Celui qui a trop parlé sur IRC (2/3)
Mafiaboy n'était pas un inconnu pour les enquêteurs. Trahi par ses anciennes traces, le hacker est démasqué suite à une surveillance serrée autour de son domicile.
Bonsoir !
On se retrouve donc pour le second épisode de “Celui qui a trop parlé sur IRC”. Hier, on est revenus sur les fameuses attaques DDoS. Maintenant, rentrons donc dans le vif du sujet de l’enquête.
Ah, au fait, pour ceux qui lisent le post sur le site ou qui ont reçu ce mail par transfert, voici le lien pour vous inscrire:
On en était où? Ah oui, un suspect, Mafiaboy, a été arrêté dans l’affaire des déni de service qui ont bloqué en février 2000 les grands noms de l’internet marchand. Alors venant au fait, comment a-t-il été démasqué ?
“Ils m’ont attrapé parce que je m’en vantais dans des discussions publiques, pas par des moyens techniques”, résume l’ancien hacker dans un podcast. Alors je ne suis pas tout à fait d’accord.
C’est vrai, Michael Calce, le vrai nom du suspect, s’est montré trop bavard sur IRC (pour Internet Relay Chat). A l’époque, Discord ou Telegram n’existent pas. Même si ICQ (pour I Seek You) ou MSN Messenger sont déjà lancés, IRC, dont la conception est décrite ici, est encore très populaire.
Trop vantard, Mafiaboy? Oui, mais c’était inévitable, puisque l’adolescent voulait justement faire entrer son nom dans le panthéon des hackers.
Et pour être crédible, il faut donner des preuves. Si comme l’adolescent le relève, n’importe qui peut “dire de la merde” sur un chat, lui nomme sur IRC des cibles qui sont effectivement visées dans la foulée par des attaques dévastatrices.
Voici un exemple d’une conversation sur IRC où l’adolescent, ici logué comme Anon, laisse planer le doute sur son implication. T3, mshadow et Swinger sont trois hackers. Ou supposés l’être: l’un des trois serait un agent infiltré du FBI, selon Mafiaboy.
T3 : So Mafiaboy, it was really you that hit ALL those ones in the news ? Buy.com, etrade, eBay, all that shit ?
ANON : You just pin em so hard thy cant even redirect
ANON : t3 maybe. Who knows. Would only answer that under ssh2
Bon, mais on est d’accord, de simples échanges sur IRC, c’est vraiment juste comme preuve. Quand vous rejoignez un channel, il faut juste indiquer un pseudo. Pas besoin d’enregistrer un compte, le premier arrivé est le premier servi.
Puisque n’importe qui peut se connecter sur IRC et utiliser ce pseudo, combien y a-t-il de Mafiaboy? Comment la police peut-elle être certaine que l’adolescent canadien est bien le vrai Mafiaboy responsable des attaques?
Et puis d’ailleurs, ce n’est pas un peu gros de mettre ce piratage sophistiqué sur le dos d’un seul gamin? Quelques jours après l’arrestation, le magazine de hackers 2600 dévoile sur son site un échange sur IRC.
Sur un chat, les auteurs de ce mag ont utilisé le pseudo de Mafiaboy pour discuter avec Michael Lyle, l’un des spécialistes de la sécurité qui piste l’internaute. Pourquoi? Ils s’interrogent sur l’existence réelle de ce Mafiaboy et veulent prouver, en reprenant le pseudo, que tout ça n’est que du flan.
Dans leur conversation sous pseudonyme, 2600 laisse entendre que Mafiaboy parle français et vient d’un pays enneigé. Deux indices qui correspondent à Montréal, située au Québec, et qui laissent à penser que les autorités se sont lourdement plantées en allant arrêter un adolescent au mauvais endroit au mauvais moment.
“Tout ce que l'on a besoin de faire pour être considéré comme un suspect est de changer de pseudo sur IRC. Nous n'avions absolument AUCUNE preuve que nous pouvions fournir pour rendre cette personne fictive responsable de quelque manière que ce soit des attaques”, écrivent-ils.
“Pourtant, nous avons été crus par d'innombrables personnes, y compris ‘l'expert’ qui s'attribue le mérite de l'arrestation. Et maintenant, nous voyons que le principal élément de preuve contre la personne réelle qui a été arrêtée est le fait qu'il se ‘vantait’ dans un canal IRC.”
“Naturellement, nous avons toujours des raisons d'être quelque peu dubitatifs chaque fois que les autorités prétendent savoir quelque chose à propos d’Internet”, ironise enfin 2600.
Mais contrairement à ce que le magazine suggère, l’arrestation de Mafiaboy ne repose pas, loin de là, sur les seuls échanges sur IRC. Il y a déjà des infos disponibles en source ouverte.
Le magazine spécialisé Wired remarque ainsi qu’un hacker qui utilise le pseudo de Mafiaboy a tenu un temps une page web intitulée “Arkangel's Hacking Page”, hébergée à Montréal. Les journalistes ne le savent pas encore, mais ils sont bien sur la bonne piste. C’était un des anciens pseudos de Michael Calce.
Revenons plus précisément sur le déroulé des événements. Le 14 février, le FBI sollicite l’aide de la Gendarmerie royale pour explorer la piste canadienne. Le dossier va tout de suite parler au caporal Gosselin.
Huit mois plus tôt, l’enquêteur avait déjà travaillé sur le hack de la Sister High School, dans l’Oregon. Comme le raconte Dan Verton dans “The Hacker Diairies : Confessions of Teenage Hackers”, en remontant laborieusement les traces de ce premier hack, le FBI et Gosselin arrivent à une adresse, rue du Golfe, où tout a commencé.
Si j’ai bien compris, il y a eu deux éléments essentiels dans cette première enquête: les infos fournies par le fournisseur d’accès par internet aux policiers et, déjà, l’utilisation du pseudo Mafiaboy.
L’enquêteur canadien fait donc tout de suite le lien entre les attaques en déni de service et ce dossier resté finalement sans suites judiciaires. La piste est très chaude.
Reste à savoir qui à cette adresse suspecte dirigeait le réseau de botnets qui fait tant de dommages. Très classiquement, les gendarmes canadiens mettent en place des écoutes.
Elles vont être fructueuses. Le 7 mars, furieux de voir que quelqu’un a enregistré mafiaboy.com, Michael Calce se lamente. Dans d’autres conversations, il assure qu’il doit “montrer au monde entier que les meilleurs hackers viennent du Canada”.
Mafiaboy tremble quand le 8 mars, un hacker, un temps suspect dans son affaire, est arrêté dans un autre dossier. L’étau se resserre donc, s’imagine-t-il.
Les enquêteurs ont déjà en réalité amassé pas mal d’éléments contre lui. Mais même dans le brouillard, l’adolescent leur donne encore du fil à retordre.
Il décide d’en finir avec cette histoire d’une manière radicale : il écrase son disque dur avec un marteau, l’asperge, le démagnétise puis le jette depuis un pont.
Pourtant, à son procès, en septembre 2001, Mafiaboy plaide coupable sur 56 des 66 charges. Un plaider coupable qui explique d'ailleurs le flou autour de cette affaire, faute d’audience publique confrontant les arguments des parties.
Mais pourquoi Mafiaboy reconnaît-il sa responsabilité malgré, dit-il plus tard, l’absence d’éléments techniques contre lui?
On l’a vu, il y a quand même pas mal d’éléments qui convergent. Et il reste un point très important, les écoutes. Durant la surveillance du domicile familial, les enquêteurs sont tombés sur d’étranges conversations du paternel.
On y entend son père suggérer d’en finir d’une manière radicale avec un ancien associé. Pour Michael Calce, la perspective de voir ce dernier dans de beaux draps à cause de lui est trop dure. Le plus simple n’est-il pas, finalement, d’admettre sa culpabilité en espérant ensuite un abandon des poursuites contre son père?
On se retrouve demain pour la fin?
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: Pour me payer une bière - par exemple la Queen, d’une brasserie de Montreal - c'est ici.