La Gendarmerie royale du Canada et neuf autres polices nationales ont porté un coup dur aux cybercriminels lundi en faisant fermer 15 serveurs informatiques qu’ils utilisaient dans le monde, dont 1 au Québec.

La frappe internationale visait à démanteler VPNLab.net, l’un des services de VPN préférés des cyberpirates, selon les autorités. Il utilisait notamment trois adresses IP situées dans un serveur de la multinationale française OVH à Beauharnois, en banlieue de Montréal, a appris La Presse.

Les VPN (réseaux privés virtuels) servent à cacher l’identité et l’emplacement de l’utilisateur en redirigeant le trafic internet vers d’autres adresses IP et en cryptant l’information. Des citoyens ordinaires et des organisations préoccupées par la sécurité de leurs communications se servent de ces services, mais VPNLab était particulièrement populaire auprès des pirates informatiques.

La GRC assure toutefois qu’OVH ignorait qu’elle servait à relayer le trafic de cybercriminels. « Ils ont coopéré à l’enquête. Il n’y aura pas de conséquences pour eux », dit Mélanie Cappiello, porte-parole de la police fédérale.

Page d’accueil confisquée

L’Allemagne a coordonné la frappe internationale, qui a commencé un peu après 10 h lundi. Elle impliquait aussi les Pays-Bas, la Tchéquie, la France, la Hongrie, la Lettonie, l’Ukraine, le Royaume-Uni et les États-Unis.

L’adresse internet de VPNLab mène aujourd’hui à une page expliquant que les autorités ont fait fermer le site du réseau virtuel privé.

« Le service a servi à commettre des cybercrimes de grande valeur et a été impliqué dans plusieurs cyberattaques internationales », indique le texte depuis la nuit de lundi à mardi.

Sur son propre site, la police nationale ukrainienne souligne que VPNLab a servi à mener 150 attaques au rançongiciel et à extorquer l’équivalent de 85 millions aux victimes.

En plus de servir à déployer les virus, il aurait aussi permis de « mettre sur pied l’infrastructure de communication » des pirates, affirme de son côté l’association de forces policières Europol.

VPNLab s’annonçait largement sur le web caché (dark Web), particulièrement sur certains forums russophones.

« La police a maintenant accès aux serveurs de VPNLab.net et a saisi les données de consommateurs qu’ils hébergent », affirme aujourd’hui son ancienne page d’accueil, qui arbore le logo des forces de l’ordre impliquées, y compris la GRC.

IMAGE TIRÉE DU WEB

L’ancienne page d’accueil de VPNLab.net explique maintenant que le site a été fermé après une intervention de 10 corps de police nationaux, dont la Gendarmerie royale du Canada.

Nouveau coup dur pour les pirates

Cette nouvelle opération contre l’infrastructure qu’utilisent les cyberpirates est survenue trois jours après une frappe russe contre ceux du gang REvil (ou Sodinokibi). À la demande des États-Unis, les services de sécurité du pays ont arrêté 14 membres de ce « groupe criminel organisé » et saisi l’équivalent de près de 8,5 millions en cryptomonnaies, roubles, dollars américains et euros. Ils ont aussi saisi une vingtaine de voitures de luxe « achetées avec de l’argent tiré du crime », selon Moscou.

Au Québec, REvil a notamment frappé l’entreprise d’autopartage Communauto. Mais surtout, ces pirates russes ont infiltré la firme de services informatiques HelpOx de Mascouche. Une fois dans son système, ils ont pu s’attaquer à plusieurs de ses clients, comme l’ancien club de golf de Céline Dion, Le Mirage, et l’usine de pièces de béton Rinox de Mascouche, paralysée après la destruction de ses données en juillet 2020.

Si les Russes ont mis un terme aux activités de REvil, l’Ukraine accuse aussi les cyberpirates d’être derrière une attaque informatique de grande ampleur, la semaine dernière.

Quelque 70 sites d’institutions du pays ont été touchés. Les pirates ont publié sur leurs sites des messages affirmant que les Ukrainiens devaient « avoir peur et s’attendre au pire ». Cette cyberattaque est survenue peu de temps après l’échec des négociations entre l’OTAN et la Russie sur le sort de l’Ukraine.