Ceux qui ont trouvé une aiguille dans une botte de foin
Ou comment Tsutomu Shimomura va jouer un rôle crucial dans l'arrestation de Kevin Mitnick.
Bonjour,
Bienvenue pour la fin de cet épisode de Pwned sur la traque de Kevin Mitnick. Tout d’abord, n’oubliez pas, si ce n’est pas encore le cas, vous pouvez vous inscrire directement à cette newsletter avec ce formulaire.
Les semaines passées, je vous ai raconté ce piratage intrigant de Tsutomu Shimomura, ce spécialiste de la sécurité informatique, lors des vacances de noël 1994. Un hack qui pourrait avoir été fait par Kevin Mitnick, le suspect numéro un à l’époque pour ce genre de trucs.
Les deux hommes se sont vraisemblablement déjà reniflés, en 1991. Tsutomu Shimomura se souvient en effet d’un drôle d’appel. Quelqu’un avait essayé de lui soutirer des informations sur une faille critique en dépassement de tampon qu'il avait découvert. Dans ce genre d’histoire, le système s’attend à une instruction d’une longueur précise et réagit bizarrement, parfois en ouvrant tous les droits, quand une instruction est plus longue. C'est un type de vulnérabilité bien connu aujourd'hui, mais à l'époque c'est encore très neuf : l'article de référence sur le sujet ne sera écrit que plusieurs années plus tard.
A l’époque, un certain Brian Reid, du service de maintenance de Sun Microsystems, tente d'appeler Shimomura pour lui parler de cette vulnérabilité. Méfiant, Tsutomu Shimomura préfère vérifier l'identité de son interlocuteur et découvre qu'il n'y a aucun Brian Reid au sein de l'entreprise. Mais pourquoi notre cyberdétective est-il si sûr d'avoir eu affaire à Kevin Mitnick? Hé bien parce qu’il existe bien un Brian Reid, un homme ciblé quelques années plus tôt par… Kevin Mitnick.
Mais revenons à Noël 1994. Quelques semaines après le piratage de son ordinateur, Tsutomu Shimomura croise une cadre du ministère de la justice, dans une conférence où il présente les résultats de ses premières investigations techniques. Avez-vous averti le FBI?, demande-t-elle. Non, grogne-t-il, d’autant plus de mauvaise humeur que dans des cas précédents, le bureau ne s’était jamais vraiment intéressé à ses histoires. On va tâcher de faire mieux, répond-elle en substance.
C'est sans doute une aide précieuse, mais ce n'est pas cela qui va débloquer l'enquête. A la fin du mois de janvier 1995, un utilisateur du Well, Bruce Koball, fait une drôle de découverte. Le Well est une légende de l’informatique, c’était l’une des premières communautés en ligne. En gros, c’est alors une sorte de fournisseur d’accès à internet (bien qu’il ait été créé avant la création formelle du réseau des réseaux) qui est aussi un forum, un service de messagerie. Ah, et oui, The Well propose aussi une sorte d’espace de stockage en ligne.
A l’époque, l’espace disque est rare, on le compte en méga-octets, c'est dire. Bruce Koball est donc surpris de lire dans sa messagerie un email pressant des administrateurs au sujet des très encombrants 150 mégas de fichiers stockés sur son compte. Il faudrait qu’il les supprime sinon les responsables le feront à sa place. Bizarre, il ne s’est jamais servi de l’espace de stockage en ligne. Et encore plus bizarre, dans le lot du gros paquet de fichiers, il y a des courriels, qui font référence à l’adresse de Tsutomu Shimomura…
Les responsables du Well comprennent que cet espace de stockage est en fait la cachette où le pirate de Tsutomu Shimomura a mis son butin, à peine quelques heures après son forfait. Au départ, ils ne savent pas trop quoi faire. Faut-il supprimer les fichiers, comme le demande Tsutomu Shimomura, au risque d’alerter le pirate? Il ne s’agit pas à proprement parler d’un cloud comme on le connaît aujourd’hui. En fait, tous les usagers du Well peuvent lire ces fichiers. Finalement, ils se mettent d’accord. Ils vont donner l’impression que les fichiers ont été effacés par Bruce Koball sans avoir été consultés.
Quelques jours plus tard, de nouveaux fichiers volés réapparaissent dans l'espace de stockage du Well. Des fichiers de Tsutomu Shimomura, mais aussi d’autres données piratées. Dont des logiciels très sensibles autour de la téléphonie de Qualcomm, de Motorola, et des mots de passe et des codes d’accès d’un serveur d’Apple, ainsi que des logiciels destinés au piratage informatique. Il y a également un fichier qui contient 20 000 numéros de cartes bancaires d’un fournisseur d’accès à internet et de nombreux emails piratés.
Le mode opératoire du pirate est décortiqué. Il utilise donc le Well comme une boîte à outils : quand il prépare un piratage, il va y chercher son marteau ou sa scie. L'espace de stockage du Well lui permet de garder de côté ses programmes informatiques tout comme ses données volées. Par exemple, une fois ses accès vers sa cible obtenus, il revient au Well pour y prendre un programme pour camoufler sa présence. Et il fait ensuite un dernier passage pour y glaner un logiciel espion. Comme le note Shimomura dans son livre, ce pirate est à la fois très méthodique et négligent : il efface parfois ses traces, mais pas systématiquement.
La traque va pouvoir commencer. L’expert en informatique a une idée pour piéger le pirate. Pour accéder au Well, ce dernier passe par le réseau de l'opérateur téléphonique Netcom. Il faut maintenant remonter encore le fil en retrouvant l’utilisateur qui s’est connecté aux horaires des sessions d’intrusions dans le Well. Et ça parait incroyable, mais ils vont retrouver un suspect en identifiant des connexions louches. Pour le surveiller, ils vont mettre en place un programme pour filtrer la masse de paquets de données et ainsi isoler ses sessions. Un véritable programme d’espionnage qui permet de suivre son activité en direct.
Derrière son écran, en ce début d'année 1995, Tsutomu Shimomura regarde donc un certain "Martin" discuter avec “jsz” dans un tchat en ligne. Le premier se plaint d’un “japboy” - Tsutomu visiblement - et d’un journaliste du New-York Times, John Markoff, qui a publié sa photo en une du célèbre journal. C'est cet élément qui va permettre d'identifier l'auteur du piratage. Le 4 juillet 1994, le Times a en effet publié un article sur Kevin Mitnick, qualifié de criminel le plus recherché. La suite de la conversation est assez puérile. Kevin Mitnick rigole en proposant d’envoyer à John Markoff des vacheries sur Tsutomu pour ruiner sa réputation. “On aurait dit de sales petits voyous et non des criminels”, remarque ce dernier.
Les carottes commencent à être cuites pour le pirate en cavale. Ses poursuivants apprennent qu’il se connecte à Netcom depuis Raleigh, la “ville des chênes”, en Caroline du Nord. Mais le numéro avec lequel il est censé appeler n’existe en réalité pas. Rien d’étonnant. Expert de la téléphonie, Kevin Mitnick a réussi à mettre en place des relais pour brouiller les pistes. Mais Tsutomu Shimomura et ses acolytes, eux aussi spécialistes des technologies de communication, ne vont pas s’arrêter là. Ils vont finir par déterminer une zone cible d’un rayon d’un kilomètre autour d’un relais téléphonique.
Ils bricolent alors une voiture de chasse. Elle est équipée d’une antenne, d’un émetteur-récepteur et d’un ordinateur portable. A sa description, on a l’impression qu’il s’agit en fait avant l’heure d’une sorte de station d’IMSI Catcher artisanale, ces appareils dédiés à l’espionnage des communications. Ce système va leur permettre de détecter les signaux de téléphonie mobile et d’intercepter les communications pour tenter de localiser le hacker. En patrouillant dans la zone cible, ils arrivent ainsi à écouter l’une des conversations téléphoniques de Kevin Mitnick avec le rédacteur en chef de 2600, une revue de hackers, ce qui leur confirme qu'ils sont sur la bonne piste.
Leur dispositif leur donne également la puissance du signal : il peuvent alors bouger dans différentes directions pour voir s’ils se rapprochent ou non. En suivant le signal, ils finissent par arriver près du “Player’s Club”, des appartements haut de gamme. Pour Shimomura et ses acolytes, c'est sûr : Kevin Mitnick est là, quelque part, dans l’un des appartements. Mais maintenant, c'est au tour du FBI d’intervenir. Après avoir planqué devant un immeuble, les agents spéciaux frappent à la porte de l’appartement suspect. Cinq bonnes minutes s’écoulent, puis elle s’ouvre enfin. Kevin Mitnick vient d’être arrêté, le 15 février 1995.
Après une première condamnation à 22 mois en juin 1997, en mars 1999, il est finalement condamné à 46 mois de prison après avoir plaidé coupable sur sept chefs d’accusation. Ses victimes évaluent leurs dégâts à plusieurs centaines de millions de dollars, un chiffre ramené à des proportions bien plus raisonnables ensuite. Particularité de son dossier, il aura l’interdiction d’utiliser tout ordinateur jusqu'à la fin de sa probation, en janvier 2003. “Je vis pratiquement comme un amish”, ironise-t-il dans la presse.
“J'ai commis des actes illégaux, mais j'ai aussi été diabolisé”, dira plus tard Kevin Mitnick, avant d’expliquer ne jamais avoir cherché à saboter ou piller les bases de données qu’il forçait. Ses soutiens dénonceront aussi la façon dont a été racontée son histoire. Ils critiquent notamment les libertés prises par le film relatant la traque, Takedown, qui montre le pirate frapper le chercheur en sécurité informatique ou falsifier des dossiers médicaux, comme s’il était motivé par l’appât du gain. Ils questionnent également la démarche du journaliste du New York Times, John Markoff, qui a chroniqué toute cette histoire. Ironie de l’histoire, Kevin Mitnick, une fois libre, verra son site perso régulièrement visé par des pirates informatiques avides de gloire.
Mais lui même, après s’être reconverti comme consultant en sécurité informatique, profitera de cette notoriété. Puis il lancera une dizaine d’années plus tard sa propre plateforme de commerce de vulnérabilité zero-days, ces failles informatiques non divulguées. “Cela ne m'intéresse pas d’aider les agences gouvernementales à espionner les gens, affirmait-il à Wired. Pourtant, ce commerce gris fait un peu retournement de veste, les acheteurs de ce genre de vulnérabilités étant d’abord les agences étatiques de tout poil.
Après une longue (deuxième) carrière dans la sécurité et de nombreuses conférences données sur son passé de cybercriminel, Kevin Mitnick passe l’arme à gauche en juillet 2023.
Mais laissons le mot de la fin à Tsutomu Shimomura. Le chercheur s'est fait plus discret que Mitnick au cours des vingt dernières années : il a continué son travail, passant chez Sun Microsystems et en créant une société spécialisée dans les semi-conducteurs. Il avait déjà tout dit dans son livre. En enfreignant sans vergogne les règles, en s’intéressant à des conversations privées ou en voulant s’accaparer des logiciels, Kevin Mitnick avait selon lui profané le véritable esprit des hackers, un mot devenu désormais à tort synonyme de pirate informatique.
A bientôt pour une nouvelle histoire de cybercrime,
Bonne journée,
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.
Sources
Smashing The Stack For Fun And Profit
The Well, la communauté virtuelle des soixante-huitards californiens
Computer Hacker Mitnick to Get 22-Month Term
Mitnick Sentenced to 46 Months
Hackers to Shake Down Takedown
Kevin Mitnick, Once the World's Most Wanted Hacker, Is Now Selling Zero-Day Exploits