TL;DR : L’essentiel
- En avril 2024, la communauté criminelle The Com infiltre les systèmes cloud Snowflake pour dérober plus de cinquante milliards de journaux téléphoniques de l’opérateur AT&T lors d’une attaque.
- Après avoir obtenu près de quatre cent mille dollars d’extorsion, les pirates réclament davantage d’argent et commettent l’imprudence d’interpeller publiquement le FBI sur les réseaux sociaux.
- L’étude minutieuse des interactions virtuelles et des conflits personnels exposés sur Telegram et Discord facilite la révélation de l’identité des suspects de The Com opérant sous divers pseudonymes.
- Fin octobre 2024, une opération de reconnaissance menée en civil à domicile permet de confirmer visuellement le principal suspect du piratage Snowflake, un jeune homme paraissant très négligé.
L’émergence de la sous-culture criminelle The Com redéfinit le paysage des menaces numériques. Initialement focalisés sur des nuisances mineures, de jeunes individus organisés en réseaux agiles comme Lapsus$ ou Scattered Spider mènent désormais des opérations complexes de compromission de données. Sans les contraintes diplomatiques qui freinent les groupes étatiques, cette communauté affiche une imprévisibilité qui engendre des incidents critiques touchant des entreprises majeures telles que Microsoft ou Uber. En avril 2024, l’appropriation illicite de plus de cinquante milliards d’enregistrements téléphoniques appartenant au géant AT&T via les infrastructures de stockage Snowflake a illustré l’ampleur phénoménale de cette nouvelle menace.
Cellules de The Com : L’usurpation infiltre les serveurs Snowflake
L’arsenal de ces cellules a rapidement évolué. Les premières offensives observées sur des espaces comme Hack Forums se limitaient souvent à des attaques par déni de service distribué, consistant à saturer un serveur pour le rendre inaccessible. Rapidement, les tactiques de The Com se sont réorientées vers des manipulations plus rentables comme le transfert frauduleux de carte SIM. Cette technique d’ingénierie sociale consiste à tromper ou à corrompre le personnel d’un opérateur pour réattribuer le numéro de téléphone de la cible vers un appareil contrôlé par les assaillants.
Cette interception permet de contourner les processus de double authentification en réceptionnant directement les codes de sécurité par SMS. Utilisée d’abord pour pirater des réseaux sociaux, cette méthode sert aujourd’hui à infiltrer des environnements de stockage en nuage (Cloud) hautement sensibles comme ceux de Snowflake. Lors de cet incident majeur, l’accès illicite à ces espaces externalisés a conduit au vol massif de journaux d’appels. Les assaillants ont extorqué AT&T avant de réclamer des sommes supplémentaires, attirant ainsi l’attention des enquêteurs de la firme spécialisée Unit 221B.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Discord et Telegram : L’ego détruit la sécurité opérationnelle
Malgré l’usage d’outils d’anonymisation avancés, le facteur humain constitue la principale vulnérabilité de la nébuleuse The Com. L’analyse des communications sur des plateformes de discussion cryptées telles que Telegram et Discord démontre que le besoin de reconnaissance surpasse souvent la prudence. Une équipe d’investigation, opérant via le système de collecte eWitness, archive systématiquement ces échanges virtuels avant leur suppression.
En étudiant les archives depuis le printemps 2024, les spécialistes décèlent de multiples erreurs de sécurité opérationnelle. Les individus sous pseudonyme divulguent involontairement leur pays de résidence, vantent leur consommation de médicaments stimulants pour maintenir des connexions nocturnes prolongées, ou exposent des traits de personnalité caractéristiques. Le croisement de ces informations avec les déclarations issues de conflits internes permet de resserrer le filet de la traque. Les tentatives de contre-espionnage des suspects de The Com, consistant à semer de faux indices géographiques pour détourner l’attention, échouent face à la rigueur de cette cartographie relationnelle.
Interpellation en Ontario : L’erreur humaine brise la dissimulation
La traque numérique se matérialise par des interventions concrètes lorsque les identités physiques sont confirmées. Dans cette affaire de piratage Snowflake, les investigations ont convergé à l’automne 2024 vers une adresse résidentielle située dans la province de l’Ontario, au Canada. Selon le récit détaillé par MIT Technology Review, une opération de vérification préliminaire a été orchestrée le 21 octobre pour valider le profil du suspect avant son arrestation.
Un officier en tenue civile s’est présenté à la porte du domicile sous un faux prétexte. Le suspect, un jeune homme en décrochage scolaire, a ouvert la porte de manière négligée en déclarant qu’on venait de le réveiller. Lors de ce bref échange, il a commis l’erreur d’utiliser un prénom spécifique correspondant à l’un de ses pseudonymes connus en ligne, scellant ainsi son identification. Neuf jours plus tard, le 30 octobre, une opération policière officielle a conduit à son arrestation pour son implication dans l’extorsion de deux millions et demi de dollars. Parallèlement, l’exploitation d’une erreur technique similaire a permis l’interpellation d’un complice exerçant au sein de l’armée américaine en décembre 2024.
La sophistication des outils de dissimulation numérique ne compense pas l’immaturité comportementale de ces nouveaux acteurs affiliés. L’archivage persistant des interactions sociales et l’analyse minutieuse des comportements en ligne démontrent que, face à une méthodologie d’enquête structurée, l’anonymat total reste une illusion technique vouée à se dissiper sous le poids des erreurs humaines.
Pour approfondir le sujet
30 membres présumés du groupe « The Com » arrêtés dans le cadre de l'opération Compass
La répression mondiale menée par les forces de l'ordre, qui a débuté en janvier 2025, a également permis d'identifier près de 180 membres de ce tristement célèbre collectif de cybercriminels Lire la suite
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
