Un pirate fait face à … 30 000 chefs d’accusation

Pas de doute, le pirate Kivimäki n’a pas fini d’user ses pantalons sur les bancs de la justice. Le hacker malveillant fait face à 30 000 chefs d’accusation.

Aleksanteri Kivimäki, 26 ans, anciennement identifié comme Julius Kivimäki, se retrouve devant la justice de son pays pour être le présumé pirate informatique de plusieurs entreprises, dont des centres de santé. A noter qu’il nie tout acte malveillant alors que les autorités ont des preuves plus longue que la queue d’un lézard.

Le présumé pirate est actuellement en détention provisoire, dans l’attente d’une procédure qui devrait débuter d’ici quelques jours. S’il est reconnu coupable, il risque une peine maximale de sept ans de prison. Les procureurs finlandais ont inculpé ce hacker de plus de 30 000 chefs d’accusation liés à une prétendue violation d’un centre de psychothérapie privé basé à Helsinki.

Les accusations comprennent une tentative d’extorsion et la diffusion d’informations portant atteinte à la vie privée, selon un communiqué récupéré par ZATAZ et publié par le ministère public finlandais. L’affaire Kivimäki serait l’une des plus vastes de l’histoire pénale finlandaise.

Kivimäki aurait piraté en 2018 la société finlandaise Vastaamo, qui gérait des dizaines de centres de psychothérapie à travers le pays, volant les dossiers de traitement privés de plus de 33 000 patients. Plus de 21 000 d’entre eux ont ensuite déposé plainte.

Membre de Lizard Squad

Après avoir volé les dossiers, Kivimäki aurait tenté d’extorquer plus de 380 000 dollars en bitcoins à Vastaamo et aurait envoyé des lettres d’extorsion aux patients, exigeant des paiements allant de 200 à 650 euros en échange de la non-divulgation de leurs dossiers de séance de thérapie. Lorsque Vastaamo a refusé de payer, le pirate informatique a publié sur le dark web des lots d’informations sur les patients, y compris les dossiers de ceux qui étaient des enfants à l’époque.

Les informations volées étaient très sensibles, notamment les numéros de sécurité sociale, les numéros de téléphone et les courriels des patients, ainsi que les notes des médecins et les transcriptions des conversations entre les patients et les professionnels de la santé mentale. Ancien membre du groupe de hackers malveillants Lizard Squad, Kivimäki a été arrêté en février en France.

Lizard Squad a été le plus actif fin 2014 et a ensuite été accusé d’incidents tels que des attaques par déni de service distribué qui ont détruit les services de jeux en ligne PlayStation et Xbox, ainsi que d’alertes à la bombe contre un avion transportant le président de Sony Online Entertainment.

Adolescent, en 2015, Kivimäki a été reconnu coupable de plus de 30 000 chefs d’accusation de délits informatiques. Il n’était pas à son coup d’essai. Il avait un casier judiciaire « exceptionnel » avec des infractions remontant à son adolescence.

Plus de 50 000 chefs d’accusation !

En 2015, le tribunal de district d’Espoo le déclarait coupable de 50 700 chefs d’accusation d’effraction informatique aggravée, d’interférence aggravée dans les communications, de fraude aggravée, d’interception de messages aggravée et d’effraction informatique, lui infligeant une peine de prison avec sursis de deux ans.

En 2020, il a été reconnu coupable d’avoir rédigé de faux rapports de police afin d’envoyer les forces de l’ordre dans des résidences privées aux États-Unis et d’avoir signalé une alerte à la bombe infondée contre American Airlines. L’homme a fait appel du jugement.

En octobre 2022, les autorités finlandaises suggèraient qu’environ 20 à 30 personnes avaient payé une rançon.

Le centre de psychothérapie Vastaamo a été déclaré en faillite début 2021, quelques mois après l’apparition des premières fuites de données. Le Service Veille peut malheureusement confirmer que les 31 912 dossiers sont toujours diffusés par des pirates, 6 ans aprés les deux cyberattaques orchestrées en novembre 2018 puis en mars 2019.

A la mi-mars 2019, un autre incident s’était produit pour Vastaamo. Le patron de ce réseau de cliniques était au courant, mais va décider de garder le silence auprés du conseil d’administration, des autorités et des victimes. Lorsque l’incident a été connu, le conseil d’administration de Vastaamo a démis de ses fonctions le chef de l’entreprise.