement sous le nom de « ransom_man » par sa signature en ligne, exigeait que les victimes paient 200 euros (environ 1 090 R$) dans les 24 heures, faute de quoi il publierait leurs informations. Si les victimes ne respectaient pas ce délai, il augmenterait le montant à 500 euros (2 700 R$).

Une vingtaine de personnes ont payé avant de se rendre compte qu'il était trop tard. Leurs informations avaient été publiées la veille, lorsque « ransom_man » avait accidentellement divulgué l'intégralité de la base de données sur un forum du dark web.

Tout y est encore aujourd'hui.

Mikko et son équipe ont passé un certain temps à traquer le pirate et à essayer d'aider la police. C'est alors qu'ont commencé à émerger des théories selon lesquelles le pirate venait probablement de Finlande.

L'une des plus grandes enquêtes policières de l'histoire du pays a permis de retrouver un jeune Finlandais déjà connu dans le monde de la cybercriminalité.

Kivimäki dans une interview avec Sky News en 2014, dans laquelle il s'est appelé Ryan
Légende image, Kivimäki dans une interview avec Sky News en 2014, dans laquelle il s'est appelé Ryan

La vague de criminalité de Zeekill

Kivimäki, qui se faisait appeler Zeekill lorsqu'il était un pirate informatique adolescent, n'est pas devenu la figure connue qu'il est aujourd'hui en étant prudent.

Adolescent, tout ce qui l'intéressait était de pirater, d'extorquer et de se vanter le plus bruyamment possible. Avec les équipes de hackers Lizard Squad et Hack the Planet, il s'est amusé à semer le chaos pendant la période extrêmement active des hackers adolescents des années 2010.

Kivimäki était l'un des protagonistes, menant des dizaines d'attaques majeures jusqu'à ce qu'il soit arrêté en 2014, à l'âge de 17 ans, et reconnu coupable de 50 700 cas de piratage informatique.

Mais il n'est pas allé en prison. La suspension conditionnelle de sa peine de deux ans a suscité la controverse et a été critiquée par de nombreux acteurs du monde de la cybersécurité. Malgré la clémence notoire des peines en Finlande, on craignait que Kivimäki et ses complices - pour la plupart d'autres adolescents éparpillés dans le monde anglophone - ne soient pas dissuadés.

Comme beaucoup de ses collègues durant cette période tumultueuse, Kivimäki n'a pas semblé se laisser arrêter par ses problèmes avec la police.

Après son arrestation et avant d'être condamné, il a mené l'une des attaques les plus audacieuses de tous les gangs de pirates informatiques adolescents.

Lui et le Lizard Squad ont mis hors ligne les deux plus grandes plateformes de jeu la veille et le jour de Noël.

Le Playstation Network et le Xbox Live ont été mis hors service après que leurs services ont été touchés par une technique peu sophistiquée mais puissante connue sous le nom d'attaque par déni de service distribué. Des dizaines de millions de joueurs ont été empêchés de télécharger des jeux, d'enregistrer de nouvelles consoles ou de jouer avec des amis en ligne.

Lizard Squad
Légende image, Lizard Squad s'est vanté de ses attaques sur Twitter, en publiant des messages avec son logo.

Kivimäki a attiré l'attention de la presse mondiale et a même accepté de m'accorder une interview pour la chaîne de télévision Sky News, dans laquelle il n'a montré aucun remords pour l'attaque.

Un autre pirate informatique, également membre du gang Lizard Squad, a déclaré à la BBC que Kivimaki était un adolescent vindicatif qui aimait se venger de ses rivaux et montrer ses compétences en ligne.

« Il était très bon dans ce qu'il faisait et ne se souciait pas des conséquences. Il allait toujours plus loin que les autres dans ses attaques ».

« Malgré l'attention dont il faisait l'objet, il lançait des alertes à la bombe et transmettait de sérieux canulars sans déguiser sa voix », explique M. Ryan, qui n'a pas souhaité divulguer son nom de famille, car les autorités ne le connaissent pas encore.

Hormis le fait que Kivimäki a été lié à quelques attaques informatiques de moindre envergure après sa condamnation, il est resté pratiquement inconnu pendant des années, jusqu'à ce que son nom soit associé à l'attaque de la clinique de psychothérapie de Vastaamo.

Kivimäki à Helsinki lors de son procès
Légende image, Le procès Kivimäki à Helsinki a été l'un des plus importants de l'histoire du pays.

Alerte rouge émise

Il a fallu près de deux ans à la police finlandaise pour rassembler les preuves nécessaires à l'émission d'une alerte rouge d'Interpol (police internationale) à l'encontre de Kivimäki, qui est devenu l'un des criminels les plus recherchés d'Europe. Mais personne ne savait où se trouvait ce jeune homme de 25 ans.

Il a été retrouvé par hasard en février dernier, lorsque la police parisienne s'est rendue à son appartement après avoir reçu un faux appel concernant une dispute domestique. Ils ont découvert que Kivimäki vivait avec de faux documents d'identité.

Le jeune homme a rapidement été extradé vers la Finlande, où la police a commencé à préparer l'un des procès les plus importants de l'histoire du pays.

L'inspecteur Marko Leponen a dirigé l'enquête qui a duré trois ans et, selon lui, il s'agit de l'affaire la plus importante de sa carrière.

« Nous avons eu plus de 200 policiers sur l'affaire à un moment donné, et ce fut une enquête intense avec beaucoup de témoignages de victimes et d'histoires à analyser ».

Le procès de Kivimäki a été un événement majeur pour le pays, suivi de près par les journalistes locaux - et même par la presse internationale, qui s'est déplacée pour entendre son témoignage.

J'étais au tribunal le premier jour où il a témoigné, lorsqu'il a maintenu son plaidoyer de non-culpabilité dans le calme et avec des plaisanteries occasionnelles adressées au tribunal en silence.

Mais les preuves contre lui étaient accablantes.

Selon M. Leponen, il était essentiel de relier le compte bancaire de M. Kivimäki au serveur utilisé pour télécharger les données volées.

Ses agents ont également utilisé de nouvelles techniques de police scientifique pour extraire l'empreinte digitale de Kivimäki d'une photo anonyme qu'il avait postée en ligne sous un pseudonyme.

Une main qui tient un brumisateur

Crédit photo, POLICE FINLANDAISE

Légende image, La police a présenté des empreintes digitales prouvant que cette photo était celle de Kivimäki.

« Nous avons réussi à prouver que cette personne anonyme qui avait posté sur le forum était Kivimäki. C'était incroyable, mais cela montre qu'il faut utiliser toutes les mesures que l'on connaît et essayer celles que l'on ne connaît pas", explique M. Leponen.

Les juges ont finalement rendu leur verdict, déclarant Kivimäki coupable de tous les chefs d'accusation.

Le tribunal a reconnu Kivimäki coupable de plus de 30 000 infractions - une pour chaque victime.

Il a été accusé de violation aggravée de données, de tentative aggravée de chantage, de 9 231 diffusions aggravées d'informations portant atteinte à la vie privée, de 20 745 tentatives aggravées de chantage et de 20 infractions aggravées de chantage.

Il a été condamné à six ans et trois mois de prison (la peine maximale étant de sept ans), mais il est probable qu'il n'en purgera que la moitié en raison du temps déjà passé et du système judiciaire finlandais.

Pour les victimes, comme Tiina, ce temps n'est pas suffisant.

« Tant de personnes ont été touchées par cette affaire de bien des manières - 33 000 personnes, c'est beaucoup de victimes. Cela a affecté notre santé, et certaines personnes ont été la cible d'escroqueries financières en utilisant les données volées", dit-elle.

Entre-temps, elle et les autres victimes attendent de savoir si elles recevront une quelconque compensation.

M. Kivimäki a accepté le principe d'un règlement à l'amiable avec un groupe de victimes, mais d'autres prévoient d'engager des poursuites civiles contre lui ou contre la société Vastaamo elle-même.

La clinique de psychothérapie n'existe plus et son fondateur a été reconnu coupable de ne pas avoir protégé les données des patients, avec un sursis. M. Kivimäki n'a pas dit à la police combien d'argent il possédait en bitcoins et affirme avoir oublié les détails de son portefeuille numérique.

L'avocate Jenni Raiskio espère que l'État pourra intervenir, mais elle estime qu'il faudra de nombreux mois, voire des années, pour analyser chaque cas individuellement et évaluer l'ampleur des dégâts.

Des voix s'élèvent même pour demander que la loi soit modifiée afin de pouvoir faire face à de futurs cas de piratage informatique de masse comme celui-ci.

« C'est un événement historique en Finlande, car notre système n'est pas préparé à un tel nombre de victimes. Le piratage de Vastaamo nous a montré que nous devions être préparés à de tels cas, alors j'espère qu'il y aura un changement. J'espère donc qu'il y aura un changement. Cela ne va pas s'arrêter là", dit-elle.