Celui qui aurait dû jouer un peu moins à Minecraft (3/3)
Ou comment les créateurs du botnet Mirai ont trouvé réussi leur rédemption.
Bonjour,
Bienvenue pour la fin de cet épisode sur le botnet malveillant Mirai. Avant toute chose, pour ceux qui ne sont pas inscrits, voici le formulaire pour recevoir directement ce message dans votre boîte mail.
La semaine dernière, on a vu que le journaliste Brian Krebs, à l’issue d’une longue enquête, avait mis le nom d’un suspect derrière les attaques en déni de service massives dont il avait été victime. Il s’agit de Paras Jha, un étudiant de 21 ans qui vit dans le New Jersey.
Eh bien, malgré les premières dénégations de la famille et de son avocat, le journaliste avait vu juste. Toutefois, il faudra attendre onze mois après la sortie de son enquête pour avoir une première vérité judiciaire sur cette histoire.
En décembre 2017, la justice américaine annonce en effet que Paras Jha, Josiah White et Dalton Norman ont reconnu leur mise en cause dans le lancement du botnet Mirai et les attaques en déni de service qui ont suivi, y compris donc pour les attaques qui ont visé Brian Krebs, OVH et Dyn.
Ils plaident tous les trois coupable, une modalité qui permet de négocier ensuite la peine entre l’accusation et la défense et d’éviter un procès risqué pour les uns (les accusés) et coûteux pour les autres (l’institution judiciaire).
On va essentiellement s’intéresser à Paras Jha, le personnage central de cette affaire. Et pour comprendre comment il en est arrivé là, on va d’abord écouter ses avocats, Robert Stahl et Laura Gasiorowski. Que disent-ils? Eh bien, que ce jeune homme brillant extrêmement intelligent, d'origine indienne, a un gros souci médical.
Il a longtemps vécu avec un trouble du déficit de l’attention (ADHD) non diagnostiqué. Aux Etats-Unis, c’est un trouble fréquemment diagnostiqué chez les enfants et adolescents, même si la réalité de son ampleur suscite des doutes (étonnamment, pour des raisons pas très claires, la prévalence est plus forte en Amérique du nord qu’en Europe).
Plusieurs signes auraient dû alerter la famille de Paras Jha. Il était un enfant solitaire avec des retards dans son développement, par exemple autour de la mobilité. Autant d’indices ignorés par ses parents qui voyaient d’abord l’intelligence de leur fils aîné.
Pourtant, malgré un talent certain, sa scolarité est difficile. Ses professeurs se plaignent de son comportement et de son manque d’attention. Et ils pensent que ses mauvaises notes sont dues à sa paresse.
Alors que sa mère est obligée de le coacher de près - pour suivre son agenda ou ses devoirs - Paras Jha s’isole de plus en plus sur son ordinateur. A l’âge de 12 ans, l’adolescent maîtrise le C++, ce qui suscite l’admiration de sa famille. Mais des années plus tard, son obsession de la programmation sonne d’abord comme un symptôme de son trouble.
Ce qui amène l’adolescent sur Minecraft, ce jeu extrêmement populaire, où il finit par gérer son propre serveur. Et inévitablement, ce dernier va subir des attaques en déni de service. Paras Jha découvre, émerveillé, le monde du DDoS. Pour lui, c’est un défi technique : comment contrer des attaques et comment en mener.
Pendant ce temps, les études de Paras Jha dérapent. Au lycée, le problème est contenu. Mais à l’université Rutgers, ça empire. Sans sa mère, il se retrouve incapable de gérer son emploi du temps. Ça me rappelle mes premières années à la faculté. J’ai vu en quelques mois des étudiants perdre pied à cause d’une autonomie dont ils ne voulaient pas ou qui leur faisait peur - comme aux moments des traditionnelles grèves semestrielles.
Donc on peut relativiser un peu les problèmes de Paras Jha. Mais c’est sa réaction qui va être comment dire… Assez brutale. L’étudiant en informatique se lance en effet en 2014 d’abord dans des attaques en déni de service contre sa fac, à l’époque sans Mirai donc. Pour des motifs puérils ou pour se faire reconnaître, signe d’un mal-être assez profond.
Il lance ainsi un DDoS pour retarder les inscriptions à un cours qu’il veut suivre. Une autre attaque lui permet de retarder l’un de ses examens. Les deux suivantes lui permettent de se faire un nom, lui l’obscur étudiant isolé et dépressif.
Il attire l’attention de la presse, et ironise sur les moyens mis par l’université, 3 millions de dollars pour se protéger. Visiblement, ça ne suffit pas. “L’informatique de la fac c’est une blague”, dit-il ainsi sur un Pastebin, caché derrière le pseudonyme Exfocus.
Mais évidemment, ce n’est pas comme cela qu’on redresse la barre. Paras Jha finit par laisser tomber et lance son business, ProTraf, spécialisée dans la protection contre les attaques DDoS. Et pourquoi pas?
Sauf que l’ancien étudiant a mis au point une très douteuse approche. Pour vendre son produit, il lance des attaques en déni de service contre ses cibles commerciales… Il en profite également pour faire des croche-pied à d’autres groupes de DDoS rivaux.
Puis le jeune homme est mis au défi de créer son propre outil d'attaque DDoS. Voici comment va naître en juillet 2016 Mirai, un botnet qui deviendra le plus puissant outil d’attaques en déni de service de son époque.
Après les premières attaques dévastatrices en déni de service, Paras Jha et ses deux acolytes vont même ouvrir en janvier 2017 un service de location destiné aux cybercriminels. Ils proposent l’accès à leur botnet pour des services de fraude au clic, une création artificielle de clics pour générer des revenus publicitaires qui leur a rapporté en quelques semaines cent bitcoins, soit 180 000 dollars à l’époque.
On en est là en octobre 2018. Cela fait dix mois que Paras Jha attend de savoir à quelle sauce il va être mangé. Techniquement, il y a deux volets. L’un concerne les attaques contre l’université, l’autre sur celles liées au botnet Mirai.
Mais surprise, les deux décisions sont plutôt clémentes. Oui, il doit bien verser l’énorme somme de 8,6 millions de dollars à l’université Rutgers en dédommagement. Mais il est seulement condamné à six mois de détention à son domicile et à cinq ans de probation.
Une alternative à l’emprisonnement, assez proche de notre sursis, qui lui permet donc d’éviter la case prison. Ce qui n'est pas très cher payé au vu de l’ampleur du botnet, de sa diffusion et des dégâts commis.
Pour comprendre le sens de ces deux peines, il faut ouvrir le volumineux chapitre de la rédemption de Paras Jha. Cela commence d’abord par l’une des écoles 42, ces sites de formation lancés par Xavier Niel ouverts aux profils atypiques. Enfin traité pour ses troubles de l’attention, le créateur de Mirai y trouve enfin le bon cadre pour suivre avec succès des études supérieures.
Paras Jha ne se contente pas d’aider ses camarades à avancer dans leurs projets, il travaille également à temps partiel pour une entreprise de cybersécurité. Mais surtout, lui et ses deux amis collaborent sans se faire prier avec le FBI. Une relation qui est qualifiée d’exceptionnelle.
Les trois jeunes accusés ont par exemple donné des tuyaux au bureau fédéral pour identifier plus facilement des botnets malveillants. Ils ont apporté leur soutien lors d’une importante campagne d’attaques DDoS pendant la période de Noël 2017. Leur travail a également permis d’atténuer grandement les attaques Memcached.
Ils ont partagé leur connaissance des réseaux de cybercriminels et même fait de la cyber-infiltration pour confondre des criminels recherchés, contribuant au recueil de preuves matérielles importantes. Autre exploit à leur actif: de la rétro-ingénierie et le développement d’un outil plus rapide pour les investigations sur les flux de crypto-monnaies.
Et avec la rédaction d’un script, le FBI a pu enfin identifier les victimes d’un autre botnet malveillant, Kelihos. Vous le voyez, leurs efforts sont particulièrement éloquents et sans doute inédits. Ce qui explique finalement le léger coup de marteau des juges américains. L’histoire des créateurs de Mirai, qui n’ont pas refait parler d’eux depuis, s’arrête là.
Mais Paras Jha a ouvert la boîte de pandore en diffusant le code source. Dans les années qui viennent, d’autres développeurs vont s’emparer du logiciel malveillant et customiser des variantes. Elles vont s’appeler Okiru, Satori, ou Masuta.
“L'underground cybercriminel poursuit son développement à partir de Mirai, ciblant chaque chaque équipement possible alors que le marché de l'internet des objets continue de prospérer”, résumait la firme Intel471 dans un post aux accents tragiques comme l’industrie de la cybersécurité sait si bien le faire.
Le botnet s’est émancipé de ses créateurs et vole désormais de ses propres ailes.
A bientôt pour une autre histoire de cybercrime,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer une bière - par exemple une Alaskan - c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources:
FBI questions Rutgers student about massive cyber attack
Étude de législation comparée n° 122 - mai 2003 - Le plaider coupable
SENTENCING MEMORANDUM ON BEHALF OF PARAS JHA
TDAH : explosion de cas aux Etats-Unis
How a Rutgers student went from Minecraft to internet warfare
GOVERNMENT’S MOTION FOR DOWNWARD DEPARTURE PURSUANT TO U.S.S.G
De Mirai au FBI : comment les créateurs du botnet aident aujourd’hui les autorités américaines
Memcached servers irresistible to DDoS attackers, expert warns