Celle qu’un corbeau voulait déstabiliser
Un certain Norman Crépin tente de discréditer le laboratoire national de dépistage du dopage en transmettant des pièces confidentielles à ses homologues canadiens. Une bien mauvaise idée.
Bonsoir,
Bienvenue pour ce nouvel épisode de Pwned. Au programme cette fois-ci, une croustillante histoire de cyber-barbouzerie française. Mais tout d’abord, deux remarques. Contrairement à d’habitude, ce mail est envoyé un dimanche matin et non un samedi soir. C’est un essai, dites moi ce que vous préférez. Ensuite, si vous n’êtes justement pas inscrit à cette newsletter sur le cybercrime, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
“Floyd était vraiment négatif. Je sais que cela ne serait jamais arrivé dans votre labo.” Il y a des jours comme ça où de drôles de mails atterrissent dans votre boîte aux lettres. En cet automne 2006, c’est le tour d’une professeure canadienne, qui travaille dans une structure anti-dopage outre-atlantique.
Un certain Norman Crepin vient de lui écrire pour se plaindre des analyses du laboratoire national de dépistage du dopage français. Floyd fait ici référence à Floyd Landis, ce cycliste américain qui a été contrôlé positif à la testostérone et qui sera le premier vainqueur d’un tour de France à être déchu de son titre pour dopage.
Le mail est même accompagné de plusieurs copies de courriers internes et confidentiels provenant du laboratoire français! Mais si Norman Crepin voulait inciter la professeure canadienne à discréditer publiquement ses homologues français, c’était vraiment mal joué.
Plutôt que de jeter la suspicion entre collègues, il renforce au contraire leur solidarité. Si vous avez suivi l’actualité du sport ces vingt dernières années, vous savez que l’anti-dopage était au début des années 2000 vraiment un sport de combat. On riait quand le coureur Richard Virenque expliquait avoir été dopé à l’insu de son plein gré. Mais il ne faisait pas de doute que les biologistes traquant les molécules interdites dérangeaient.
La professeure transmet aussitôt, le lundi 23 octobre 2006, ce message bizarre à Françoise Lasne, la responsable du laboratoire national de dépistage du dopage. La docteure est une célébrité dans son milieu. Elle est la première à avoir conçu un test de détection de l’EPO, cette hormone dont sont bien trop friands les cyclistes pour doper leurs résultats.
Puisque des courriers internes ont été divulgués, c’est qu’il y a eu soit une fuite, soit un piratage. L’agence française de lutte contre le dopage penche plutôt pour la seconde hypothèse. Quelques jours plus tard, elle demande à une entreprise de sécurité informatique de faire un audit de sécurité sur les ordinateurs du laboratoire français. Bien vu !
Parce que les experts de la société, baptisée Firewall vont effectivement retrouver un cheval de troie installé sur l’ordinateur de la secrétaire du directeur. Cette dernière signale d’ailleurs que les documents envoyés par le corbeau au laboratoire canadien proviennent d’un répertoire du laboratoire dont elle est la seule à avoir accès.
Selon le jugement correctionnel, le logiciel malveillant s’appelle Bifrost, et il aurait été installé après un clic malencontreux sur la pièce jointe d’un message, msnmsgw.exe. Dans un article, Intelligence online mentionne pour sa part un faux fichier Word malveillant. Quelque soit la pièce jointe, évidemment, ce n’était pas le fichier qu’il prétendait être.
Ce cheval de troie permet en réalité à un pirate informatique de contrôler à distance la machine infectée, de voler les mots de passe, d’enregistrer la frappe et de faire des captures d’écran. Bref, un outil parfait pour espionner sa cible. Une fois dans la place, le pirate a programmé des recherches très ciblées.
Jugez par vous même: il recherchait “995474” (le numéro d’un échantillon d'urine prélevé), “AAF”, pour “Adverse Analytical Finding”, soit un résultat d'analyse anormal, en gros un résultat positif à un test de dopage, ou encore “GC IRMS”, pour la détection de stéroïdes, etc. Quand le programme malveillant déniche une occurrence, il envoie alors une copie du fichier par le biais d'un tunnel de communication chiffré censé être intraçable.
L’infection sera plus tard datée précisément. Le cheval de troie a été installé le 14 septembre, un gros mois environ avant le message de Norman Crepin. L’agence anti-dopage dépose plainte le 7 novembre et les investigations sont confiées aux policiers de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC). Pour la petite histoire, ces derniers viennent enfin d’abandonner leur improbable intitulé à rallonge pour un bien plus simple Office anti-cybercriminalité.
Le travail des enquêteurs est d’abord bien laborieux. La fuite des documents a été au départ estimée par Firewall dans une large fourchette, entre le 13 septembre et le 14 octobre. Mais ils trouvent quelques pistes intéressantes. En analysant les documents envoyés au laboratoire canadien, notamment les courriers piratés, ils remarquent que ces documents ont été modifiés le 14 octobre 2006 sur une machine dont la version de Microsoft Office était enregistrée au nom d’“Arnie”. Il y a beaucoup d’Arnie sur terre, mais quand vous vous intéressez à Floyd Landis, il n’y en qu’un qui compte. Il s’agit d’Arnie Baker, son coach.
Ce dernier est une très bonne piste. Après tout l’adresse IP enregistrée lors de l’envoi du message, 68.101.176.143, se situe aux Etats-Unis, à San Diego. Ça pourrait être lui. Les policiers vont alors avoir recours à une astuce pour confondre Arnie Baker. Ils lui envoient tout simplement un message anodin sur son mail officiel. Pas méfiant, ce dernier leur répond. Et bingo ! L’adresse IP de sa réponse est la même que celle du message de Norman Crepin.
Si les policiers ont déjà bien avancé en trouvant un suspect pour l’envoi des messages malveillants, leur enquête n’est pas terminée. Même s’il semble trouver un intérêt direct dans la diffusion des documents volés, rien ne dit qu’Arnie Baker soit le pirate. Les policiers s’intéressent alors au tunnel de communication du logiciel malveillant, qui sert à exfiltrer les fichiers. Le programme se connecte sur deux sites : netzek.noip.com et zimpsm-ip.com.
Le contenu de ces deux sites ne donne rien : l’adresse IP du serveur renvoie au service de DNS dynamique No-IP.com, qui agit en quelque sorte comme un réseau privé virtuel. Cela ne veut pas dire toutefois que cette piste est une impasse. Car No-IP.com a coopéré avec la justice française, même si cela a pris du temps. Outre son activité de DNS dynamique, elle fournit également un service d'enregistrement de nom de domaines.
La plateforme communique ainsi une centaine d’adresse IP, dont celle d’un suspect intéressant, qui pourrait bien avoir créé les deux noms de domaine utilisés par le programme malveillant. Il s’agit d’un certain zipmq@aol.com. Reste à alors à dérouler la pelote auprès d’AOL. Quelques réquisitions judiciaires plus tard, les enquêteurs découvrent que Zimpq s’appelle en réalité Alain Quiros. Serait-ce donc lui le véritable auteur du piratage?
On en parle la semaine prochaine,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.
Sources
Tribunal correctionnel de Nanterre, jugement du 10 novembre 2011
Comment l’Intérieur se réorganise pour mieux lutter contre la cybercriminalité
What Were They Thinking? Microsoft Seizes, Returns Majority of No-IP.com’s Business
Merci, pour le jour de publication, n'importe quel jour, c'est un regal