Celui qui avait piraté des forums de djihadistes
L'arrestation de Sh0ck est loin d'être la fin de l'histoire.
Bonjour,
Bienvenue pour la suite de cet épisode consacré à ce hacker français embauché par le service de renseignement intérieur, la DGSI. Tout d’abord, voici le lien pour vous inscrire à la newsletter si l’on vous a transféré le message.
La semaine dernière, je vous ai raconté les déboires judiciaires de notre pirate, Sh0ck. Ce dernier avait été pris la main dans le sac en train de consulter des documents sensibles de Thales mal stockés par un prestataire en ligne.
Interpellé, il est finalement jugé et condamné. Mais l'histoire ne s’arrête pas là. Revenons un peu plus tôt au soir de sa garde à vue. Quand les policiers de la DCRI (l’ancien nom de la DGSI) le ramènent devant son lycée, là où ils s’étaient donnés rendez-vous, l’un des enquêteurs lui glisse sa carte avec un email.
“Ils ont dû comprendre que je n’étais pas un mauvais bougre. Ils m’ont dit : ‘Ce serait bien que tu bosses pour nous’”, rapporte Mediapart. “J’ai donné mon accord tout de suite”, confirme Sh0ck à Pwned. Pourquoi le jeune homme intéresse-t-il les agents de la DCRI?
C’est vraisemblablement parce qu’il est discret, attiré par le challenge technique et pas par l’argent, me dit-il. Les méthodes autour du renseignement en sources ouvertes, l’Osint, ne sont pas encore très connues, ajoute-t-il.
En fait, pas besoin d’être un génie de l’informatique, si tant est que cette expression veuille vraiment dire quelque chose, pour intéresser la DCRI. Le pirate sait faire des choses et il peut être considéré comme fiable, peut-on résumer.
“Pour eux c’était plus simple, ils voulaient vraiment aller plus vite”, analyse Sh0ck. On peut également estimer qu’en recrutant un jeune de 18 ans, plutôt impressionnable à cet âge - rappelez vous votre état d’esprit à la sortie du bac - les agents français peuvent espérer avoir facilement l’ascendant. Voici en effet un sous-traitant qui ne risque pas de se plaindre.
Passons maintenant au job proprement dit. Sh0ck est chargé par exemple de trouver des infos en sources ouvertes sur “des forces de l’ordre potentiellement corrompues ou des diplomates menacés”, assure-t-il dans le long thread publié sur X, et effacé ensuite. Sa première mission, proposée dans un café - le jour d’une audition devant le magistrat qui instruit son dossier pénal ! - va être d’identifier les administrateurs d’un site de carding, cette forme de cybercriminalité centrée sur la fraude à la carte bancaire.
Le jeune homme identifie des profils, observe leurs discussions sur un chat IRC, puis des pseudos. Il arrive à identifier d’autres profils sur les réseaux sociaux, avant enfin de récupérer les adresses IP des serveurs et les noms de domaine associés. Les agents de la DCRI s’intéressent également à l’un des administrateurs d’un autre site de carding, Kurupt.su, une plateforme visée par la justice américaine. Sh0ck réussit alors à trouver l’identité réelle du cybercriminel.
On lui demande également s’il peut chercher des failles dans des sites djihadistes. “Du coup, j’ai cherché et j’en ai trouvé”, explique-t-il à Mediapart. Il va ainsi infiltrer un site djihadiste en exploitant une vulnérabilité publique connue mais non corrigée, une faille visant le composant faq.php du forum tournant sur vBulletin. Après tout, les fanatiques qui sont en charge de la conception de ces sites web sont des gens comme les autres: les failles qui existent peuvent leur échapper.
La moisson va être particulièrement fructueuse pour Ansar Al-Haqq, “une référence de la djihadosphère française”, remarque le site d’investigation en ligne. En posant un webshell, en clair en prenant le contrôle du serveur, Sh0ck récupère la base de données du forum djihadiste. Et donc de précieuses informations sur ses 4000 membres, leurs pseudos, leurs mots de passe. Ces données auraient permis ensuite à l’arrestation de Romain Letellier, condamné pour apologie d’actes de terrorisme sur Internet.
Quand Sh0ck boucle sa tâche, il retrouve ses agents traitants dans un café. Ils viennent à deux, ils lui passent une enveloppe avec du liquide dedans puis le jeune homme signe un papier. Sh0ck est alors étudiant, cela lui permet de mettre un peu de beurre dans les épinards. Calculez vous même: il estime avoir gagné ainsi environ 7500 euros en cinq ans, ça fait 1500 euros par an. Ce n’est pas beaucoup et c’est en même temps appréciable pour un job qu’il fait le soir en rentrant de l’école. Et puis il y a le frisson des missions.
Mais Sh0ck a d’autres aspirations. Il se verrait bien intégrer le service de renseignement, et d’ailleurs on lui promet que ce sera possible. Cela ne sera finalement pas le cas. Pour le pirate, le fait d’avoir été une source serait en fait rédhibitoire. Il va quand même travailler par la suite pour la DGSI, mais indirectement, par l’intermédiaire d’une entreprise lancée par un ancien du service.
Sa mission est alors de brouiller les pistes. Il doit acheter des serveurs avec des cartes pré-payées dans des bars-tabac pour rendre ces adresses intraçables. Autant de points d’appui idéaux pour rechercher ensuite des vulnérabilités sur des cibles. Sh0ck va faire cela quelque temps. Puis il va passer à autre chose, avec un parcours plus classique dans la sécurité informatique. En laissant derrière lui toutes ces histoires.
Enfin c’est ce qu’il croyait.
A la semaine prochaine pour la fin de cet épisode,
Bonne journée,
Gabriel
PS: L’histoire vous a plu? Pour me payer un café, c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
Affaire Bitcoin : les confidences d’un hacker de la DGSI
Au procès du cyberdjihadiste Al-Normandy : « Pour moi, ce n’était que des textes »
Rocambolesque : comment la DGSI a travaillé avec un hacker français pour infiltrer la djihadosphère