Le suspect, "âgé d'une quarantaine d'années et qui résidait à Chypre", a été arrêté le 5 décembre alors qu'il se trouvait à Paris, a indiqué Christophe Durand, chef du pôle des cyber-enquêtes du tout nouvel Office anti-cybercriminalité (Ofac).
Plus de 570 000 euros en cryptomonnaies, correspondant à "son fonds de roulement", ont été saisis dans le cadre de la perquisition de son domicile chypriote, menée pendant sa garde à vue grâce à la "réactivité" de la coopération internationale, via Europol et Eurojust, a salué Christophe Durand.
Hive, l'un des principaux réseaux d'attaques au rançongiciel au monde, est accusé d'avoir pris pour cible 1 500 entités dans 80 pays et d'avoir collecté plus de 100 millions de dollars de rançons.
Il a été démantelé en janvier par le FBI, en coordination avec les forces de police allemande et néerlandaise, ainsi qu'Europol.
La Région Guadeloupe parmi les victimes
Le rançongiciel aurait fait près d'une soixantaine de victimes en France, dont les entreprises Altice ou Damart, l'Ecole nationale de l'aviation civile (Enac), le conseil départemental de Seine-Maritime, la mairie d'Annecy ou la collectivité de Guadeloupe, selon une source proche du dossier.
La cyberattaque d'ampleur envers la Région Guadeloupe a eu lieu en novembre 2022. La collectivité avait porté plainte à la gendarmerie et à la Police nationale, tout en collaborant avec l’Agence Nationale de la Sécurité des Systèmes d’Information.
Hive fonctionnait sur le modèle de logiciel à la demande (Raas, Ransomware as a Service) : ses créateurs le mettaient à disposition d'autres pirates, des "affiliés", qui se chargeaient des attaques avant de partager les gains.
Deux affiliés, qui n'ont pas encore été interpellés, "ont utilisé cet outil pour faire des victimes en France", a rapporté Christophe Durand.
Les cyber-enquêteurs de l'Ofac ont "tracé les flux financiers en cryptomonnaies" correspondant aux rançons jusqu'à remonter "aux portefeuilles gérés" par le banquier occulte avec lequel travaillaient les affiliés, a-t-il ajouté.
Grâce à un travail d'Osint (recherche d'informations en source ouverte), mêlant données techniques et activité sur internet, la PJ a pu l'identifier et le localiser à Paris.
"Il n'y a pas d'impunité, l'image d'Epinal qui consiste à dire qu'il n'y a pas d'interpellations en cyber, on commence à lui donner un coup de canif", s'est réjoui le chef du pôle des cyber-enquêtes.