Celui qui n’aurait pas dû annoncer à l’avance son plus gros piratage
Un an après le piratage du New-York Times, Adrian Lamo fait du teasing sur son prochain hack, son plus gros coup. Mauvaise idée, comme on va le voir.
Bonsoir,
Bienvenue pour la suite de cet épisode de Pwned sur Adrian Lamo. Mais tout d’abord, si vous n’êtes pas inscrit à cette newsletter sur le cybercrime, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
La semaine dernière, je vous parlais des exploits d’Adrian Lamo, ce célèbre hacker des années 2000. Il n'a qu'une vingtaine d'années mais il semble se jouer avec brio des systèmes de sécurité. Des piratages qui ne lui rapportent rien si ce n'est la gloire, aidant au contraire les organisations victimes à renforcer leur sécurité.
Enfin ça, c’était jusqu’à ce piratage du New-York Times, une véritable institution dans la presse qu’il a hacké en février 2002. Pour comprendre un peu ce qu’il s’est passé, il faut lire l’affidavit, ce document qui récapitule les charges contre Adrian Lamo et qui précise surtout son cheminement dans l’informatique du Times.
On peut ainsi situer l’intrusion grâce à un proxy ouvert aux alentours du 14 février. Ces serveurs intermédiaires entre un ordinateur et le réseau Internet peuvent être détournés à des fins malveillantes.
En réalité, ce premier accès n’a eu qu’un effet limité. Adrian Lamo met simplement la main sur une base de données répertoriant les noms et numéros de sécurité sociale des employés. Cela pourrait sembler une fuite certes gênante mais à l’ampleur limitée.
Sauf que dans le système d’information du New-York Times, une telle liste vaut de l’or. Pourquoi ? Eh bien parce que le mot de passe par défaut des employés, c’est les quatre derniers chiffres de leur numéro de sécurité sociale !
On ne sait pas si le hacker connaissait cette valeur par défaut ou s’il l’a supposé, peut-être parce que c’était le genre de pratique courante à l’époque. Pour moi, c’est la faille la plus problématique de cette histoire, plus que le proxy ouvert, parce que c’est ainsi qu’Adrian Lamo va pouvoir s’ouvrir un large accès.
Le hacker finit en effet par trouver un compte administrateur qui n’a pas changé son mot de passe. Il en prend le contrôle et crée aussitôt un nouveau compte administrateur au nom fictif d’Eric Yee. C’est ce login qui lui permet ensuite de se balader dans les systèmes internes du Times.
De manière facétieuse, le hacker s’ajoute par exemple dans la base de données “Op-Ed”, qui recense l'ensemble des personnalités ayant publié des tribunes dans le New York Times. La fiche d'Adrian Lamo le présente comme un expert en piratage informatique, sécurité nationale et renseignement dans les communications, avec son numéro de téléphone finissant par “HACK”. C’est vraiment son numéro, il suffisait de demander dira-t-il plus tard.
C’est plutôt rigolo. Mais moins marrant pour le Times, Adrian Lamo a profité de son accès à l’intranet du quotidien pour avoir recours à un autre service en ligne, dont le New-York Times était souscripteur : le service d'information légale LexisNexis. En mai, la société spécialisée dans les bases de données juridiques contacte le quotidien. Ce service d’informations légales et juridiques a observé une activité anormale liée à plusieurs comptes du journal.
Le Times, après enquête interne, réalise que les comptes en question - TOOMANYSECRETS, PROTAGONIST, LOCUST, VAISHNAV et NU1UJB - ont été créés par un certain “Eric Yee”. Ces cinq comptes, associés à des adresses IP en Californie, vont réaliser près de 18% des requêtes du quotidien de février 2002 au 20 mars 2002. Adrian Lamo fait ainsi des recherches sur son nom, d’autres pirates informatiques et notamment les dirigeants de l’opérateur AOL, sa bête noire.
Au final, la facture de son incursion est très salée pour le Times. Le piratage en lui-même a coûté environ 25 000 dollars au quotidien. Mais ses recherches sur LexisNexis correspondent elles à une facture d’environ 300 000 dollars pour ses 3000 recherches ! Ce montant sera plus tard contesté par Adrian Lamo et questionné par la presse.
Selon Security Focus, la plainte mentionne en effet un coût de 100 dollars par recherche alors que le prix public est de 3 à 12 dollars. “C’est ridicule, nous serions en faillite”, avait alors ironisé anonymement un journaliste du Times à propos du prix des recherches. Mais même si ce montant est sujet à caution, on comprend que le Times ait été piqué au vif et qu’il ait signalé l’histoire aux autorités.
“Jusqu’à présent, sa coopération et sa transparence l’ont empêché d’être poursuivi”, remarquait pourtant en septembre 2003 le journaliste Kevin Poulsen. “C'est antisportif de la part du New-York Times", ajoutait le hacker à propos de la plainte du quotidien
C’est en effet le début des ennuis pour Adrian Lamo. Il a attiré l’attention du FBI. Le bureau fédéral va mener une longue enquête afin d'identifier tous les piratages ayant impliqué le jeune homme par le passé. Celle-ci ne va aboutir qu’en août 2003, date à laquelle le FBI va officiellement exiger son interpellation.
Si Adrian Lamo assure être un “white hat”, ces hackers éthiques qui piratent pour le bien commun, le bureau fédéral n'est pas du même avis. Il serait au contraire un “black hat”, un hacker malveillant qui fait des piratages pour semer la destruction ou voler des données.
Les agents notent par exemple qu’Adrian Lamo informe d’abord ses amis dans les médias avant d’alerter la société victime de l’intrusion. On le saura plus tard, mais il repart parfois aussi avec des fichiers sensibles, comme cet index de sources du New-York Times transmis deux ans après le piratage au journaliste Brian Krebs.
Des documents d’enquête partagés par le FBI dans le Vault du bureau consacré à Adrian Lamo, une section de leur site web consacré aux affaires les plus célèbres, signalent également un accès illicite au site du Sénat américain. Là aussi, un serveur proxy mal configuré avait entraîné un piratage informatique à l’automne 2002, sans toutefois qu’il n’y ait vraiment de suites. Il n’est pas précisé qu’il s’agit d’Adrian Lamo, mais on devine qu’il a été d’une manière ou d’une autre un suspect pour que ce document se retrouve là. Et le mode opératoire de ce piratage correspond tout à fait à ses habitudes.
On ne comprend toutefois pas vraiment pourquoi il a fallu plus d’un an au FBI pour demander son interpellation. Ce n’est pas son identification qui a posé problème, puisque dès le départ il a revendiqué son piratage du New York Times. C’est d'ailleurs la même chose pour les autres piratages mentionnés dans l’affidavit, Excite@Home, Yahoo!, Microsoft, Worldcom, Ameritech, et Cingular (le seul hack datant de 2003, les autres ont été commis en 2001), qui ont tous été signés.
Si l’arrestation d’Adrian Lamo arrive si tard, c’est peut-être à cause d’une crainte d’une sorte d’escalade. Dans un document de la fin juillet 2003 destiné aux attachés de presse du bureau, un agent du FBI récapitule le dossier. Outre les piratages déjà mentionnés, il signale un article publié dans le San Francisco Weekly, daté d'avril 2003.
Sous le titre “A Duty To Hack” (“Le devoir de pirater”) l'article détaille la profession de foi de Lamo. Mais le hacker y explique surtout qu’il va prochainement dévoiler son plus gros piratage. Sa cible serait une entreprise du style infrastructure critique. Autrement dit, cela risque de faire mal. Avant de préciser qu’il a prévu des plans de repli au cas où l'affaire tournerait au vinaigre pour lui, de l’exil à l’étranger à une cachette dans le sud des Etats Unis.
Une déclaration très maladroite pour Adrian Lamo, qui semble justifier à elle seule son arrestation. Le bureau fédéral préconise alors la plus grande discrétion. Si le hacker apprend qu’il va être arrêté, il va certainement mener à bien ce fameux piratage. Il est désormais une “menace” pour les Etats-Unis. Mais si l'identification de Lamo n'a posé aucune difficulté, mettre la main sur lui va être autrement plus complexe pour les autorités américaines.
On se retrouve la semaine prochaine pour la fin de cette histoire.
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.
Sources
Adrian Lamo convicted for gaining unauthorized access to New York Times
New York Times internal network hacked
Lamo denies $300,000 database hack
FBI reportedly hunting Adrian Lamo
FBI Records: The Vault / Adrian Lamo