Chez les dirigeants d’entreprise, qui connaît Alexander Vinnik ? Son actualité symbolise pourtant bien l’incertitude et la complexité du monde numérique. Ce russe, opérateur de la bourse d’échange de cryptomonnaie BTC-e, avait été extradé, avec la participation du FBI et d’Europol, vers la France en octobre pour y être jugé. Suspecté d’être derrière le ransomware Locky qui a fait des centaines de victimes en France entre 2016 et 2018, il a été relaxé lundi 7 décembre de 13 des 14 chefs d’accusation qui avait été retenu contre lui. Pour les juges, Locky, ce n’est pas lui.
Ce père de famille de 41 ans a été condamné pour une seule infraction : le blanchiment d’argent en bande organisée (ce n’est déjà pas anodin !). Exit par contre les faits d’association de malfaiteurs et d’extorsion ou celui spécifiquement « cyber » d’introduction et d’entrave au fonctionnement d’un système de traitement automatisé de données. Le parquet voulait 10 ans de réclusion pour faire un exemple de celui qu’il estimait être un « pirate d’envergure internationale », il en écope au final de cinq. Au-delà de la question de la sévérité de la condamnation en tant que telle, l’affaire montre surtout la difficulté absolue pour les forces de l’ordre et la justice d’attribuer des attaques et d’apporter des preuves de culpabilité claires. Le cybermatch entre criminels et entreprises est définitivement asymétrique. Alexander Vinnik en prison ne change d’ailleurs rien pour les organisations : depuis Locky, nous sommes passés à Egregor, Ryuk ou REvil…Avec toujours aussi peu d’espoir de voir les attaques cesser, comme le prouve les déboires récents de l’Agence européenne des médicaments, et encore moins les responsables punis.
Dorian Marcelin |