Celui qui voulait pirater Twitter (3/4)
En quinze jours, la justice américaine boucle trois inculpations, une enquête express qui vise un adolescent et deux jeunes majeurs.
Bonsoir,
Voici le troisième volet de cette rocambolesque histoire de piratage de comptes Twitter en juillet 2020. Avant de reprendre le fil de notre histoire, si ce n’est pas encore le cas, voici le lien pour vous inscrire.
Souvenez-vous, les pirates des comptes Twitter n’ont pas pu profiter longtemps de leurs trouvailles. La durée de vie de l’arnaque s’est d’abord comptée en heures, une durée toutefois suffisante pour récolter l’équivalent de 120 000 dollars.
Mais surtout, dès la fin du mois de juillet, la justice américaine lance des premières inculpations, soit une quinzaine de jours seulement après les piratages. L’enquête express vise trois internautes: "Chaewon", "Rolex" et un troisième individu non identifié car mineur. C’est, selon toute logique, celui qui se cache derrière le pseudonyme de "Kirk".
Comment les enquêteurs ont-ils pu aller aussi vite? Puisqu’une partie des échanges a eu lieu sur Discord, ils demandent à la plateforme le 17 juillet de fournir les conversations de "Kirk" avec ses pairs. Le contenu obtenu laisse peu de place au doute : manifestement, "Kirk" vend des accès à des comptes et demande ensuite un paiement en crypto-actifs. Il a bien des associés, notamment "Ever so anxious". Les enquêteurs comprennent également que ce dernier est chargé de trouver des acheteurs pour les comptes. C’est donc l’un des commerciaux de la bande. Pour cela, il utilise son compte sur le forum OGUsers, "Chaewon", le pseudonyme repéré par le journaliste Brian Krebs lors de son enquête.
La piste du forum OGUsers est très intéressante pour Tigran Gambaryan, l’enquêteur star de l’Internal Revenue Service (IRS), l’un des services saisis, qui travaille sur ce dossier. Ce forum douteux avait été victime d’une fuite de données orchestrée par un forum concurrent, RaidForums. Le FBI s’était alors empressé de télécharger une copie de la base de données. Dedans, on y retrouve les messages, y compris privés, des utilisateurs mais aussi leurs adresses IP et leurs adresses de messagerie.
Et que découvre-t-on dans cette base de données? L'adresse IP de "Chaewon", ce 29 avril 2017, est la même que celle d’un autre utilisateur d’OGUsers, "Mas". Un compte associé lui à une adresse gmail. Et quand l’enquêteur demande à Coinbase - une plateforme pas interrogée par hasard, regardez ce graphique de Chainalysis - s’il existe une telle adresse dans ses fichiers, c’est le jackpot. Tigran Gambaryan obtient un nom et une copie de papiers d'identité. Il s’agit de Mason Sheppard, un garçon de 19 ans au visage juvénile qui vit au Royaume-Uni.
Dans les échanges Discord, il y a un autre internaute particulièrement suspect, “Rolex”. Comme Mason, c’est l’un des commerciaux du piratage, l’un de ceux qui va vendre des accès à des comptes Twitter compromis.Toutefois, il ne se contente pas de chercher des clients. On le voit dans l’historique des échanges sur Discord avec “Kirk”, c’est lui qui suggère par exemple de faire un barème de prix.
Pour identifier "Rolex", les enquêteurs utilisent la même méthode que pour Mason. D’abord, ils cherchent les liens entre le compte Discord qui a communiqué avec “Kirk” et l'utilisateur OGUsers ayant vendu des accès à des comptes volés. Facile, il utilise "Rolex" sur les deux plateformes. Mais on le sait aussi parce qu’il a partagé un screenshot de son compte OGUsers sur Discord pour prouver son identité.
Cette info permet à nouveau de faire le lien avec une adresse gmail et une adresse IP en Floride. Là encore, les enquêteurs regardent chez Coinbase les comptes pouvant correspondre. Bingo, ils retrouvent la même adresse IP pour la connexion aux trois services clés : Coinbase, Discord et OGUsers. “Rolex” s’appelle en fait Nima Fazeli, et c’est un homme de 22 ans d’Orlando, en Floride.
Il est temps désormais de parler de “Kirk”, visiblement le cerveau de cette histoire. Alors petite déception: on sait moins de choses sur la façon dont il a été identifié par les enquêteurs parce qu’il n’est pas encore majeur à son arrestation. Lot de consolation: ses méfaits ont par contre été particulièrement documentés. Ce qui permet de comprendre quel genre de personnage est “Kirk”, à la fois un génie dans sa spécialité et un gamin odieux.
On va d’ailleurs arrêter de l’appeler par son pseudo, puisque très rapidement son identité est divulguée par la justice américaine. “Kirk” s’appelle donc Graham Ivan Clark. Il a 17 ans et comme Nima, il vit en Floride. C’est le seul point commun, car on va voir que Graham a un profil particulièrement déroutant. Allez voir d’ailleurs sa photo prise au bureau du shérif de Hillsborough. Le jeune homme aux cheveux courts et au regard pénétrant fixe l’objectif, un demi-air narquois au bord des lèvres.
Commençons par l’enquête: on comprend qu’il aurait commencé à lorgner sur l’accès à l’interface interne de Twitter à partir du 3 mai 2020. Soit donc plus de deux mois avant les piratages, qui ont commencé le 14 juillet proprement dit. Retenez cet intervalle, ça nous resservira un peu plus tard. Mais en attendant, revenons le plus loin possible dans le passé de Graham Clark. Je vous avais déjà parlé de l’addiction au jeu Minecraft et à ses dérives dans l’épisode sur le botnet Mirai. Ce jeu en ligne très populaire a aussi eu un rôle central pour notre pirate.
L’adolescent, dont les parents sont séparés - il vit avec sa mère, d’origine russe -, commence ses premières pérégrinations sur la plateforme à partir de ses dix ans. Ne me faites pas dire ce que je n’ai pas dit. Evidemment, des millions d’adolescents ont des parents divorcés et s’amusent sur Minecraft sans devenir des criminels sans foi ni loi. Mais regardons donc ce qu’il s’est passé précisément pour Graham Clark.
A partir de ses 13 ans, il joue à une variante de Minecraft, le Hardcore Factions. C’est un mode où il s’agit de défendre en groupe un territoire et d’envahir d’autres. C’est d’ailleurs plus qu’un jeu en ligne, c’est en quelque sorte une cour de récré géante, sans surveillants, où il va apprendre les bases du vol, du mensonge et de l’arnaque.
En l’espace d’un an, courant 2016-2017, l’adolescent, qui utilise les pseudos “Open” ou “Open HCF”, devient un joueur toxique très bien identifié. Sa mauvaise réputation est le reflet d’une activité malveillante intense.
L’adolescent vend par exemple cette cape numérique 50 dollars et oublie de la livrer. Il a vendu également, remarque le New-York Times, des noms d’utilisateurs. Dont le sien, “Open”, vendu pour 100 dollars, mais jamais transmis à l’acheteur…
Graham Clark jubile de ses trafics douteux. Il se vante ainsi de gagner 5000 dollars par mois. Cet arnaqueur notoire n’hésite enfin pas à faire des attaques par déni de service pour écarter d’autres joueurs ou se venger, tout simplement.
Mais il va rapidement délaisser Minecraft pour d’autres terrains de jeu.
On en reparle la semaine prochaine,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Si vous voulez me payer un café, vous savez ce qu’il faut faire (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
Three Individuals Charged For Alleged Roles In Twitter Hack
Thread Twitter Chainalysis, 1er août 2020
How the FBI tracked down the Twitter hackers
US arrests 17-year-old 'mastermind' Graham Ivan Clark in massive Twitter hack, Bitcoin scam
From Minecraft Tricks to Twitter Hack: A Florida Teen’s Troubled Online Path