Marcus Hutchins aurait admis être le créateur du malware Kronos, mais plaide non coupable

Et pourrait être libéré sous une caution de 30 000 $

Loué pour avoir mis fin à la campagne de cyberattaque internationale WannaCry, Marcus Hutchins serait paradoxalement le créateur du malware Kronos, conçu pour voler les informations bancaires, en dirigeant les cibles vers des sites Web bancaires malveillants. Le chercheur en sécurité britannique aurait en effet avoué à la police qu’il était bien l’auteur du malware bancaire, mais ses avocats ont l'intention de défendre le cas et plaider non coupable.

Rappelons que Marcus Hutchins, alias MalwareTech, a été arrêté mercredi dernier aux États-Unis, où il a assisté au cours des semaines passées aux conférences internationales Black Hat et Def Con sur la cybersécurité à Las Vegas. C'est alors qu'il s'apprêtait à prendre un vol pour rentrer au Royaume-Uni qu'il a été arrêté par les autorités américaines. Le héros de WannaCry est accusé par le Département américain de la Justice (DoJ) d'avoir aidé à créer, diffuser et maintenir le cheval de Troie bancaire Kronos entre 2014 et 2015 et fait face à six chefs d'accusation de piratage.

« Il a reconnu qu'il était l'auteur du code du malware Kronos et a indiqué l'avoir vendu », explique Dan Cowhig, le procureur américain. Cela vient également confirmer des preuves qui étaient déjà en la possession du DoJ. Dan Cowhig explique en effet que lors d’une opération dans le cadre des investigations sur Kronos, des agents secrets ont pu acheter le code du malware avec le chercheur britannique et son complice qui est encore en liberté et dont le nom est jusqu’ici gardé secret. Le procureur a également déclaré qu'il y avait encore des logs provenant des discussions entre Hutchins et son complice, révélant que Hutchins se plaignait de l'argent qu'il avait reçu pour la vente.


En dépit de ces éléments de preuve évoqués par le procureur, ses avocats estiment qu’il est innocent. « Il conteste les charges. Nous avons l'intention de défendre le cas », a déclaré Adrian Lobo, l'avocat de la défense de Hutchins. « Il a consacré sa vie à la recherche de logiciels malveillants, et non à essayer de nuire aux gens. Utiliser Internet pour le bien, c'est ce qu'il a fait », explique son avocate. C’est le même son de cloche avec Janet Hutchins, la mère du chercheur. Elle pense que c’est « très peu probable » qu'il soit impliqué dans cette affaire parce qu'il a consacré « énormément de temps et même son temps libre à la lutte contre ces logiciels. »

Le jeune chercheur en sécurité devrait faire une autre apparition devant un tribunal du Wisconsin ce mardi où il va plaider non coupable. Marcus Hutchins peut déjà se réjouir d’un traitement de faveur à cause de son statut de White Hat. Un juge a déjà statué le vendredi dernier que Hutchins pourrait être libéré sous une caution de 30 000 $, à condition qu’il reste aux États-Unis. Le juge a estimé en fait qu’il n’était pas un danger pour la communauté et qu’il n’y avait pas non plus de risque qu’il quitte les États-Unis. Avec la libération sous caution, il aura donc l’obligation de rester dans un certain périmètre des États-Unis et sera également suivi par GPS. Il ne devra pas accéder à Internet et lui sera interdit d’avoir un quelconque contact avec son complice dans l’affaire Kronos.

Hutchins semble également bénéficier d’un grand soutien dans la communauté internationale. Adrian Lobo a en effet déclaré que ses partisans sont en train de collecter des fonds pour sa caution. « Il a un soutien communautaire formidable, local et à l'étranger et dans le monde informatique », dit-elle.

La découverte du Kill Switch dans le code de WannaCry était-elle vraiment un coup de chance ?

Pendant ce temps, beaucoup reviennent sur la manière dont Marcus Hutchins a mis fin à la cyberattaque WannaCry. Rappelons-le, il a déclenché par hasard un kill switch (une sorte de bouton d’urgence) qui était dans le code du malware. WannaCry essayait en effet d’établir une connexion avec un domaine non enregistré. Mais tant que ce domaine n’était pas enregistré, le malware n’arrivait pas à établir la connexion et continuait son infection, mais s’il arrivait à se connecter au domaine, il arrêtait alors l’infection. Sans le savoir, comme il l’a expliqué aux médias, Marcus Hutchins a enregistré le domaine avec lequel le malware essayait d’établir une connexion et publié une page sur le domaine. D’après le chercheur en sécurité, son intention était de suivre la propagation de WannaCry, mais il a découvert que cela a eu pour effet secondaire d’arrêter la propagation de l’infection ; ce qui a fait de lui un héros recevant des récompenses et l’éloge des médias.

Mais les échos de l’affaire Kronos laissent penser que Hutchins avait plutôt quelque chose à voir avec WannaCry. « Laissez-moi exprimer mon premier sentiment et celui d'autres personnes lorsque MalwareTech a été arrêté : l'histoire du "killswitch" était simplement de la foutaise », explique Dave Aitel dans un billet de blog sur le site Cyber Sec Politics. « Ce que je pense », poursuit-il, « c'est que MalwareTech avait quelque chose à voir avec Wannacry, et il connaissait le killswitch, et quand Wannacry a commencé à devenir énorme en causant des dégâts massifs (par exemple, au NHS de son propre pays), il s'est effrayé et a trouvé "le killswitch". C'est pourquoi il était tellement dérangé d'être exposé par les médias. »

Sources : The Guardian, The Telegraph, Cyber Sec Politics

Et vous ?

Quelle est votre opinion sur la responsabilité de Marcus Hutchins dans l'affaire Kronos, mais également dans la campagne WannaCry ?

Voir aussi :

USA : le chercheur en sécurité britannique qui a mis fin à la propagation de WannaCry arrêté par le FBI après la conférence Def Con