Robert Hansen, du site WhitehatSec a mis en ligne sur son blog, une interview passionnante. Durant plusieurs jours, il a eu l'occasion d'échanger avec un black hat, c'est à dire un hacker qui pratique son art illégalement essentiellement pour l'argent. Il a pu lui poser toutes les questions qu'il avait en tête et ainsi mieux connaitre l'envers du décor.
Lien du site WhitehatSec : https://www.whitehatsec.com/
Traduction et source de ce post : http://korben.info/interview-black-hat.html
Ces dernières années, je me suis efforcé de me mettre à l’écoute de la "communauté black hat". Celle-ci, souvent considérée comme la face sombre du web, est l’appellation donnée aux individus qui s’adonnent sans hésiter à la cybercriminalité, qui outrepassent volontairement les contrats de licence de logiciels et autres conditions d’utilisation, et qui font commerce de warez, de failles, de botnets, de numéros de cartes de crédit ou de sécurité sociale, d’informations bancaires volées, etc. Pour ces individus, ou les groupes qu’ils composent, le profit est souvent la motivation principale, mais ce n’est pas la seule.
La plupart du temps, malgré leurs réticences, mes interlocuteurs dans le domaine de la sécurité informatique ont conscience de l’utilité d’un dialogue avec les cybercriminels. Malgré cela, on me demande souvent d’expliquer mon raisonnement, en partant du principe qu’à force de fréquenter le diable, on finit par le devenir. Certains vont même jusqu’à insinuer que, pour côtoyer des criminels, il faut soi-même être un peu délinquant.
Je crois au contraire qu’il est extrêmement important que les experts en sécurité informatique maintiennent un dialogue ouvert avec la communauté black hat. C’est assez semblable, en fait, aux discussions régulières entre certains trafiquants de drogue et des officiers de police, dans le cadre de leur profession : si vous ne connaissez pas votre adversaire, comment espérer le vaincre ?
Un "black hat", qui a choisi le pseudonyme Adam, et avec qui j’ai beaucoup discuté, a récemment déclaré vouloir rentrer dans le droit chemin. Pour accompagner cette reconversion radicale, il a proposé de répondre à mes questions, afin que le milieu de la sécurité informatique puisse en apprendre un peu plus sur lui et sur son point de vue. Pour des raisons évidentes, rares sont les black hats qui veulent bien se confier ; cet aperçu unique de leur monde est donc inestimable, même s’il nous est impossible de vérifier les déclarations d’Adam.
Espérons qu’en apprenant comment pensent Adam et les autres black hats, et comment ils communiquent, les spécialistes pourront mettre au point de nouvelles solutions, abandonner certaines technologies inefficaces, et régler les problèmes les plus flagrants.
À l’identique, peut-être que certaines personnes imagineront, à la lecture de cette interview, des peines plus dissuasives, qui empêcheront les actes criminels avant qu’ils ne se produisent ; ou bien trouveront-ils un moyen de tarir les flux financiers, d’abattre les marchés parallèles, voire tout bonnement de détourner les internautes de la tentation de la cybercriminalité, avant qu’il ne soit trop tard. Il y a beaucoup d’informations inestimables à extraire des confessions d’Adam et de celles d’autres black hats comme lui. Mieux encore : nous pourrons peut-être, comme dans le cas présent, amener certains black hats à laisser derrière eux leur vie de délinquant.
L’interview d’Adam s’est déroulée sur plusieurs jours, et a demandé de nombreux échanges. Par conséquent, ces derniers ont exigé un travail de révision conséquent, afin de rendre le texte lisible ; cependant, ces révisions se sont limitées à l’orthographe, la ponctuation, et autres corrections de ce type. Le sens premier du texte, lui, est resté inchangé, et retranscrit parfaitement les mots d’Adam.
Q : Pouvez-vous décrire quelles sont, selon vous, vos compétences en matière de piratage et de sécurité informatique ?
R : Mon domaine d’expertise, ma spécialité, c’est vraiment l’ingénierie sociale. Je suis très clairement un black hat, aussi j’utilise l’ingénierie sociale pour pirater des cartes de crédit. Un autre domaine du « piratage » (j’utilise des guillemets, car le DDoS n’est pas vraiment du piratage), c’est la construction de botnet, et l’abattage de serveur. D’après moi, c’est là que se trouve le profit réel : en une journée, on peut gagner plusieurs centaines de milliers de dollars. Le milieu black hat a évolué, pour passer d’actions manuelles à une automatisation générale des logiciels.
Qui plus est, de nombreux sites sont ciblés par le biais de méthodes très simples et banales. Entre autres, les injections SQL (SQLi), le XSS basique et avancé, le CSRF, et l’empoisonnement de cache DNS. Et bien que les injections continuent de représenter une partie non négligeable des méthodes employées, le XSS constitue vraiment la plus grosse part du gâteau. Je dirais qu’environ 50 à 60 % des attaques menées par mon groupe l’année dernière (du premier janvier au premier janvier) relevaient du XSS. J’ai aussi appris de nombreux langages de programmation, comme le Python, le Perl, le C, le C++, le C#, le Ruby, le SQL, le PHP, l’ASP, et j’en passe.
Q : Vous souvenez-vous de la première fois où vous avez volontairement enfreint le droit de l’informatique ? Pourquoi l’avez-vous fait, et comment avez-vous alors justifié votre acte ?
R : Hum, c’était il y a de nombreuses années. Mon souvenir le plus ancien remonte à l’école, lorsque j’avais environ 14 ans. Les administrateurs systèmes étaient plutôt compétents (enfin, pour des administrateurs scolaires). Un jour, je me trouvais dans la bibliothèque, et je savais que les administrateurs, ainsi que le bibliothécaire, avaient un accès à distance à tous les PC. Comme par hasard, la bibliothèque était l’endroit où ils corrigeaient nos contrôles, et entraient nos notes dans le système. Je n’ai jamais été le petit génie de l’école, et j’avais des notes assez médiocres. Aussi je me suis dit que peut-être, je pourrais obtenir des A et des A+ en travaillant deux fois moins, et j’ai commencé à me renseigner. Jusqu’à ce que je découvre les keyloggers.
Cela me paraissait à la fois étrange et fascinant qu’un simple programme, que je pouvais écrire moi-même (avec un peu de travail), soit en mesure de me donner les meilleures notes possibles. Aussi je m’y suis mis, j’ai installé le keylogger sur le PC du bibliothécaire, et j’ai utilisé le logiciel d’accès à distance pour installer le même programme sur les autres ordinateurs. J’ai été suspendu pendant deux semaines.
Q : Où avez-vous acquis la plus grande partie de vos compétences ?
R : Dans les livres, avec Google, et en discutant avec des interlocuteurs sur divers forums et sur l’IRC. Contrairement aux "Haxorz 1337" de maintenant (rires), à l’époque, nous partagions tout, nous échangions, et nous nous aidions mutuellement. On ne craignait pas d’être ridiculisé pour nos lacunes.
Q : Qu’est-ce qui vous a attiré dans le mode de vie des black hats ?
R : L’argent. Je trouvais amusant que quelques heures passées devant la télévision, à taper sur mon portable, puissent me rapporter l’équivalent du salaire mensuel d’un travailleur consciencieux. En fait, c’était presque trop simple.
Q : Vous souvenez-vous du moment où vous avez commencé à vous considérer comme un black hat ? Qu’est-ce qui a déclenché cette prise de conscience ?
R : C’est assez difficile à dire, en fait. Ni moi, ni le groupe que je fréquentais, ne nous sommes jamais appelés "black hats". Cela faisait trop "James Bond". On se considérait uniquement comme un groupe d’individus ayant trouvé un moyen de gagner de l’argent. On se moquait complètement de la catégorie dans laquelle on nous rangeait. C’était juste amusant, et très facile. Cela dit, la première fois que j’ai pris conscience que l’on pouvait me considérer comme un black hat, c’est lorsque l’un de mes amis "dans la vraie vie" a été victime d’une fraude à la carte bancaire. J’ai alors réalisé que mes actions avaient un impact sur des victimes bien réelles, et que je ne jouais pas uniquement avec des chiffres et de l’argent virtuels.
Q : Au plus fort de votre activité botnet, combien de machines contrôliez-vous ?
R : Hum, ça dépend. J’avais deux botnets distincts (bien que certains bots fassent parfois double emploi). Le botnet de DDoS regroupait des ordinateurs publics et de bureau, qui fonctionnaient comme bots. Et ce pour deux raisons : non seulement ces ordinateurs sont allumés toute la journée, et possèdent généralement des connexions rapides à internet, mais en plus, les gens sont suffisamment intelligents pour ne pas utiliser de tels ordinateurs publics pour effectuer leurs opérations financières (et s’ils le faisaient, autant laisser un script kiddie s’occuper d’eux).
Et puis il y avait mon botnet pour cartes bancaires, clairement le plus précieux des deux. Ces PC étaient des ordinateurs de banques, d’agents immobiliers, de supermarchés, et évidemment, des PC domestiques. Je préférais largement cibler les PC sur lesquels un employé avait l’habitude d’entrer les informations de sa clientèle : autrement dit, les banques (oui, l’ordinateur d’une banque est particulièrement facile à transformer en bot). Tout cela m’a permis d’obtenir une réserve inépuisable de cartes de crédit, et d’adresses à spammer. Le botnet de DDoS regroupe actuellement environ 60000-70000 bots, la plupart en Occident. L’autre botnet, lui, n’en comprend que 5000 à 10000, principalement en Asie. Mon record, c’est probablement d’avoir contrôlé quelque chose comme 570000 bots simultanés.
Q : D’après vous, au plus fort de votre activité, combien d’argent vous restait-il chaque année, une fois vos frais de fonctionnement pris en compte ?
R : Je ne peux pas vraiment entrer dans les détails, mais lorsque le 11 septembre s’est produit, nous en étions à plusieurs millions de dollars par an.
Q : Et combien d’argent avez-vous gagné l’année dernière ?
R : Comme ça, au jugé ? Environ 400000-500000 dollars. L’année dernière était assez merdique. Les gens se sont assagis, la fréquence des correctifs a augmenté. Cette année, nous avons déjà atteint les trois quarts de cette somme.
Q : Lorsque vous avez commencé, est-ce que vous aviez en tête un objectif précis, par exemple une certaine somme d’argent ?
R : Beaucoup de nouveaux me posent cette question sur les forums. Avant ces quatre dernières années, je ne m’étais jamais fixé d’objectif. Au début, je faisais uniquement ça pour m’amuser, pour me vanter (rires), et pour l’argent très, très facile.
Q : Est-ce que vous pouvez décrire le processus par lequel vous gagnez de l’argent avec votre botnet ?
R : Honnêtement, c’est encore plus simple que de se brosser les dents, en particulier si l’on a recours à des logiciels automatisés. Chaque groupe a plusieurs membres. Le responsable des bots, le chercheur, le rétro-ingénieur, le distributeur, l’ingénieur social, le vendeur, et le fudder*. La moitié du temps, les individus qui vendent des exploits 0-day ne font que ça. Les acheteurs, eux, sont des responsables de bots qui n’appartiennent à aucun groupe.
Notre groupe a développé un outil qui explore le cache de l’ordinateur bot, à la recherche de comptes Twitter ou Facebook. Ensuite, il vérifie les listes d’intérêts du compte Facebook (comme Justin Bieber), puis l’âge, le nom, le lieu… Par exemple, disons que le bot n° 2 est connecté à Facebook. La propriétaire du compte est une fille de seize ans, qui vit en Amérique (c’est important pour avoir la bonne langue), et qui aime Bieber. L’outil choisit alors automatiquement une liste de liens préexistants, comme "sextape de Justin Bieber".
Utiliser des 0-day pour pirater un site, et y insérer une iframe, c’est assez lassant, et ça ne produit que rarement les résultats attendus… à moins bien sûr de s’attaquer à un site au classement Alexa élevé, auquel cas cela en vaut la peine. Combiner un 0-day défigurant un site, avec un 0-day en Java (par exemple), afin de pirater l’ordinateur à la volée (par drive-by), est nettement plus efficace que d’essayer d’inciter l’utilisateur à télécharger volontairement un programme infecté. Et ce que beaucoup de gens ne réalisent pas, c’est que les adresses mails disponibles sur leur page Facebook peuvent être revendues à des fins de spam. Là encore, on peut gagner plus d’argent en automatisant le tout.
* un fudder est un outil qui se lie à un virus, pour le rendre beaucoup plus difficile à détecter par les antivirus ; par extension, le terme décrit aussi une personne spécialisée dans l’utilisation d’un tel outil.
Q : À quel point le piratage d’un site est-il facile pour vous ?
R : Les débutants n’ont qu’à chercher "inurl:money.php?id=" dans Google. Allez-y, essayez. Mais la plupart des sites auront déjà été vidés ou fermés. Aussi, il faut cibler les sites plus importants. J’aime beaucoup surveiller les informations, en particulier économiques. Prenons un site qui vient de se lancer sur le marché, et dont les ventes en ligne explosent : aussitôt, il devient une cible intéressante. La plupart des sites de ce genre sont gérés par des administrateurs ne connaissant rien au milieu du piratage informatique, et ignorant tout de la manière dont fonctionne l’esprit des pirates. Cela les laisse particulièrement vulnérables. Ils utilisent les correctifs SQL, mais choisissent un DNS vulnérable à l’empoisonnement de cache DNS. On peut s’y introduire et être reparti en moins d’une heure.
Q : À quel point les informations Whois, et autres données publiques vous facilitent-elles la tâche pour prendre le contrôle d’un compte piraté ?
R : Autrefois, Whois était essentiel pour acquérir des informations. Mais maintenant, les gens les affichent partout, sur Facebook, Twitter, etc. Des compagnies comme Amazon n’ont besoin que du nom, de l’adresse et du mail d’un compte pour lui associer une nouvelle carte de crédit. Ensuite on raccroche le téléphone, puis on appelle le département de réinitialisation du mot de passe, pour leur donner, en guise de vérification d’identité, le nom, l’adresse, le mail et le numéro de carte de crédit que vous venez d’ajouter au compte (ces informations n’ont même pas besoin d’être valides, il suffit d’utiliser un générateur de nom aléatoire).
Et voilà, on y est : on peut alors voir les quatre derniers chiffres de la vraie carte de crédit enregistrée. Ensuite, il suffit de demander un email de réinitialisation du mot de passe, et c’est fini. Amazon prétend qu’ils ont corrigé cette faille il y a deux ans, mais je continue d’utiliser cette méthode constamment. Franchement, Amazon, vous devriez mieux former vos employés.
Q : Quel type de sites préférez-vous pirater ? Ou bien vos tentatives sont-elles totalement aléatoires ? Quels sont les sites les plus simples à rentabiliser ?
R : La plupart des attaques sont aléatoires, mais il est arrivé qu’une compagnie (que je ne citerai pas) refuse de m’offrir une réduction sur un achat, ce qui m’a profondément agacé. Alors on a rendu publics les numéros de cartes bancaires de tous ses clients. Sinon, j’aime beaucoup cibler les compagnies de sécurité informatique, comme les fabricants d’antivirus.
Au moment des soldes d’été, il n’y a rien de mieux (sites pornographiques mis à part) que les magasins de vêtements. Ce sont les sites les plus simples et les plus rentables à pirater, d’après moi. Je vais commencer par les magasins de vêtements, qui sont particulièrement vulnérables à deux types d’attaques :
1. Les administrateurs de tels sites n’emploient jamais de double authentification. J’ignore pourquoi, mais j’ai piraté des milliers de sites de ce genre, et jamais aucun administrateur ne l’a utilisée.
2. De tels "administrateurs" travaillent généralement en arrière-boutique, ou dans les bureaux. Ils n’ont aucune idée de ce qu’ils font : ils se contentent de payer quelqu’un pour construire leur site, pour ensuite s’en occuper eux-mêmes. Comme ils n’ont jamais de HTTPS, ils ont d’énormes vulnérabilités SQLi (par exemple, "inurl roduct.php?id="). Une fois que vous avez repéré cette vulnérabilité, deux choix s’offrent à vous. Soit vous choisissez de voler les informations bancaires, et de disparaître, soit vous défigurez le site, en gardant le code HTML original, et en installant une iframe qui redirige vers un téléchargement de cheval de Troie à la volée.
Et maintenant, mes préférés : les sites pornographiques.
Pourquoi sont-ils si simples à pirater ? Parce que leurs administrateurs ne vérifient jamais les pages vers lesquelles leurs publicités redirigent les internautes. Mettez une publicité montrant une femme à forte poitrine sur Facebook, quelqu’un clique dessus, et voilà, un autre cheval de Troie installé à la volée. Mais le plus compliqué, c’est de trouver plus d’informations (par exemple, pour faire chanter un homme d’affaires) : on peut alors utiliser un toolkit d’ingénierie sociale (SET) pour obtenir les vrais détails du compte Facebook, qui, à leur tour, peuvent être exploités via l’ingénierie sociale.
Q : Quel est votre exploit préféré/le plus efficace contre les sites internet, et pourquoi ?
R : Si c’est un 0-day, alors forcément je le mets en tête de mon classement personnel. Avec juste dessous, les XSS. C’est connu de tous, mais pourtant, personne ne s’en protège. Je suppose que le DDoS n’est pas vraiment un exploit, mais ça peut quand même nous rapporter un "salaire" mensuel, en échange de notre "protection". Mais les 0-days restent les exploits les plus intéressants.
Q : Comment rentabilisez-vous les DDoS ?
R : Les gens achètent des comptes. Par exemple, vous louez mille bots, pour un temps de DDoS de trente minutes. Certains clients n’achètent qu’une seule fois. Le racket est une grande part de ce commerce : on abat un site pendant une heure, on envoie un email aux propriétaires, ou on les appelle pour leur demander 200 dollars, ou bien le site sera abattu pour de bon. Généralement, ils paient. Et s’ils ne le font pas, ils perdent des jours, des semaines, ou des mois de transactions.
Q : Comment choisissez-vous quelles cibles attaquer au DDoS, pour ensuite les faire chanter ?
R : Hum, ça dépend. S’il y a un grand événement sportif, comme le Super Bowl, vous pouvez être sûr que 95 % des sites de paris sportifs se sont fait extorquer de l’argent. J’ai connu un groupe qui s’en était pris à un site de recherche contre le cancer, juste avant le lancement d’une grande campagne de collecte de fonds. Et c’est triste à dire, mais le groupe a eu son argent.
Q : Qui sont les clients qui paient pour accéder à votre botnet, et à quoi cela leur sert-il, d’après vous ?
R : Certains disent que les gouvernements s’en servent, ou même des entreprises pour s’en prendre à leurs concurrents. Mais pour être franc, je m’en moque. C’est simple : si vous payez, je vous offre mes services.
Q : Y a-t-il des erreurs récurrentes faites par les sites web lorsqu’ils tentent de se défendre contre vous ?
R : Je pourrais écrire un livre sur ce sujet, mais je vais me limiter à trois choses.
1. Employer un administrateur idiot, un privilégié qui n’a jamais été un pirate, et qui a été à la Fac, tous frais payés par Papa et Maman. Si j’étais le président d’une compagnie, j’emploierais plus volontiers quelqu’un ayant un casier judiciaire de pirate informatique qu’un diplômé de l’université. Le pirate avec un casier a l’expérience nécessaire pour empêcher les intrusions, et n’est pas limité à ce qu’il a appris dans les livres.
2. Les employés qui répondent au téléphone sont stupides, mal formés, jeunes, et sans expérience.
3. Les compagnies ne se protègent pas contre les DDoS. Cloudflare, par exemple, propose une protection contre le DDoS très efficace, pour 200 dollars par mois (qui plus est, un domaine Cloudflare est plus difficile à pirater). Si je vous extorque 200 à 1000 dollars en une journée, ne vaut-il pas mieux vous protéger définitivement pour le même prix ?
Q : En tant que black hat, y a-t-il des techniques/services/équipements de sécurité qui vous rendent vraiment la vie difficile ? Et à l’inverse, y en a-t-il qui vous semblent être totalement inutiles ?
R : Hum. Une protection contre le DDoS est généralement un obstacle notable, même si certains groupes ont, de par le passé, prouvé que c’était assez simple à contourner (par exemple, le système de résolution de Cloudflare, avant qu’ils ne changent leur méthode de protection. En somme, c’est "presque" contournable.)
Parmi les choses inutiles… hum… un antivirus ne sert à rien. Il vous protègera peut-être des script-kiddies utilisant des fichiers partiellement détectables, mais c’est à peu près tout. Chaque botnet est, par défaut, totalement indétectable (fud). C’est tellement facile à faire qu’on le fait gratuitement. Les logiciels anti-spam ne servent pas à grand-chose, eux non plus (CAPTCHAs exceptés, bien qu’ils entraînent des évaluations négatives des utilisateurs).
Ce dont il faut se souvenir, c’est que le milieu black hat a dix coups d’avance sur les solutions commerciales. Lorsqu’un exploit 0-day est rendu public, c’est que les black hats l’utilisent déjà depuis des mois. La double authentification est assez difficile à contourner, et oui, ça arrête net une tentative de piratage, notamment dans le domaine de l’ingénierie sociale ; mais comme l’a prouvé Cosmo (un pirate de quinze ans, membre de UGNazi), cela reste contournable. C’est un peu comme acheter un jeu vidéo. Après sa sortie, il reçoit de nombreux correctifs, mais il faut attendre un long moment avant que leurs effets ne se fassent ressentir.
Q : Quel type de navigateur est le plus vulnérable ? Et d’après vous, pourquoi ?
R : Il y a quelques années, j’aurais probablement répondu Internet Explorer, sans hésiter. C’est toujours le cas, mais progressivement, les gens sont passés à des navigateurs plus rapides et plus performants, comme Chrome et Firefox. IE domine toujours 52 % du marché, mais Chrome vient juste après.
Je pense que IE reste dominant, parce que les gens se sentent à l’aise avec. Mais comme, à moins de s’informer vraiment sur ses vulnérabilités, on ne peut pas se rendre compte de la dangerosité de IE, aussi pourquoi en changer ? L’arrivée de Chrome l’a déjà contraint à s’améliorer. Et une chose qui a énormément influencé le taux d’infection des bots est la suppression massive de Java. Lorsque l’annonce d’un exploit 0-day de Java est rendue publique, les gens paniquent (à raison), et le désinstallent, ou alors appliquent des correctifs… mais comme nous le savons tous, Java ne reste jamais très longtemps sécurisé.
Q : Comment restez-vous anonyme lorsque vous devez interagir avec des acheteurs ?
R : Je passe par des bots pour discuter. Pas dans le sens "utiliser un bot comme proxy pour y faire passer mon trafic internet", mais bien en créant du code pour que le bot reçoive et traite lui-même la commande. Le client obtient le code du bot acheteur sur le marché, l’installe, et fait son achat. Son PC se connecte en secret à mon IRC, qui me transmet la commande, et le mode de paiement. Mais, bien évidemment, je ne suis pas censé être au courant de tout ça.
Q : Parmi les technologies émergentes, en existe-t-il qui, selon vous, pourraient poser des problèmes à la communauté des pirates ?
R : Non, pas le moins du monde. Le marché ne s’attarde jamais plus d’une semaine sur un domaine ; s’il le fait, c’est un marché saturé.
Q : Y a-t-il des limites que vous vous refusez à franchir ? Des crimes que vous vous refusez à commettre, quelle que soit la somme en jeu ?
R : Je refuse que mes botnets servent à attaquer des opérations caritatives, ou des pages en souvenir de soldats. À part ça, je n’ai pas de limites. On me demande souvent si mes botnets servent parfois dans la concurrence entre sites pédophiles. En fait, les pédophiles ont leurs propres botnets. Mais si quelqu’un veut attaquer un site pédophile, je le fais généralement gratuitement. Le "revenge porn" est un autre domaine que j’attaque volontiers bénévolement. Vous voyez, nous ne sommes pas si méchants.
Q : Qui, d’après vous, sont les personnages les plus dangereux de votre milieu, et pourquoi ?
R : Clairement, les trafiquants de drogue. N’importe quel pirate digne de ce nom refuse de les aider. Ils sont violents. Un pirate assez connu pour ses attaques contre des sites liés aux trafiquants de drogue a été traqué et abattu. Apparemment, ils ont aussi tué sa famille, mais ce n’est pas à moi de raconter cela.
Q : D’après vous, ces personnages dangereux (les cartels, etc.) ont-ils une influence sur la cybercriminalité, et sur ses stratégies ? Rendent-ils le travail du black hat lambda plus simple ou plus difficile ?
R : Ah, les cartels de la drogue. Ils tentent de te faire chanter avec des menaces de mort, etc., donc on publie tout simplement leurs informations sur le web. Tout le monde les déteste, mais comme tout est clandestin, je suppose que ça passe. On ne peut pas vraiment aller se plaindre aux autorités.
Q : Comment avez-vous réussi à gagner la confiance des gens contrôlant l’accès aux forums clandestins ?
R : Il faut se faire un nom dans l’un des IRCs, créer des botnets gratuits ou bon marché, et les gens commenceront à parler de vous. Mais dans l’intervalle, c’est comme si vous frappiez sur une immense porte en fer, qui refuse de s’ouvrir.
Q : Quels sont vos principes moraux ? Comment percevez-vous les propriétaires des sites que vous piratez, et les victimes infectées par votre botnet ?
R : J’ai un peu de peine pour les victimes des fraudes à la carte bancaire, même si vous méritez ce qui vous arrive si vous êtes assez stupide pour cliquer sur n’importe quel lien. Les administrateurs, eux, je les déteste. Si vous n’êtes pas capable de corriger une SQLi ou un XSS, vous ne devriez pas être responsable des cartes de crédit d’autrui. C’est tout simplement dangereux, stupide et risible.
failure Dans la peau dun hacker black hat
Q : Et quel est votre point de vue sur les risques de prison encourus ? Cette peine potentielle ne vous incite-t-elle pas à arrêter ?
R : J’ai dû y penser pendant dix minutes, tout au plus. Je suppose que ce serait dramatique. Je me demande si en prison, le personnel s’occupe de transactions bancaires ? Hum. Et puis, les gens me demandent : "La prison ne te fait pas peur ?" Ou bien, "Ne crains-tu pas de perdre tout ton argent ?".
Si les autorités parviennent à découvrir cent de mes dollars, ils peuvent bien les garder. Vous comprenez, travailler de manière clandestine signifie que tout le monde possède des centaines de noms différents, de faux passeports, etc. Si les autorités parviennent à en trouver un seul, ils peuvent bien tous les avoir. On utilise de fausses identités, on blanchit de l’argent grâce à un café que l’on possède, et qui alimente une banque… tout cela a l’apparence de la légalité. Ce n’est pas forcément un café, ça peut être un nightclub, etc. Ou bien on peut vendre ses services à une entreprise légitime, qui, en échange, blanchit votre argent.
Pour ce genre de crimes, il est extrêmement difficile de réunir suffisamment de preuves, et même si l’on y parvient, l’argent est impossible à retrouver. Dix ou onze millions de dollars, gagnés sur dix à treize ans, pour une peine de prison de quinze ans maximum : je ne peux vraiment pas imaginer ce que serait ma vie en étant enfermé, puisque j’ai toujours été libre, et que je ne parviens pas à envisager le contraire.
Q : Selon vous, quelle est la différence entre un black hat doué, et un script kiddie ? Où vous placeriez-vous ?
R : Tout le monde commence en bas de l’échelle ; l’important, c’est d’y grimper. Un script kiddie n’accèdera jamais au vrai niveau clandestin : les anciens obligent tous ceux qui veulent y accéder à développer des botnets, des vers, des virus, etc. C’est comme un droit de passage. Les kiddies servent de paillasson. Est-ce que je suis un kiddie ? Je n’espère pas, sinon la création du premier botnet automatisé d’infection de serveur n’aura été qu’une belle perte de temps. *rires*
Q : Combien d’heures par semaine consacrez-vous à vos activités de black hat ?
R : Lorsque j’aborde un nouveau projet (par exemple lorsqu’un nouvel exploit 0-day est rendu public), je peux y consacrer jusqu’à quarante-huit heures d’affilée. Puis je m’accorde huit à neuf heures de sommeil, avant de m’y remettre pendant deux jours. En moyenne, je dirais huit à dix heures par jour. Après tout, c’est un job à plein temps.
Q : Avant de vous lancer dans de telles activités criminelles, quelles étaient les offres d’emploi, dans votre région, pour quelqu’un possédant vos compétences ? Combien d’argent pourriez-vous gagner si vous exerciez un métier légal ?
R : On m’a offert un poste de spécialiste en sécurité informatique pour une compagnie assez importante. Mais ce que je gagnerais en un an dans cette entreprise, je peux l’obtenir en deux semaines de piratage.
Q : D’après vous, quelles idées reçues les plus courantes inspirez-vous au monde de la sécurité informatique ?
R : Ils pensent que nous sommes tous liés au crime organisé, que nous voulons voir le monde sombrer dans le chaos, et que nous sommes tous russes. 90 % des pirates de cartes bancaires que je connais reversent des sommes importantes (80000 à 90000$ par an) à des opérations caritatives. Je connais aussi des pirates qui sont partis en Afrique, pour y apporter des milliers de moustiquaires. Ce n’est pas parce que nous avons trouvé un moyen très rapide de gagner énormément d’argent que nous voulons voir le monde s’effondrer, les gens mourir, ou vivre dans la rue. Ce n’est qu’un business. Si quelqu’un mourait d’un cancer, et que vous aviez le médicament miracle, je suis certain que vous le feriez payer un prix exorbitant. C’est le même état d’esprit : j’exploite le problème de quelqu’un pour mon bénéfice personnel. Nous sommes de braves gens.
Q : Qu’est-ce qui vous a incité à revenir dans le droit chemin ?
R : Il arrive un moment où l’on a fait le tour de toutes les cartes de crédit de la planète ! *rires* Et puis je suppose qu’être payé pour dénicher légalement des exploits, et pirater des systèmes, c’est plus intéressant.
Q : Est-ce que la peur d’être pris en flagrant délit a provoqué chez vous beaucoup de stress ?
R : Être arrêté a toujours été l’une de mes craintes. Dans le cas contraire, j’aurais été vraiment stupide. Parfois je passe des jours et des nuits sans dormir, à me demander quand la police débarquera chez moi. À d’autres moments, je fais pire, en dormant la journée, et en piratant la nuit. Je me sens plus à l’aise en me disant qu’au moins, je serai réveillé lorsque les autorités viendront m’arrêter.
Q : Que diront vos amis black hats lorsqu’ils découvriront que vous avez rejoint la légalité ? Est-ce que cela vous inquiète, ou pensez-vous qu’ils vous laisseront faire ce que vous désirez ?
R : Non, je pense qu’ils accepteront ma décision. J’ai déjà demandé l’opinion de plusieurs de mes amis, et ils n’avaient aucune objection à mon désir de devenir white hat. Les black hats ne détestent pas vraiment les white hats. En fait, c’est même plutôt l’inverse. Si personne ne s’opposait à nous, et ne nous forçait constamment à nous remettre en question, nous serions restés avec des virus de l’an 2000, et nous ne parviendrions même pas à gagner le dixième des sommes récoltées aujourd’hui. C’est pour cela que la plupart des black hats apprécient les white hats.
Q : Qu’allez-vous faire, maintenant que vous n’êtes plus un pirate ?
R : J’ai de nombreuses idées, et des projets en cours. J’aimerais lancer une étude sur le laps de temps entre le moment où les black hats découvrent un exploit 0-day, et celui où les white hats s’en aperçoivent à leur tour. Cela m’a toujours intéressé. J’ai aussi prévu de rendre publics les exploits et les correctifs que j’utilisais régulièrement, et d’approfondir la recherche des 0-days pour être compétitif face aux black hats.
Q : Êtes-vous inquiet de voir votre passé vous rattraper dans l’avenir ?
R : Si quelqu’un parvient à découvrir des preuves, alors oui, c’est un sujet d’inquiétude. Mais tant que ce n’est pas le cas, mon passé reste uniquement un avantage de taille que je conserve.
Lien du site WhitehatSec : https://www.whitehatsec.com/
Traduction et source de ce post : http://korben.info/interview-black-hat.html
---------------------------------------------------------------
Ces dernières années, je me suis efforcé de me mettre à l’écoute de la "communauté black hat". Celle-ci, souvent considérée comme la face sombre du web, est l’appellation donnée aux individus qui s’adonnent sans hésiter à la cybercriminalité, qui outrepassent volontairement les contrats de licence de logiciels et autres conditions d’utilisation, et qui font commerce de warez, de failles, de botnets, de numéros de cartes de crédit ou de sécurité sociale, d’informations bancaires volées, etc. Pour ces individus, ou les groupes qu’ils composent, le profit est souvent la motivation principale, mais ce n’est pas la seule.
La plupart du temps, malgré leurs réticences, mes interlocuteurs dans le domaine de la sécurité informatique ont conscience de l’utilité d’un dialogue avec les cybercriminels. Malgré cela, on me demande souvent d’expliquer mon raisonnement, en partant du principe qu’à force de fréquenter le diable, on finit par le devenir. Certains vont même jusqu’à insinuer que, pour côtoyer des criminels, il faut soi-même être un peu délinquant.
Je crois au contraire qu’il est extrêmement important que les experts en sécurité informatique maintiennent un dialogue ouvert avec la communauté black hat. C’est assez semblable, en fait, aux discussions régulières entre certains trafiquants de drogue et des officiers de police, dans le cadre de leur profession : si vous ne connaissez pas votre adversaire, comment espérer le vaincre ?
Un "black hat", qui a choisi le pseudonyme Adam, et avec qui j’ai beaucoup discuté, a récemment déclaré vouloir rentrer dans le droit chemin. Pour accompagner cette reconversion radicale, il a proposé de répondre à mes questions, afin que le milieu de la sécurité informatique puisse en apprendre un peu plus sur lui et sur son point de vue. Pour des raisons évidentes, rares sont les black hats qui veulent bien se confier ; cet aperçu unique de leur monde est donc inestimable, même s’il nous est impossible de vérifier les déclarations d’Adam.
Espérons qu’en apprenant comment pensent Adam et les autres black hats, et comment ils communiquent, les spécialistes pourront mettre au point de nouvelles solutions, abandonner certaines technologies inefficaces, et régler les problèmes les plus flagrants.
À l’identique, peut-être que certaines personnes imagineront, à la lecture de cette interview, des peines plus dissuasives, qui empêcheront les actes criminels avant qu’ils ne se produisent ; ou bien trouveront-ils un moyen de tarir les flux financiers, d’abattre les marchés parallèles, voire tout bonnement de détourner les internautes de la tentation de la cybercriminalité, avant qu’il ne soit trop tard. Il y a beaucoup d’informations inestimables à extraire des confessions d’Adam et de celles d’autres black hats comme lui. Mieux encore : nous pourrons peut-être, comme dans le cas présent, amener certains black hats à laisser derrière eux leur vie de délinquant.
L’interview d’Adam s’est déroulée sur plusieurs jours, et a demandé de nombreux échanges. Par conséquent, ces derniers ont exigé un travail de révision conséquent, afin de rendre le texte lisible ; cependant, ces révisions se sont limitées à l’orthographe, la ponctuation, et autres corrections de ce type. Le sens premier du texte, lui, est resté inchangé, et retranscrit parfaitement les mots d’Adam.
Q : Pouvez-vous décrire quelles sont, selon vous, vos compétences en matière de piratage et de sécurité informatique ?
R : Mon domaine d’expertise, ma spécialité, c’est vraiment l’ingénierie sociale. Je suis très clairement un black hat, aussi j’utilise l’ingénierie sociale pour pirater des cartes de crédit. Un autre domaine du « piratage » (j’utilise des guillemets, car le DDoS n’est pas vraiment du piratage), c’est la construction de botnet, et l’abattage de serveur. D’après moi, c’est là que se trouve le profit réel : en une journée, on peut gagner plusieurs centaines de milliers de dollars. Le milieu black hat a évolué, pour passer d’actions manuelles à une automatisation générale des logiciels.
Qui plus est, de nombreux sites sont ciblés par le biais de méthodes très simples et banales. Entre autres, les injections SQL (SQLi), le XSS basique et avancé, le CSRF, et l’empoisonnement de cache DNS. Et bien que les injections continuent de représenter une partie non négligeable des méthodes employées, le XSS constitue vraiment la plus grosse part du gâteau. Je dirais qu’environ 50 à 60 % des attaques menées par mon groupe l’année dernière (du premier janvier au premier janvier) relevaient du XSS. J’ai aussi appris de nombreux langages de programmation, comme le Python, le Perl, le C, le C++, le C#, le Ruby, le SQL, le PHP, l’ASP, et j’en passe.
Q : Vous souvenez-vous de la première fois où vous avez volontairement enfreint le droit de l’informatique ? Pourquoi l’avez-vous fait, et comment avez-vous alors justifié votre acte ?
R : Hum, c’était il y a de nombreuses années. Mon souvenir le plus ancien remonte à l’école, lorsque j’avais environ 14 ans. Les administrateurs systèmes étaient plutôt compétents (enfin, pour des administrateurs scolaires). Un jour, je me trouvais dans la bibliothèque, et je savais que les administrateurs, ainsi que le bibliothécaire, avaient un accès à distance à tous les PC. Comme par hasard, la bibliothèque était l’endroit où ils corrigeaient nos contrôles, et entraient nos notes dans le système. Je n’ai jamais été le petit génie de l’école, et j’avais des notes assez médiocres. Aussi je me suis dit que peut-être, je pourrais obtenir des A et des A+ en travaillant deux fois moins, et j’ai commencé à me renseigner. Jusqu’à ce que je découvre les keyloggers.
Cela me paraissait à la fois étrange et fascinant qu’un simple programme, que je pouvais écrire moi-même (avec un peu de travail), soit en mesure de me donner les meilleures notes possibles. Aussi je m’y suis mis, j’ai installé le keylogger sur le PC du bibliothécaire, et j’ai utilisé le logiciel d’accès à distance pour installer le même programme sur les autres ordinateurs. J’ai été suspendu pendant deux semaines.
Q : Où avez-vous acquis la plus grande partie de vos compétences ?
R : Dans les livres, avec Google, et en discutant avec des interlocuteurs sur divers forums et sur l’IRC. Contrairement aux "Haxorz 1337" de maintenant (rires), à l’époque, nous partagions tout, nous échangions, et nous nous aidions mutuellement. On ne craignait pas d’être ridiculisé pour nos lacunes.
Q : Qu’est-ce qui vous a attiré dans le mode de vie des black hats ?
R : L’argent. Je trouvais amusant que quelques heures passées devant la télévision, à taper sur mon portable, puissent me rapporter l’équivalent du salaire mensuel d’un travailleur consciencieux. En fait, c’était presque trop simple.
Q : Vous souvenez-vous du moment où vous avez commencé à vous considérer comme un black hat ? Qu’est-ce qui a déclenché cette prise de conscience ?
R : C’est assez difficile à dire, en fait. Ni moi, ni le groupe que je fréquentais, ne nous sommes jamais appelés "black hats". Cela faisait trop "James Bond". On se considérait uniquement comme un groupe d’individus ayant trouvé un moyen de gagner de l’argent. On se moquait complètement de la catégorie dans laquelle on nous rangeait. C’était juste amusant, et très facile. Cela dit, la première fois que j’ai pris conscience que l’on pouvait me considérer comme un black hat, c’est lorsque l’un de mes amis "dans la vraie vie" a été victime d’une fraude à la carte bancaire. J’ai alors réalisé que mes actions avaient un impact sur des victimes bien réelles, et que je ne jouais pas uniquement avec des chiffres et de l’argent virtuels.
Q : Au plus fort de votre activité botnet, combien de machines contrôliez-vous ?
R : Hum, ça dépend. J’avais deux botnets distincts (bien que certains bots fassent parfois double emploi). Le botnet de DDoS regroupait des ordinateurs publics et de bureau, qui fonctionnaient comme bots. Et ce pour deux raisons : non seulement ces ordinateurs sont allumés toute la journée, et possèdent généralement des connexions rapides à internet, mais en plus, les gens sont suffisamment intelligents pour ne pas utiliser de tels ordinateurs publics pour effectuer leurs opérations financières (et s’ils le faisaient, autant laisser un script kiddie s’occuper d’eux).
Et puis il y avait mon botnet pour cartes bancaires, clairement le plus précieux des deux. Ces PC étaient des ordinateurs de banques, d’agents immobiliers, de supermarchés, et évidemment, des PC domestiques. Je préférais largement cibler les PC sur lesquels un employé avait l’habitude d’entrer les informations de sa clientèle : autrement dit, les banques (oui, l’ordinateur d’une banque est particulièrement facile à transformer en bot). Tout cela m’a permis d’obtenir une réserve inépuisable de cartes de crédit, et d’adresses à spammer. Le botnet de DDoS regroupe actuellement environ 60000-70000 bots, la plupart en Occident. L’autre botnet, lui, n’en comprend que 5000 à 10000, principalement en Asie. Mon record, c’est probablement d’avoir contrôlé quelque chose comme 570000 bots simultanés.
Q : D’après vous, au plus fort de votre activité, combien d’argent vous restait-il chaque année, une fois vos frais de fonctionnement pris en compte ?
R : Je ne peux pas vraiment entrer dans les détails, mais lorsque le 11 septembre s’est produit, nous en étions à plusieurs millions de dollars par an.
Q : Et combien d’argent avez-vous gagné l’année dernière ?
R : Comme ça, au jugé ? Environ 400000-500000 dollars. L’année dernière était assez merdique. Les gens se sont assagis, la fréquence des correctifs a augmenté. Cette année, nous avons déjà atteint les trois quarts de cette somme.
Q : Lorsque vous avez commencé, est-ce que vous aviez en tête un objectif précis, par exemple une certaine somme d’argent ?
R : Beaucoup de nouveaux me posent cette question sur les forums. Avant ces quatre dernières années, je ne m’étais jamais fixé d’objectif. Au début, je faisais uniquement ça pour m’amuser, pour me vanter (rires), et pour l’argent très, très facile.
Q : Est-ce que vous pouvez décrire le processus par lequel vous gagnez de l’argent avec votre botnet ?
R : Honnêtement, c’est encore plus simple que de se brosser les dents, en particulier si l’on a recours à des logiciels automatisés. Chaque groupe a plusieurs membres. Le responsable des bots, le chercheur, le rétro-ingénieur, le distributeur, l’ingénieur social, le vendeur, et le fudder*. La moitié du temps, les individus qui vendent des exploits 0-day ne font que ça. Les acheteurs, eux, sont des responsables de bots qui n’appartiennent à aucun groupe.
Notre groupe a développé un outil qui explore le cache de l’ordinateur bot, à la recherche de comptes Twitter ou Facebook. Ensuite, il vérifie les listes d’intérêts du compte Facebook (comme Justin Bieber), puis l’âge, le nom, le lieu… Par exemple, disons que le bot n° 2 est connecté à Facebook. La propriétaire du compte est une fille de seize ans, qui vit en Amérique (c’est important pour avoir la bonne langue), et qui aime Bieber. L’outil choisit alors automatiquement une liste de liens préexistants, comme "sextape de Justin Bieber".
Utiliser des 0-day pour pirater un site, et y insérer une iframe, c’est assez lassant, et ça ne produit que rarement les résultats attendus… à moins bien sûr de s’attaquer à un site au classement Alexa élevé, auquel cas cela en vaut la peine. Combiner un 0-day défigurant un site, avec un 0-day en Java (par exemple), afin de pirater l’ordinateur à la volée (par drive-by), est nettement plus efficace que d’essayer d’inciter l’utilisateur à télécharger volontairement un programme infecté. Et ce que beaucoup de gens ne réalisent pas, c’est que les adresses mails disponibles sur leur page Facebook peuvent être revendues à des fins de spam. Là encore, on peut gagner plus d’argent en automatisant le tout.
* un fudder est un outil qui se lie à un virus, pour le rendre beaucoup plus difficile à détecter par les antivirus ; par extension, le terme décrit aussi une personne spécialisée dans l’utilisation d’un tel outil.
Q : À quel point le piratage d’un site est-il facile pour vous ?
R : Les débutants n’ont qu’à chercher "inurl:money.php?id=" dans Google. Allez-y, essayez. Mais la plupart des sites auront déjà été vidés ou fermés. Aussi, il faut cibler les sites plus importants. J’aime beaucoup surveiller les informations, en particulier économiques. Prenons un site qui vient de se lancer sur le marché, et dont les ventes en ligne explosent : aussitôt, il devient une cible intéressante. La plupart des sites de ce genre sont gérés par des administrateurs ne connaissant rien au milieu du piratage informatique, et ignorant tout de la manière dont fonctionne l’esprit des pirates. Cela les laisse particulièrement vulnérables. Ils utilisent les correctifs SQL, mais choisissent un DNS vulnérable à l’empoisonnement de cache DNS. On peut s’y introduire et être reparti en moins d’une heure.
Q : À quel point les informations Whois, et autres données publiques vous facilitent-elles la tâche pour prendre le contrôle d’un compte piraté ?
R : Autrefois, Whois était essentiel pour acquérir des informations. Mais maintenant, les gens les affichent partout, sur Facebook, Twitter, etc. Des compagnies comme Amazon n’ont besoin que du nom, de l’adresse et du mail d’un compte pour lui associer une nouvelle carte de crédit. Ensuite on raccroche le téléphone, puis on appelle le département de réinitialisation du mot de passe, pour leur donner, en guise de vérification d’identité, le nom, l’adresse, le mail et le numéro de carte de crédit que vous venez d’ajouter au compte (ces informations n’ont même pas besoin d’être valides, il suffit d’utiliser un générateur de nom aléatoire).
Et voilà, on y est : on peut alors voir les quatre derniers chiffres de la vraie carte de crédit enregistrée. Ensuite, il suffit de demander un email de réinitialisation du mot de passe, et c’est fini. Amazon prétend qu’ils ont corrigé cette faille il y a deux ans, mais je continue d’utiliser cette méthode constamment. Franchement, Amazon, vous devriez mieux former vos employés.
Q : Quel type de sites préférez-vous pirater ? Ou bien vos tentatives sont-elles totalement aléatoires ? Quels sont les sites les plus simples à rentabiliser ?
R : La plupart des attaques sont aléatoires, mais il est arrivé qu’une compagnie (que je ne citerai pas) refuse de m’offrir une réduction sur un achat, ce qui m’a profondément agacé. Alors on a rendu publics les numéros de cartes bancaires de tous ses clients. Sinon, j’aime beaucoup cibler les compagnies de sécurité informatique, comme les fabricants d’antivirus.
Au moment des soldes d’été, il n’y a rien de mieux (sites pornographiques mis à part) que les magasins de vêtements. Ce sont les sites les plus simples et les plus rentables à pirater, d’après moi. Je vais commencer par les magasins de vêtements, qui sont particulièrement vulnérables à deux types d’attaques :
1. Les administrateurs de tels sites n’emploient jamais de double authentification. J’ignore pourquoi, mais j’ai piraté des milliers de sites de ce genre, et jamais aucun administrateur ne l’a utilisée.
2. De tels "administrateurs" travaillent généralement en arrière-boutique, ou dans les bureaux. Ils n’ont aucune idée de ce qu’ils font : ils se contentent de payer quelqu’un pour construire leur site, pour ensuite s’en occuper eux-mêmes. Comme ils n’ont jamais de HTTPS, ils ont d’énormes vulnérabilités SQLi (par exemple, "inurl roduct.php?id="). Une fois que vous avez repéré cette vulnérabilité, deux choix s’offrent à vous. Soit vous choisissez de voler les informations bancaires, et de disparaître, soit vous défigurez le site, en gardant le code HTML original, et en installant une iframe qui redirige vers un téléchargement de cheval de Troie à la volée.
Et maintenant, mes préférés : les sites pornographiques.
Pourquoi sont-ils si simples à pirater ? Parce que leurs administrateurs ne vérifient jamais les pages vers lesquelles leurs publicités redirigent les internautes. Mettez une publicité montrant une femme à forte poitrine sur Facebook, quelqu’un clique dessus, et voilà, un autre cheval de Troie installé à la volée. Mais le plus compliqué, c’est de trouver plus d’informations (par exemple, pour faire chanter un homme d’affaires) : on peut alors utiliser un toolkit d’ingénierie sociale (SET) pour obtenir les vrais détails du compte Facebook, qui, à leur tour, peuvent être exploités via l’ingénierie sociale.
Q : Quel est votre exploit préféré/le plus efficace contre les sites internet, et pourquoi ?
R : Si c’est un 0-day, alors forcément je le mets en tête de mon classement personnel. Avec juste dessous, les XSS. C’est connu de tous, mais pourtant, personne ne s’en protège. Je suppose que le DDoS n’est pas vraiment un exploit, mais ça peut quand même nous rapporter un "salaire" mensuel, en échange de notre "protection". Mais les 0-days restent les exploits les plus intéressants.
Q : Comment rentabilisez-vous les DDoS ?
R : Les gens achètent des comptes. Par exemple, vous louez mille bots, pour un temps de DDoS de trente minutes. Certains clients n’achètent qu’une seule fois. Le racket est une grande part de ce commerce : on abat un site pendant une heure, on envoie un email aux propriétaires, ou on les appelle pour leur demander 200 dollars, ou bien le site sera abattu pour de bon. Généralement, ils paient. Et s’ils ne le font pas, ils perdent des jours, des semaines, ou des mois de transactions.
Q : Comment choisissez-vous quelles cibles attaquer au DDoS, pour ensuite les faire chanter ?
R : Hum, ça dépend. S’il y a un grand événement sportif, comme le Super Bowl, vous pouvez être sûr que 95 % des sites de paris sportifs se sont fait extorquer de l’argent. J’ai connu un groupe qui s’en était pris à un site de recherche contre le cancer, juste avant le lancement d’une grande campagne de collecte de fonds. Et c’est triste à dire, mais le groupe a eu son argent.
Q : Qui sont les clients qui paient pour accéder à votre botnet, et à quoi cela leur sert-il, d’après vous ?
R : Certains disent que les gouvernements s’en servent, ou même des entreprises pour s’en prendre à leurs concurrents. Mais pour être franc, je m’en moque. C’est simple : si vous payez, je vous offre mes services.
Q : Y a-t-il des erreurs récurrentes faites par les sites web lorsqu’ils tentent de se défendre contre vous ?
R : Je pourrais écrire un livre sur ce sujet, mais je vais me limiter à trois choses.
1. Employer un administrateur idiot, un privilégié qui n’a jamais été un pirate, et qui a été à la Fac, tous frais payés par Papa et Maman. Si j’étais le président d’une compagnie, j’emploierais plus volontiers quelqu’un ayant un casier judiciaire de pirate informatique qu’un diplômé de l’université. Le pirate avec un casier a l’expérience nécessaire pour empêcher les intrusions, et n’est pas limité à ce qu’il a appris dans les livres.
2. Les employés qui répondent au téléphone sont stupides, mal formés, jeunes, et sans expérience.
3. Les compagnies ne se protègent pas contre les DDoS. Cloudflare, par exemple, propose une protection contre le DDoS très efficace, pour 200 dollars par mois (qui plus est, un domaine Cloudflare est plus difficile à pirater). Si je vous extorque 200 à 1000 dollars en une journée, ne vaut-il pas mieux vous protéger définitivement pour le même prix ?
Q : En tant que black hat, y a-t-il des techniques/services/équipements de sécurité qui vous rendent vraiment la vie difficile ? Et à l’inverse, y en a-t-il qui vous semblent être totalement inutiles ?
R : Hum. Une protection contre le DDoS est généralement un obstacle notable, même si certains groupes ont, de par le passé, prouvé que c’était assez simple à contourner (par exemple, le système de résolution de Cloudflare, avant qu’ils ne changent leur méthode de protection. En somme, c’est "presque" contournable.)
Parmi les choses inutiles… hum… un antivirus ne sert à rien. Il vous protègera peut-être des script-kiddies utilisant des fichiers partiellement détectables, mais c’est à peu près tout. Chaque botnet est, par défaut, totalement indétectable (fud). C’est tellement facile à faire qu’on le fait gratuitement. Les logiciels anti-spam ne servent pas à grand-chose, eux non plus (CAPTCHAs exceptés, bien qu’ils entraînent des évaluations négatives des utilisateurs).
Ce dont il faut se souvenir, c’est que le milieu black hat a dix coups d’avance sur les solutions commerciales. Lorsqu’un exploit 0-day est rendu public, c’est que les black hats l’utilisent déjà depuis des mois. La double authentification est assez difficile à contourner, et oui, ça arrête net une tentative de piratage, notamment dans le domaine de l’ingénierie sociale ; mais comme l’a prouvé Cosmo (un pirate de quinze ans, membre de UGNazi), cela reste contournable. C’est un peu comme acheter un jeu vidéo. Après sa sortie, il reçoit de nombreux correctifs, mais il faut attendre un long moment avant que leurs effets ne se fassent ressentir.
Q : Quel type de navigateur est le plus vulnérable ? Et d’après vous, pourquoi ?
R : Il y a quelques années, j’aurais probablement répondu Internet Explorer, sans hésiter. C’est toujours le cas, mais progressivement, les gens sont passés à des navigateurs plus rapides et plus performants, comme Chrome et Firefox. IE domine toujours 52 % du marché, mais Chrome vient juste après.
Je pense que IE reste dominant, parce que les gens se sentent à l’aise avec. Mais comme, à moins de s’informer vraiment sur ses vulnérabilités, on ne peut pas se rendre compte de la dangerosité de IE, aussi pourquoi en changer ? L’arrivée de Chrome l’a déjà contraint à s’améliorer. Et une chose qui a énormément influencé le taux d’infection des bots est la suppression massive de Java. Lorsque l’annonce d’un exploit 0-day de Java est rendue publique, les gens paniquent (à raison), et le désinstallent, ou alors appliquent des correctifs… mais comme nous le savons tous, Java ne reste jamais très longtemps sécurisé.
Q : Comment restez-vous anonyme lorsque vous devez interagir avec des acheteurs ?
R : Je passe par des bots pour discuter. Pas dans le sens "utiliser un bot comme proxy pour y faire passer mon trafic internet", mais bien en créant du code pour que le bot reçoive et traite lui-même la commande. Le client obtient le code du bot acheteur sur le marché, l’installe, et fait son achat. Son PC se connecte en secret à mon IRC, qui me transmet la commande, et le mode de paiement. Mais, bien évidemment, je ne suis pas censé être au courant de tout ça.
Q : Parmi les technologies émergentes, en existe-t-il qui, selon vous, pourraient poser des problèmes à la communauté des pirates ?
R : Non, pas le moins du monde. Le marché ne s’attarde jamais plus d’une semaine sur un domaine ; s’il le fait, c’est un marché saturé.
Q : Y a-t-il des limites que vous vous refusez à franchir ? Des crimes que vous vous refusez à commettre, quelle que soit la somme en jeu ?
R : Je refuse que mes botnets servent à attaquer des opérations caritatives, ou des pages en souvenir de soldats. À part ça, je n’ai pas de limites. On me demande souvent si mes botnets servent parfois dans la concurrence entre sites pédophiles. En fait, les pédophiles ont leurs propres botnets. Mais si quelqu’un veut attaquer un site pédophile, je le fais généralement gratuitement. Le "revenge porn" est un autre domaine que j’attaque volontiers bénévolement. Vous voyez, nous ne sommes pas si méchants.
Q : Qui, d’après vous, sont les personnages les plus dangereux de votre milieu, et pourquoi ?
R : Clairement, les trafiquants de drogue. N’importe quel pirate digne de ce nom refuse de les aider. Ils sont violents. Un pirate assez connu pour ses attaques contre des sites liés aux trafiquants de drogue a été traqué et abattu. Apparemment, ils ont aussi tué sa famille, mais ce n’est pas à moi de raconter cela.
Q : D’après vous, ces personnages dangereux (les cartels, etc.) ont-ils une influence sur la cybercriminalité, et sur ses stratégies ? Rendent-ils le travail du black hat lambda plus simple ou plus difficile ?
R : Ah, les cartels de la drogue. Ils tentent de te faire chanter avec des menaces de mort, etc., donc on publie tout simplement leurs informations sur le web. Tout le monde les déteste, mais comme tout est clandestin, je suppose que ça passe. On ne peut pas vraiment aller se plaindre aux autorités.
Q : Comment avez-vous réussi à gagner la confiance des gens contrôlant l’accès aux forums clandestins ?
R : Il faut se faire un nom dans l’un des IRCs, créer des botnets gratuits ou bon marché, et les gens commenceront à parler de vous. Mais dans l’intervalle, c’est comme si vous frappiez sur une immense porte en fer, qui refuse de s’ouvrir.
Q : Quels sont vos principes moraux ? Comment percevez-vous les propriétaires des sites que vous piratez, et les victimes infectées par votre botnet ?
R : J’ai un peu de peine pour les victimes des fraudes à la carte bancaire, même si vous méritez ce qui vous arrive si vous êtes assez stupide pour cliquer sur n’importe quel lien. Les administrateurs, eux, je les déteste. Si vous n’êtes pas capable de corriger une SQLi ou un XSS, vous ne devriez pas être responsable des cartes de crédit d’autrui. C’est tout simplement dangereux, stupide et risible.
failure Dans la peau dun hacker black hat
Q : Et quel est votre point de vue sur les risques de prison encourus ? Cette peine potentielle ne vous incite-t-elle pas à arrêter ?
R : J’ai dû y penser pendant dix minutes, tout au plus. Je suppose que ce serait dramatique. Je me demande si en prison, le personnel s’occupe de transactions bancaires ? Hum. Et puis, les gens me demandent : "La prison ne te fait pas peur ?" Ou bien, "Ne crains-tu pas de perdre tout ton argent ?".
Si les autorités parviennent à découvrir cent de mes dollars, ils peuvent bien les garder. Vous comprenez, travailler de manière clandestine signifie que tout le monde possède des centaines de noms différents, de faux passeports, etc. Si les autorités parviennent à en trouver un seul, ils peuvent bien tous les avoir. On utilise de fausses identités, on blanchit de l’argent grâce à un café que l’on possède, et qui alimente une banque… tout cela a l’apparence de la légalité. Ce n’est pas forcément un café, ça peut être un nightclub, etc. Ou bien on peut vendre ses services à une entreprise légitime, qui, en échange, blanchit votre argent.
Pour ce genre de crimes, il est extrêmement difficile de réunir suffisamment de preuves, et même si l’on y parvient, l’argent est impossible à retrouver. Dix ou onze millions de dollars, gagnés sur dix à treize ans, pour une peine de prison de quinze ans maximum : je ne peux vraiment pas imaginer ce que serait ma vie en étant enfermé, puisque j’ai toujours été libre, et que je ne parviens pas à envisager le contraire.
Q : Selon vous, quelle est la différence entre un black hat doué, et un script kiddie ? Où vous placeriez-vous ?
R : Tout le monde commence en bas de l’échelle ; l’important, c’est d’y grimper. Un script kiddie n’accèdera jamais au vrai niveau clandestin : les anciens obligent tous ceux qui veulent y accéder à développer des botnets, des vers, des virus, etc. C’est comme un droit de passage. Les kiddies servent de paillasson. Est-ce que je suis un kiddie ? Je n’espère pas, sinon la création du premier botnet automatisé d’infection de serveur n’aura été qu’une belle perte de temps. *rires*
Q : Combien d’heures par semaine consacrez-vous à vos activités de black hat ?
R : Lorsque j’aborde un nouveau projet (par exemple lorsqu’un nouvel exploit 0-day est rendu public), je peux y consacrer jusqu’à quarante-huit heures d’affilée. Puis je m’accorde huit à neuf heures de sommeil, avant de m’y remettre pendant deux jours. En moyenne, je dirais huit à dix heures par jour. Après tout, c’est un job à plein temps.
Q : Avant de vous lancer dans de telles activités criminelles, quelles étaient les offres d’emploi, dans votre région, pour quelqu’un possédant vos compétences ? Combien d’argent pourriez-vous gagner si vous exerciez un métier légal ?
R : On m’a offert un poste de spécialiste en sécurité informatique pour une compagnie assez importante. Mais ce que je gagnerais en un an dans cette entreprise, je peux l’obtenir en deux semaines de piratage.
Q : D’après vous, quelles idées reçues les plus courantes inspirez-vous au monde de la sécurité informatique ?
R : Ils pensent que nous sommes tous liés au crime organisé, que nous voulons voir le monde sombrer dans le chaos, et que nous sommes tous russes. 90 % des pirates de cartes bancaires que je connais reversent des sommes importantes (80000 à 90000$ par an) à des opérations caritatives. Je connais aussi des pirates qui sont partis en Afrique, pour y apporter des milliers de moustiquaires. Ce n’est pas parce que nous avons trouvé un moyen très rapide de gagner énormément d’argent que nous voulons voir le monde s’effondrer, les gens mourir, ou vivre dans la rue. Ce n’est qu’un business. Si quelqu’un mourait d’un cancer, et que vous aviez le médicament miracle, je suis certain que vous le feriez payer un prix exorbitant. C’est le même état d’esprit : j’exploite le problème de quelqu’un pour mon bénéfice personnel. Nous sommes de braves gens.
Q : Qu’est-ce qui vous a incité à revenir dans le droit chemin ?
R : Il arrive un moment où l’on a fait le tour de toutes les cartes de crédit de la planète ! *rires* Et puis je suppose qu’être payé pour dénicher légalement des exploits, et pirater des systèmes, c’est plus intéressant.
Q : Est-ce que la peur d’être pris en flagrant délit a provoqué chez vous beaucoup de stress ?
R : Être arrêté a toujours été l’une de mes craintes. Dans le cas contraire, j’aurais été vraiment stupide. Parfois je passe des jours et des nuits sans dormir, à me demander quand la police débarquera chez moi. À d’autres moments, je fais pire, en dormant la journée, et en piratant la nuit. Je me sens plus à l’aise en me disant qu’au moins, je serai réveillé lorsque les autorités viendront m’arrêter.
Q : Que diront vos amis black hats lorsqu’ils découvriront que vous avez rejoint la légalité ? Est-ce que cela vous inquiète, ou pensez-vous qu’ils vous laisseront faire ce que vous désirez ?
R : Non, je pense qu’ils accepteront ma décision. J’ai déjà demandé l’opinion de plusieurs de mes amis, et ils n’avaient aucune objection à mon désir de devenir white hat. Les black hats ne détestent pas vraiment les white hats. En fait, c’est même plutôt l’inverse. Si personne ne s’opposait à nous, et ne nous forçait constamment à nous remettre en question, nous serions restés avec des virus de l’an 2000, et nous ne parviendrions même pas à gagner le dixième des sommes récoltées aujourd’hui. C’est pour cela que la plupart des black hats apprécient les white hats.
Q : Qu’allez-vous faire, maintenant que vous n’êtes plus un pirate ?
R : J’ai de nombreuses idées, et des projets en cours. J’aimerais lancer une étude sur le laps de temps entre le moment où les black hats découvrent un exploit 0-day, et celui où les white hats s’en aperçoivent à leur tour. Cela m’a toujours intéressé. J’ai aussi prévu de rendre publics les exploits et les correctifs que j’utilisais régulièrement, et d’approfondir la recherche des 0-days pour être compétitif face aux black hats.
Q : Êtes-vous inquiet de voir votre passé vous rattraper dans l’avenir ?
R : Si quelqu’un parvient à découvrir des preuves, alors oui, c’est un sujet d’inquiétude. Mais tant que ce n’est pas le cas, mon passé reste uniquement un avantage de taille que je conserve.
Commentaire