Selon neuf intervenants en cybersécurité, des experts en criminalité numérique et des victimes, le Federal Bureau of Investigation (FBI) des États-Unis a eu du mal à arrêter un gang de cybercriminels hyper-agressifs qui a tourmenté l'Amérique des affaires au cours des deux dernières années.

Depuis plus de six mois, le FBI connaît l'identité d'au moins une douzaine de membres du groupe de pirates informatiques responsable des effractions dévastatrices survenues en septembre chez les exploitants de casinos MGM Resorts International et Caesars Entertainment, selon quatre personnes au fait de l'enquête.

Des dirigeants du secteur ont déclaré à Reuters qu'ils étaient déconcertés par l'absence apparente d'arrestations, bien que de nombreux pirates soient basés aux États-Unis.

"J'aimerais bien qu'on me l'explique", a déclaré Michael Sentonas, président de CrowdStrike, l'une des entreprises qui a dirigé les efforts de réponse aux piratages.

"Pour un si petit groupe, ils font absolument des ravages", a déclaré Sentonas lors d'une interview accordée à Reuters le mois dernier.

M. Sentonas a déclaré que les pirates étaient "connus", mais n'a pas donné de détails. Il a toutefois ajouté : "Je pense qu'il y a eu une défaillance". Lorsqu'on lui a demandé qui était responsable de cet échec, M. Sentonas a répondu : "les forces de l'ordre".

Le FBI a déclaré qu'il enquêtait sur les piratages des sociétés de jeux, mais un porte-parole de l'agence a refusé de s'exprimer sur le groupe responsable ou sur l'état d'avancement de l'enquête. Un porte-parole du ministère de la justice s'est également refusé à tout commentaire.

Depuis plus de six mois, le FBI connaît l'identité d'au moins une douzaine de membres du groupe de pirates informatiques responsable des intrusions dévastatrices de septembre dans les casinos MGM Resorts International et Caesars Entertainment, selon quatre personnes au fait de l'enquête.

Surnommé "Scattered Spider" par certains professionnels de la sécurité, le groupe de pirates informatiques est actif depuis 2021, mais il a fait les gros titres à la suite d'une série d'intrusions dans plusieurs entreprises américaines de premier plan.

L'intrusion de MGM a perturbé les activités de ses casinos et hôtels pendant plusieurs jours et a coûté à la société environ 100 millions de dollars de dommages, comme elle l'a indiqué dans une déclaration réglementaire le mois dernier. Selon le Wall Street Journal, Caesars a payé une rançon d'environ 15 millions de dollars pour récupérer l'accès à ses systèmes auprès des pirates.

Aucune des deux sociétés n'a répondu à une demande de commentaire.

CrowdStrike, Mandiant (Alphabet), Palo Alto Networks et Microsoft figurent parmi les principales entreprises américaines de cybersécurité qui ont réagi aux violations commises par les pirates dans les entreprises privées. Certaines d'entre elles ont recueilli des preuves de l'identité des pirates et aident les forces de l'ordre, selon les cinq initiés.

Les sources indiquent qu'à la suite des piratages de casinos de septembre, l'enquête du FBI a pris un nouveau caractère d'urgence. Les fonctionnaires du FBI ont commencé à s'intéresser aux opérations des pirates il y a plus d'un an.

Les analystes de la sécurité qui suivent les violations ont trouvé un éventail de victimes dans presque tous les secteurs d'activité, depuis les télécommunications et les entreprises d'externalisation jusqu'aux sociétés de soins de santé et de services financiers.

Au total, environ 230 organisations ont été touchées depuis le début de l'année dernière, selon un décompte de la société de cybersécurité ZeroFox, basée à Baltimore, dans le Maryland, qui a aidé Caesars à contenir les retombées.

James Foster, directeur général de ZeroFox, a attribué la lenteur de la réaction des forces de l'ordre à un manque de personnel. Ces dernières années, de nombreux articles de presse ont suggéré que le bureau perdait beaucoup de ses meilleurs cyber-agents au profit du secteur privé, qui leur offre des salaires plus élevés.

"Les forces de l'ordre, en tout cas au niveau fédéral, disposent de tous les outils et de toutes les ressources nécessaires pour lutter efficacement contre les cybercriminels", a déclaré M. Foster. "Elles n'ont tout simplement pas assez de personnel.

L'hésitation de nombreuses victimes à coopérer avec le FBI constitue un autre problème. L'une des sources, un cadre impliqué dans la défense contre les pirates informatiques, qui a refusé d'être nommé pour des raisons de confidentialité, a déclaré que "plusieurs" entreprises victimes n'ont jamais informé le bureau qu'elles avaient été compromises, ce qui signifie que les procureurs ont perdu l'occasion d'acquérir des preuves potentiellement importantes.

Cet instinct de dissimulation d'une intrusion n'est pas inhabituel, a déclaré à Reuters un ancien fonctionnaire du FBI qui a requis l'anonymat et qui a déjà travaillé sur des enquêtes relatives à des ransomwares.

"Ce que j'ai constaté en travaillant sur les ransomwares, c'est que neuf fois sur dix, l'entreprise ne voulait pas coopérer", a déclaré l'ancien fonctionnaire.

Un troisième défi a été la nature peu soudée du groupe, qui est constitué de petites grappes d'individus qui collaborent ponctuellement sur des tâches spécifiques. La structure obscure du gang lui a valu le surnom de "Scattered" (dispersé), ainsi qu'un autre surnom de l'industrie, "Muddled Libra" (Balance embrouillée), parmi les chercheurs.

Par exemple, l'équipe à l'origine du projet de casino se fait appeler "Star Fraud", selon deux analystes. Elle fait partie d'un grand collectif de pirates informatiques composé essentiellement de jeunes cybercriminels qui utilisent le nom "The Com" comme argot pour désigner leur communauté.

Selon les entreprises de cybersécurité, la plupart des membres du groupe sont basés dans des pays occidentaux, notamment aux États-Unis. Ils discutent généralement de leurs projets de piratage dans des canaux de discussion partagés sur des applications de messagerie sociale, notamment Telegram et Discord, qui est populaire auprès des joueurs.

Un porte-parole de Telegram n'a pas répondu à une demande de commentaire sur les pirates. Un porte-parole de Discord a refusé de s'exprimer à leur sujet, mais a déclaré que la plateforme interdisait toute activité illégale et prenait des mesures, notamment en interdisant ou en fermant les groupes ou les utilisateurs qui s'adonnent à de telles pratiques.

Historiquement, la forme amorphe du groupe a rendu difficile pour le FBI la coordination interne entre ses nombreux bureaux locaux à travers le pays, ont déclaré trois personnes familières avec le sujet. Pendant des mois, de nombreux bureaux locaux ont enquêté indépendamment sur des piratages individuels lancés par le même groupe, mais ils n'étaient pas immédiatement conscients de leur lien, ce qui a retardé le processus.

Récemment, le bureau local du FBI à Newark, dans le New Jersey, a mené une enquête sur le groupe de pirates informatiques et a progressé, selon ces trois personnes, qui n'ont pas fourni de détails. Elles ont ajouté qu'un nouvel agent spécial a été affecté à l'affaire.

Ces derniers mois, des détails alarmants sur les tactiques agressives de The Coms ont été rendus publics. Ses membres sont engagés dans une série de projets illicites, allant de la sextorsion et du ransomware aux escroqueries par téléphone et au paiement de personnes pour commettre des violences physiques - également connues sous le nom de "violence en tant que service".

Dans un rapport publié par Microsoft à la fin du mois dernier, l'entreprise technologique a cité des pirates informatiques liés à Scattered Spider qui menaçaient de tuer les employés d'une organisation victime à moins qu'ils ne communiquent leurs mots de passe.

"Si nous n'obtenons pas notre login dans les 20 prochaines minutes, nous envoyons un tireur chez vous (sic)", pouvait-on lire dans l'un des messages. Un autre suivait en disant : "Notre femme va se faire tirer dessus si vous ne vous pliez pas".

Les tentatives de Reuters de contacter les pirates pour cet article n'ont pas abouti.

"Je pense qu'ils sont pathologiques", a déclaré Kevin Mandia, fondateur de Mandiant, lors d'une interview en septembre. "Nous avons vu comment ils interagissent avec les entreprises victimes. Ils sont sans pitié.

M. Mandia n'a pas répondu directement à la question de savoir si les identités de Scattered Spider étaient connues des forces de l'ordre. Mais il a déclaré qu'il n'y avait aucune excuse pour ne pas arrêter les pirates informatiques qui opéraient depuis l'Ouest.

"S'ils se trouvent dans des pays démocratiques qui travaillent avec la communauté internationale, vous devez les attraper", a-t-il déclaré. (Reportage de Zeba Siddiqui à San Francisco, et de Raphael Satter et Christopher Bing à Washington ; rédaction de Chris Sanders et Claudia Parsons)