Tiina Parikka était à moitié habillée lorsqu’elle a lu l’e-mail. C’était un samedi fin octobre 2020, et Parikka avait passé la matinée à organiser des plans d’enseignement à distance après une épidémie de Covid dans l’école où elle était directrice. Elle avait pris un sauna dans son appartement de Vantaa, juste à l’extérieur de la capitale finlandaise, Helsinki, et lorsqu’elle est entrée dans sa chambre pour s’habiller, elle a vérifié distraitement son téléphone. Il y avait un message qui commençait par son nom et son numéro de sécurité sociale — le code unique utilisé pour identifier les Finlandais pour les soins de santé, l’éducation et les services bancaires. « J’ai su alors que ce n’était pas un jeu », dit-elle.
L’e-mail était en finnois. Il était étrangement poli. « Nous vous contactons parce que vous avez utilisé les services de thérapie et/ou psychiatriques de Vastaamo », disait-il. « Malheureusement, nous devons vous demander de payer pour garder vos informations personnelles en sécurité. » L’expéditeur exigeait 200 euros en bitcoin dans les 24 heures, sinon le prix passerait à 500 euros dans les 48 heures. « Si nous ne recevons toujours pas notre argent après cela, vos informations seront publiées pour que tout le monde les voie, y compris votre nom, adresse, numéro de téléphone, numéro de sécurité sociale et les dossiers détaillés contenant les transcriptions de vos conversations avec les thérapeutes ou psychiatres de Vastaamo. »
Parikka avale difficilement en revivant ce souvenir. « Mon cœur battait la chamade. C’était vraiment difficile de respirer. Je me souviens m’être allongée sur le lit et avoir dit à mon conjoint : “Je crois que je vais faire une crise cardiaque.” »
Quelqu’un avait piraté Vastaamo, l’entreprise par laquelle Parikka avait accédé à la psychothérapie. Ils s’étaient emparés des notes de thérapie contenant ses sentiments les plus privés, intimes et ses pensées les plus sombres — et ils les retenaient en rançon. L’esprit de Parikka s’emballait alors qu’elle essayait de se rappeler tout ce qu’elle avait confié pendant trois ans de séances de thérapie hebdomadaires. Comment sa famille réagirait-elle si elle savait ce qu’elle avait dit ? Que diraient ses élèves ? Le sentiment d’exposition et de violation était insondable : « C’était comme un viol public. »
La thérapie avait été une bouée de sauvetage pour Parikka. Aujourd’hui âgée de 62 ans, elle avait eu trois enfants à l’âge de 25 ans, dont des jumeaux nés extrêmement prématurément dans les années 1980, pesant seulement quelques centaines de grammes chacun. L’un a grandi avec une paralysie cérébrale ; l’autre est aveugle. Parikka a passé des années à jongler avec les urgences médicales, les chirurgies et les séjours à l’hôpital, tout en ayant un travail exigeant et un mariage qui s’effritait. « Pendant ces années, personne ne m’a jamais demandé, à moi la mère : “Comment vas-tu ?” »
Elle a divorcé en 2014 et a rencontré son partenaire actuel un an plus tard. À ce moment-là, ses enfants étaient des adultes avec des vies indépendantes. Après des décennies à mettre les besoins de tous les autres avant les siens, elle aurait dû enfin pouvoir expirer. Au lieu de cela, elle a fait une dépression. « J’avais une anxiété à grande échelle qui parcourait mon corps tout le temps. Je ne pouvais pas dormir. J’avais des attaques de panique. Je ne pouvais pas manger. » Un jour, en conduisant à grande vitesse sur l’autoroute, des pensées sombres l’ont envahie. « Je pensais : ça ne me dérangerait pas si cette voiture avait un accident. »
En quête d’aide urgente, elle s’est tournée vers Google, ce qui l’a menée à Vastaamo, la boutique numérique unique en Finlande pour les personnes cherchant une psychothérapie. Aucune recommandation médicale n’était nécessaire. Elle a réussi à réserver une séance pour le lendemain même. « C’était aussi simple que ça. »
Pouvoir se confier à un parfait inconnu était libérateur. Elle a dit à son thérapeute des choses qu’elle n’avait jamais dites à personne d’autre. « Des traumatismes dans les relations. La déception et la tragédie d’avoir des enfants handicapés, et l’influence que cela a eue sur ma vie », dit-elle. « Des choses stupides, enfantines. C’est très humain de ressentir de la haine, de la colère, de la rage. »
Après que Parikka a lu l’e-mail qui l’a laissée à bout de souffle, elle ne savait pas vers qui se tourner pour obtenir de l’aide. Elle a couru... Elle a appelé les services d’urgence, mais la police lui a dit de raccrocher ; ils devaient garder la ligne libre pour les vraies urgences. En peignoir, téléphone toujours en main, elle se sentait complètement seule.
Mais Parikka était loin d’être seule. À travers la Finlande, 33 000 personnes qui avaient utilisé Vastaamo découvraient qu’un pirate avait obtenu leurs notes de thérapie et les retenait en rançon. Par définition, ces personnes étaient probablement vulnérables et avaient besoin d’aide. Chacune vivait une terreur profondément personnelle. Dans un pays de seulement 5,6 millions d’habitants, tout le monde connaissait quelqu’un qui avait été piraté.
Les notes de certaines victimes avaient déjà été sélectionnées et publiées pour que le monde les voie. Trois jours avant l’envoi des e-mails de chantage, quelqu’un utilisant le pseudonyme « ransom_man » a posté sur le dark web, sur r/Suomi (le subreddit en finnois), et sur Ylilauta, l’équivalent finlandais de 4chan. Cette fois, le message était en anglais. « Bonjour chers collègues finlandais », commençait-il. « Nous avons piraté la clinique de psychothérapie vastaamo.fi et pris des dizaines de milliers de dossiers de patients, y compris des notes de séance extrêmement sensibles et des numéros de sécurité sociale. Nous avons demandé un petit paiement de 40 bitcoins (rien pour une entreprise avec des revenus annuels proches de 20 millions d’euros), mais le PDG a cessé de répondre à nos e-mails. Nous commençons maintenant à publier progressivement leurs dossiers de patients, 100 entrées chaque jour. »
Il y avait un lien vers le dark web, où 100 dossiers étaient déjà affichés. Directement en dessous, ransom_man a signé le message d’un seul mot : « Enjoy ! »
Les 100 dossiers comprenaient ceux de politiciens, d’officiers de police et de personnalités publiques éminentes. Leurs noms apparaissaient à côté de notes de thérapie contenant des détails sur l’adultère, les tentatives de suicide, la pédophilie et la violence sexuelle. Certains dossiers appartenaient à des enfants. Et quelle que soit la personne derrière le piratage, elle a tenu parole : le lendemain, 100 autres dossiers de patients ont été téléchargés.
Certaines victimes ont désespérément cherché sur le dark web pour voir si leurs dossiers s’y trouvaient. Certaines ont payé la rançon, se précipitant pour obtenir des bitcoins alors que le temps s’écoulait. Les avocats représentant les victimes m’ont dit qu’ils connaissaient au moins deux cas où des personnes se sont suicidées après avoir découvert que leurs notes de thérapie avaient été piratées.
Mais pour tous, il était déjà trop tard. À 2 heures du matin le 23 octobre 2020 — la veille du jour où les e-mails ont commencé à arriver dans des dizaines de milliers de boîtes de réception — ransom_man avait téléchargé un fichier beaucoup plus volumineux. Il contenait chaque dossier de chaque patient dans la base de données de Vastaamo. Les notes de thérapie de tout le monde avaient déjà été publiées, gratuitement, pour que le monde entier les voie.
Qui était derrière le plus grand crime que la Finlande ait jamais connu ? Et pouvaient-ils être motivés par autre chose que l’argent ? J’ai passé 18 mois à essayer de répondre à ces questions, suivant des pistes à travers l’Europe et les États-Unis. Cela a culminé par une visite dans une prison et l’une des conversations les plus glaçantes que j’aie jamais eues.
La Finlande a été classée pays le plus heureux du monde par l’ONU pendant huit années consécutives. Leader mondial en matière de garde d’enfants et d’éducation, la Finlande est aussi réputée pour sa haute technologie : c’est le pays le plus numérisé d’Europe, renommé pour son secteur des communications (en tant que foyer de Nokia) et à la pointe de l’innovation en cybersécurité et en IA. Mais la Finlande est aussi un pays d’extrêmes. Elle compte plus de groupes de heavy metal par habitant que toute autre nation. Dans l’extrême nord, pendant les quelques jours autour du solstice d’hiver, le soleil ne se lève pas.
Vastaamo avait longtemps été considéré comme un exemple de la façon dont la Finlande réussissait avec la technologie numérique. Fondée en 2008 par l’entrepreneur Ville Tapio et sa mère, Nina, psychothérapeute, l’objectif était de rendre la thérapie accessible aux masses et de supprimer la stigmatisation de demander de l’aide. La plateforme permettait facilement aux gens de voir qui était disponible, où, et quelle approche thérapeutique ils pratiquaient. Le logo avait t... La palette de couleurs d’une trousse de premiers secours, avec des lettres blanches dans une bulle de dialogue verte. « Vastaamo » signifie « un lieu pour des réponses ». C’était aussi une plateforme attractive pour les thérapeutes : ils n’avaient pas à s’inquiéter du marketing ou de la facturation — Vastaamo s’occupait de tout cela. L’entreprise fournissait même une interface numérique en coulisses où les thérapeutes pouvaient prendre et stocker leurs notes. Cette formule, combinée à la demande croissante de services de thérapie, a permis à Vastaamo de croître rapidement. Elle a ouvert son propre réseau d’environ 20 cliniques à travers la Finlande, employant plus de 220 psychothérapeutes d’ici 2018, ce qui a amené certains en Finlande à la qualifier de « McDonald’s de la thérapie ». Dans les années avant que Zoom et Teams ne fassent partie de notre vie quotidienne, la thérapie à distance également offerte par Vastaamo était révolutionnaire. En 2019, un fonds de capital-investissement a acheté une participation majoritaire dans l’entreprise, rapportant à la famille Tapio plus de 5 millions d’euros.
Meri-Tuuli Auer, 30 ans, décrit l’utilisation de Vastaamo comme « un Uber pour la thérapie — pratique, accessible, relativement bon marché ». Elle a choisi son thérapeute parce qu’il proposait une psychothérapie cognitive — et elle aimait sa photo. « Il avait l’air sympa. Il avait l’air abordable. »
La maison d’Auer, en périphérie d’Helsinki, est un déchaînement de rose. Il y a des poupées Barbie, des livres Barbie et des sacs à main à thème Barbie sur ses étagères, ainsi qu’une voiture de sport Barbie décapotable et scintillante. Une barre de pole dance trône au centre de son salon.
« Je suis une personnalité mixte », me dit-elle en prenant le thé dans des tasses Moumine. « J’aime être entourée de gens, mais j’ai ce pressentiment, ce doute : peut-être qu’ils pensent tous que je suis pleine de merde, stupide et laide et que je ne sais pas ce que je fais. » Auer a lutté contre la dépression une grande partie de sa vie. À 18 ans, elle a eu une relation secrète et difficile avec un homme de 29 ans son aîné, ce qui a fait chuter encore plus son estime d’elle-même. Elle buvait beaucoup. « Si je n’étais pas allée en thérapie, je ne sais pas ce que je serais devenue. Peut-être existe-t-il un autre univers où je n’ai pas atteint 30 ans. »
La majeure partie du coût du traitement d’Auer était couverte par le système de santé finlandais ; elle ne payait qu’environ 25 euros pour chaque séance hebdomadaire. Elle faisait de grands progrès. « Après être allée en thérapie en 2018 et 2019, j’avais acquis un sentiment de sécurité de base. Cela a été perdu en 2020. »
Le PDG de Vastaamo savait que le registre des patients de l’entreprise était retenu en rançon des semaines avant que ses clients ne le découvrent. Le 28 septembre 2020, Ville Tapio a reçu un e-mail exigeant l’équivalent de 450 000 euros en bitcoin pour le garder en sécurité. Des échantillons de dossiers de patients joints à l’e-mail prouvaient que l’extorqueur ne bluffait pas. Tapio a fait appel à une entreprise de cybersécurité pour enquêter.
Les informations médicales sont une cible évidente pour les extorqueurs potentiels, dit Antti Kurittu, le spécialiste en sécurité engagé par Tapio. Mais c’était autre chose : « Tout ce que je dis à un thérapeute est, par nature, beaucoup plus privé que ce qu’est ma tension artérielle », dit-il, sèchement.
Kurittu était auparavant détective, enquêtant sur les cybercrimes pour la police finlandaise ; il dit avoir insisté pour que la police soit informée de la tentative de rançon afin qu’elle puisse mener une enquête parallèle. Pendant ce temps, il a commencé à inspecter le serveur de Vastaamo, cherchant des indices sur l’identité du pirate — et l’une des premières choses qu’il a remarquées était à quel point la sécurité avait été laxiste. « Elle était définitivement inadaptée pour stocker ce type d’informations », dit-il. Il me dit que la base de données des dossiers patients était accessible via Internet ; il n’y avait pas de pare-feu et, peut-être plus grave, elle était sécurisée par un mot de passe vide, donc n’importe qui pouvait simplement appuyer sur Entrée et l’ouvrir. Kurittu a déterminé que celui qui avait piraté Vastaamo avait probablement simplement scanné Internet à la recherche de toute sécurité défaillante... Les pirates cherchaient des bases de données précieuses dont ils pourraient tirer profit. « Ils ont testé divers coffres-forts bancaires pour voir lesquels étaient déverrouillés et ont accidentellement trouvé celui-ci », explique Kurittu.
Nos secrets les plus privés — des choses que nous ne voudrions jamais exposer au monde — sont là, en ligne.
Pendant plusieurs semaines, le pirate et Vastaamo ont communiqué par e-mail, mais Vastaamo n’a jamais envisagé de payer la rançon. Le faire aurait signifié faire confiance à la promesse d’un criminel de supprimer les dossiers. De plus, note Kurittu, cela va à l’encontre du caractère finlandais. « Les Finlandais peuvent être un groupe têtu. Nous ne sommes pas connus pour payer des rançons tranquillement ou facilement, ce qui est un point de fierté nationale pour moi. »
Après que le pirate, utilisant l’alias « ransom_man », a commencé à divulguer des dossiers de patients pour faire pression sur l’entreprise, Kurittu a surveillé de près le serveur utilisé pour les publier. Il soupçonnait que la personne derrière l’attaque était soit finlandaise, soit avait vécu longtemps en Finlande, car elle savait quels noms notables mettre en avant dans les dossiers des patients.
Lorsqu’Auer a appris la violation, elle a téléchargé un navigateur pour accéder au dark web pour la première fois. « Je me suis dit : je dois juste vérifier si mes dossiers sont là », dit-elle. Elle n’a pas trouvé son nom dans le premier lot publié et a fermé le fichier sans lire les dossiers des autres. Mais elle a vu d’autres personnes discuter de ce qu’elles avaient vu. « Les gens avaient déjà sélectionné ce qu’ils pensaient être les parties les plus drôles des dossiers des patients. Ils riaient de la douleur de ces gens. Un enfant de 10 ans était allé en thérapie,
