Celui qui avait fait un dork Google de trop
A être trop curieux certains finissent par mettre les pieds où il ne faut pas.
Bonjour,
Bienvenue pour ce nouvel épisode de cette saison de Pwned, votre newsletter sur le cybercrime, sur le renseignement. Aujourd’hui, on va parler de cette histoire de hacker français embauché par la DGSI, le service de renseignement intérieur français, qui avait fait du bruit l’an dernier. Mais avant de commencer, voici le lien pour vous inscrire à la newsletter si l’on vous a transféré le message.
Je trouve cette histoire vraiment intéressante car les exemples bien documentés sont assez rares. Avouons-le, on baigne souvent dans le fantasme, entre histoires louches et embauches bien réelles de “baleineaux”. C’était, autour des années 1990, le surnom des spécialistes informatiques recrutés par la DST, l’ancêtre de la DGSI, en puisant dans le vivier des appelés devant faire leur service national.
On peut ainsi voir régulièrement des commentaires, quand un cybercriminel se fait arrêter: “ah, en voilà un qui va intéresser les services”. C’est un raccourci qui me semble trop rapide car rien ne dit que tous les profils vont vraiment les allécher. J’ai vraiment des doutes quant à leur intérêt pour quelqu’un qui fait du phishing pour faire de l’arnaque au allô, par exemple.
Quoiqu’il en soit, pour Sh0ck, le pseudo de cet expert en sécurité informatique, tout commence en 2011 par un rendez-vous avec des agents du renseignement intérieur devant son lycée du sud-ouest de la France, comme le raconte Mediapart. A l’époque, le service secret s’appelle la DCRI, la direction centrale du renseignement intérieur. Comme aujourd’hui, ce service de contre-espionnage a une double casquette, ce qui lui avait valu à sa création le surnom de FBI à la française.
Cette administration est chargée de rechercher et d’analyser des informations relevant de la sécurité nationale ou des intérêts fondamentaux de la nation. Mais elle a aussi une compétence judiciaire, pour le terrorisme ou le secret de la défense nationale. Les enquêtes pour trouver ceux qui piratent des documents tamponnés “Secret défense” relèvent donc de son périmètre. Justement le genre de celle qui concerne Sh0ck, et qui lui vaut l’attention d’agents à la sortie de son lycée.
Cela faisait quelques années que le jeune hacker s’était pris de passion pour l’informatique. Tout serait parti du piratage de Steam, la plateforme de jeu en ligne. Sa clé de Half-Life 2, le jeu de tir en ligne, ne marchait plus. Comme le signale Louis Adam, le relecteur de cette newsletter, pour lutter contre les copies pirates, la seconde version du célèbre jeu de tir vérifiait auprès de Steam la validité de la licence. Avec des amis, l’adolescent repère alors une vulnérabilité.
Les ordinateurs de son cybercafé ont recours à un certificat électronique pour accéder à tous les jeux. C'est un simple fichier qui atteste que la personne le possédant dispose bien des droits d'accès nécessaire à une ressource. Comme son nom commence par “Valve”, en référence au studio de jeux vidéo qui a imaginé Half-Life, le fichier est simple à retrouver. Il est possible de faire une copie de ce certificat, et donc de le réutiliser pour accéder depuis leurs ordinateurs personnels aux jeux acquis par le cybercafé. Les adolescents automatisent leur technique, avec un exécutable logé sur une clé USB pour aller plus vite dans la copie.
Avec ce premier fait d'armes, Sh0ck se prend de passion pour l’univers du hacking. Il s’intéresse à la programmation, aux challenges en ligne comme Root Me. Et parce qu’il est “jeune et con”, dit-il bien plus tard à Pwned, il fait aussi ce qu’il appelle du pentest sauvage - en clair des intrusions informatiques non sollicitées. “Je ne voulais pas gagner d’argent, je voulais simplement apprendre”, assure-t-il.
Un peu trop curieux, Sh0ck multiplie les “dork” sur Google avec un ami, c’est-à-dire des recherches élaborées sur le célèbre moteur. Ils accèdent ainsi à un serveur FTP anonyme qui n’a pas été sécurisé. Les deux adolescents retrouvent, ébahis, des documents secret-défense relatifs à des frégates françaises. Ils comprennent aussitôt qu’ils ont mis les pieds là où il ne fallait pas, et Sh0ck s’empresse de supprimer toutes les données obtenues.
Et pour cause, il s’agissait en réalité du serveur d’une société américaine de traduction, E-Files, embauchée sur un deal concernant Thales. Ce géant de l’armement français n'est pas n'importe quelle entreprise. C’est une filiale de l’Etat et de Dassault, le constructeur d’avions militaires, bref une organisation particulièrement sensible.
L’intrusion est repérée, une enquête est lancée, et les policiers de la DCRI retrouvent Sh0ck et son complice. Résultat : un étrange comité d'accueil à la sortie du lycée, une perquisition et une garde à vue. L’affaire va se solder par un procès en 2014 pour accès frauduleux dans un traitement de données et recel.
La justice a fait un pot-pourri : le recel concerne des numéros de cartes bancaires obtenus après des piratages d’hôtel, “pour apprendre”, que Sh0ck assure ne pas avoir exploité. Le jeune homme est finalement condamné à six mois de prison avec sursis et 500 euros d’amende.
Mais c’est loin d’être la fin de l’histoire,
La suite la semaine prochaine,
Bonne journée,
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer un café, c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
L’histoire très louche du Chaos Computer Club France, appât de hackers en herbe
Affaire Bitcoin : les confidences d’un hacker de la DGSI
Rocambolesque : comment la DGSI a travaillé avec un hacker français pour infiltrer la djihadosphère