Piratage Snowflake : Le réseau The Com trahi par ses échanges

L’émergence de la sous-culture criminelle The Com redéfinit le paysage des menaces numériques. Initialement focalisés sur des nuisances mineures, de jeunes individus organisés en réseaux agiles comme Lapsus$ ou Scattered Spider mènent désormais des opérations complexes de compromission de données. Sans les contraintes diplomatiques qui freinent les groupes étatiques, cette communauté affiche une imprévisibilité qui engendre des incidents critiques touchant des entreprises majeures telles que Microsoft ou Uber. En avril 2024, l’appropriation illicite de plus de cinquante milliards d’enregistrements téléphoniques appartenant au géant AT&T via les infrastructures de stockage Snowflake a illustré l’ampleur phénoménale de cette nouvelle menace.

Cellules de The Com : L’usurpation infiltre les serveurs Snowflake

L’arsenal de ces cellules a rapidement évolué. Les premières offensives observées sur des espaces comme Hack Forums se limitaient souvent à des attaques par déni de service distribué, consistant à saturer un serveur pour le rendre inaccessible. Rapidement, les tactiques de The Com se sont réorientées vers des manipulations plus rentables comme le transfert frauduleux de carte SIM. Cette technique d’ingénierie sociale consiste à tromper ou à corrompre le personnel d’un opérateur pour réattribuer le numéro de téléphone de la cible vers un appareil contrôlé par les assaillants.

Cette interception permet de contourner les processus de double authentification en réceptionnant directement les codes de sécurité par SMS. Utilisée d’abord pour pirater des réseaux sociaux, cette méthode sert aujourd’hui à infiltrer des environnements de stockage en nuage (Cloud) hautement sensibles comme ceux de Snowflake. Lors de cet incident majeur, l’accès illicite à ces espaces externalisés a conduit au vol massif de journaux d’appels. Les assaillants ont extorqué AT&T avant de réclamer des sommes supplémentaires, attirant ainsi l’attention des enquêteurs de la firme spécialisée Unit 221B.

Discord et Telegram : L’ego détruit la sécurité opérationnelle

Malgré l’usage d’outils d’anonymisation avancés, le facteur humain constitue la principale vulnérabilité de la nébuleuse The Com. L’analyse des communications sur des plateformes de discussion cryptées telles que Telegram et Discord démontre que le besoin de reconnaissance surpasse souvent la prudence. Une équipe d’investigation, opérant via le système de collecte eWitness, archive systématiquement ces échanges virtuels avant leur suppression.

En étudiant les archives depuis le printemps 2024, les spécialistes décèlent de multiples erreurs de sécurité opérationnelle. Les individus sous pseudonyme divulguent involontairement leur pays de résidence, vantent leur consommation de médicaments stimulants pour maintenir des connexions nocturnes prolongées, ou exposent des traits de personnalité caractéristiques. Le croisement de ces informations avec les déclarations issues de conflits internes permet de resserrer le filet de la traque. Les tentatives de contre-espionnage des suspects de The Com, consistant à semer de faux indices géographiques pour détourner l’attention, échouent face à la rigueur de cette cartographie relationnelle.

Interpellation en Ontario : L’erreur humaine brise la dissimulation

La traque numérique se matérialise par des interventions concrètes lorsque les identités physiques sont confirmées. Dans cette affaire de piratage Snowflake, les investigations ont convergé à l’automne 2024 vers une adresse résidentielle située dans la province de l’Ontario, au Canada. Selon le récit détaillé par MIT Technology Review, une opération de vérification préliminaire a été orchestrée le 21 octobre pour valider le profil du suspect avant son arrestation.

Un officier en tenue civile s’est présenté à la porte du domicile sous un faux prétexte. Le suspect, un jeune homme en décrochage scolaire, a ouvert la porte de manière négligée en déclarant qu’on venait de le réveiller. Lors de ce bref échange, il a commis l’erreur d’utiliser un prénom spécifique correspondant à l’un de ses pseudonymes connus en ligne, scellant ainsi son identification. Neuf jours plus tard, le 30 octobre, une opération policière officielle a conduit à son arrestation pour son implication dans l’extorsion de deux millions et demi de dollars. Parallèlement, l’exploitation d’une erreur technique similaire a permis l’interpellation d’un complice exerçant au sein de l’armée américaine en décembre 2024.

La sophistication des outils de dissimulation numérique ne compense pas l’immaturité comportementale de ces nouveaux acteurs affiliés. L’archivage persistant des interactions sociales et l’analyse minutieuse des comportements en ligne démontrent que, face à une méthodologie d’enquête structurée, l’anonymat total reste une illusion technique vouée à se dissiper sous le poids des erreurs humaines.

Pour approfondir le sujet

30 membres présumés du groupe « The Com » arrêtés dans le cadre de l'opération Compass

darkreading.com

La répression mondiale menée par les forces de l'ordre, qui a débuté en janvier 2025, a également permis d'identifier près de 180 membres de ce tristement célèbre collectif de cybercriminels Lire la suite