Celui qui n’aurait pas dû faire autant confiance (2/3)
Comment un jeune français s'est retrouvé mêlé à un hack à 10 millions d'euros.
Bonsoir,
Voici la suite de votre épisode de Pwned sur le hack de Gatehub. Si vous n’êtes pas encore inscrit à la newsletter, voici le lien.
Alors, on en était où? Ah oui, la plateforme d’échange de crypto-monnaies Gatehub a été piratée en juin 2019. 25 millions d’XRP, soit 10 millions d’euros à l’époque, ont été volés. Généralement, l’histoire s’arrête là dans la plupart de ces braquages.
Attendez d’ailleurs, pourquoi est-ce que je parle de braquage? Juste parce qu’une institution financière a été victime? Cela ne devrait pas être suffisant. Quand vous lisez braquage, vous pensez à des malfrats armés qui garent la voiture en face de la banque avant de débouler dans le hall en hurlant de demander à tout le monde de se mettre à terre.
Évidemment, rien ne se passe comme cela quand un hacker malveillant siphonne des comptes d’une plateforme d’échange. Et on va le voir l’organisation criminelle suspectée est sans doute très loin des équipes d’Ocean’s Eleven ou de Reservoir Dogs. Autant de raisons qui me poussent désormais à éviter d’employer ce terme, parce que ça véhicule un imaginaire assez lointain de ce dont on parle.
Donc, ce qui est assez incroyable dans l’affaire du piratage Gatehub, c’est qu’on connaît aujourd’hui pas mal de choses sur cette affaire. Et pourquoi?
Parce que les suspects, une belle brochette de français ressemblent plus à des sales gosses immatures. Ils se sont étripés dans des séries de doxx, c’est-à-dire la publication sur internet des informations personnelles de quelqu’un. Selon le chercheur en sécurité informatique Vinny Troia, ces chamailleries sont nées de disputes autour de la vente de données, de la répartition des gains et de l’attribution des hacks.
Mais comment ces confessions, qui ont dévoilé au passage pas mal de détails compromettants, se sont-elles déroulées?
Alors que les victimes en sont encore à se demander où sont partis leurs XRP, une série de messages postés sur différents forums dévoilent d’importantes tensions entre plusieurs personnes très bien informées sur le hack.
Regardons donc ce qui a été publié par ces internautes qui signent GnosticPlayers, GnosticPlayers1 ou encore GnosticPlayers2 - peut-être la même personne ou un, deux, ou trois internautes différents. Ces pseudos font référence à un groupe de hackers qui a revendiqué plusieurs dizaines de piratages informatiques responsables de très grandes fuites, comme l’éditeur de jeux vidéo Zynga.
Les premiers messages qui nous intéressent sont publiés le 23 octobre 2019. Sur Raidforums, un comptoir où des hackers malveillants signalent régulièrement des fuites de données, GnosticPlayers1 publie un copié-collé d’échanges qui se sont déroulés sur la messagerie sécurisée Jabber (c’était en anglais, traduit par mes soins).
“Honte à toi, Maxime T. (..) Je n'appelle pas le comportement que vous avez montré "reconnaissance". Nous aurions pu gagner beaucoup plus. Tu étais dans le vrai à propos de ma valeur. Tu sais pourquoi ? Parce que vous et Photon avez obtenu le reste grâce au piratage du Gatehub. Vous saviez que je m’en fichais et vous avez abusé de ma gentillesse.”
Le tout ponctué de quelques liens, aujourd’hui morts, qui devaient dévoiler des informations sensibles sur des comparses. Le même jour, sur un autre forum, Gnosticplayers s’excuse (toujours en anglais) à propos du hack.
“J’endosse l'entière responsabilité technique, écrit-il. Tout ce que je peux dire maintenant aux victimes, à Enej [le P-DG du site piraté], c'est "désolé". Je pourrais dire un million de fois que je suis désolé (..), le mieux que je puisse faire maintenant est d'accepter la justice et d'y faire face.”
Pour montrer que ce ne sont pas des paroles en l’air, le hacker repenti donne des indications sur la manière dont le hack a été réalisé. Le pirate aurait profité d’une fuite de la base de données de Gatehub, stockée sur un des cloud d’Amazon. Sans doute, l’a-t-on appris plus tard, le résultat du piratage du compte d’un informaticien de l’entreprise. Quoiqu’il en soit, en fouinant, le pirate y retrouve des identifiants de connexion qui vont lui permettre d’accéder à 18 473 comptes clients.
Dernier épisode: le 25 octobre, GnosticPlayers2 signe un nouveau texte sur Raidforums. L’auteur précise ne pas être GnosticPlayers1. Puis il jure que le commanditaire du hack de Gatehub est un troisième larron dont le pseudo est Nclay. Et donne enfin quelques précisions sur la brouille qui déchire le gang.
“Nous avons tous reçu environ 4 millions de dollars chacun. Mais c'est là que le problème a commencé. Nclay est devenu très irresponsable avec sa part d'argent et a tout dépensé pour s'acheter 3 voitures de luxe et a donné beaucoup d'argent à ses amis gratuitement.”
GnosticPlayers2 lâche également un nom: il s'appellerait Gabriel.
Alors, on ne sait pas si c’est vraiment Gabriel qui a signé Gabriel. Mais il y a bien un Gabriel B., un français d’une vingtaine d’années originaire de Tarbes, qui fait partie des suspects les plus importants de cette affaire.
On sait pas mal de choses sur lui parce que son CV de pirate est déjà bien fourni. Sous le pseudo Kuroi’SH, il avait été jugé avec son ami Prosox pour le piratage de la chaîne Vevo, commis en avril 2018.
Un coup d’éclat très puéril qui leur avait offert une importante notoriété. Ce hack avait simplement pour but de faire disparaître brièvement le clip vidéo Despacito du chanteur Luis Fonsi, alors crédité de plus de 5 milliards de vues sur YouTube (et donc le numéro 1 des vidéos, en vues).
On suppose que Gabriel a bien écrit certains des messages évoqués ci-dessus. Pourquoi? Et bien notamment parce qu’il s’en est ouvert sur des réseaux sociaux, renvoyant par exemple au thread publié sur l’un des forums.
Peut-être même que Nclay est aussi l’un de ses pseudos. D’une manière ou d’une autre, on sait qu’il est impliqué dans cette histoire. Il y a cette photo où on le voit poser, le genou sur une Porsche 911 GT3 RS bleu clair, un bolide à près de 200 000 euros. La preuve qu’il a réussi à amasser beaucoup d’argent, trop pour un jeune homme.
D’ailleurs Gabriel est jugé assez doué, techniquement, pour avoir fait tout ça. Mais vous pouvez être un génie du code et… Et bien ne pas avoir tous les codes, justement.
Quelques semaines après les échanges de post sur les forums, le hacker pousse avec sa mère les portes d’un commissariat de police. Imaginez, il est vêtu d’un simple pyjama ! Le jeune homme se présente de lui-même pour donner aux enquêteurs sa version. L’anecdote est du Parisien, qui a très bien raconté cette histoire.
Alors, il est clair que ces disputes entre hackers ont poussé l’enquête. Mais pas suffisamment pour permettre de clôturer le dossier, toujours ouvert par la justice.
Deux ans plus tard, on en est où? Gabriel et Prosox sont les deux grands suspects du piratage de Gatehub. Un troisième compère, Nassim, est également suspecté d’avoir donné un coup de main. Trois autres suspects sont eux poursuivis pour le blanchiment du butin.
Reste que tout n’est pas si clair sur les responsabilités des uns et des autres, c’est ce qu’on verra la semaine prochaine.
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer une bière - par exemple une Walbrew - c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
Sources
GNOSTICPLAYERS PART 1: AN OVERVIEW OF HACKERS NCLAY, DDB, AND NSFW
A hacker has dumped nearly one billion user records over the past two months
Exclusive — Hacker Steals Over 218 Million Zynga 'Words with Friends' Gamers Data
Over-Blog database, Raidforums.
GateHub Investigation - Final Statement
GnosticPlayers Megathread, Raidforums
Un jeune hacker jugé pour s’être attaqué à un site du ministère de la justice
Surdoués, immatures et flambeurs... ces hackers français ont réussi le cybercasse du siècle