Celui qui voulait siphonner la Citibank (3/3)
Comment un groupe de hackers russes est en fait à l'origine du casse inédit.
Bonjour !
Bienvenue pour le dernier volet de cet épisode de Pwned sur l’affaire du piratage de la Citibank, dans les années 1990. Si vous n’êtes pas inscrits, voici le formulaire pour recevoir directement ce message dans votre boîte mail.
Ces dernières semaines, pour rappel, on a vu comment Vladimir Levin était devenu le principal suspect dans l’affaire du casse à 10 millions de dollars de la Citibank, en 1994. Puis comment, après une aide précieuse de la police russe, il avait finalement été arrêté à l’aéroport de Londres l’année suivante.
Mais il y a donc encore des choses à dire sur cette histoire. D’abord l’épilogue judiciaire. Trois ans plus tard, Vladimir Levin est condamné à 3 ans de prison par un tribunal New-Yorkais après une procédure de plaider coupable. Le Russe doit également verser 240 000 dollars à la banque pour son préjudice.
Compte-tenu des 30 mois passés en détention en Angleterre, où il contestait son extradition, Vladimir Levin n’a que six mois de prison à faire avant d’être de nouveau libre. A sa sortie de prison, Vladimir Levin disparaît vers l’Europe.
On retrouve finalement sa trace en 2000, quand il revient voir la police de Saint-Pétersbourg. Alors c’est assez étonnant, mais de lui-même, l’informaticien déballe aux policiers sa technique.
Sa confession était peut-être d’abord un moyen de montrer qu’il n’a rien d’un Kevin Mitnick - il y aura forcément un Pwned sur ce hacker célèbre un jour. Il explique ainsi qu’il suivait bêtement des instructions écrites sur un morceau de papier. L’histoire ne dit pas (encore) de qui viennent ces listes de commandes.
Comment dont Vladimir Levin, ce russe qui ne parlait pas si bien anglais, a-t-il pu pirater la banque américaine? Et s’il ne comprenait pas ce qu’il faisait, s’est-on trompé de coupable?
Oui et non. Oui, Vladimir Levin n’a pas découvert la faille permettant de pénétrer le réseau informatique de Citibank. Mais non, c’est bien lui qui a bien tenté de faire des virements frauduleux.
Il faudra attendre novembre 2005 pour avoir le fin de mot de l’histoire, grâce à un hacker russe, ArkanoiD. Au passage, son pseudo fait référence au jeu vidéo mythique qui a posé les bases du casse brique (et failli entraîner de sévères problèmes d’apprentissage de la lecture chez le relecteur de Pwned, Mnyo, devenu accro).
La véritable histoire du casse de la Citibank est plutôt surprenante. Car cette affaire alors inédite a débuté juste à cause de la recherche d’un simple accès gratuit au réseau. A l’époque, au début des années 1990, Internet est encore balbutiant.
Le groupe de hackers d’ArkanoiD, une douzaine de personnes, dit-il, s’intéresse de près à un autre protocole, X.25, alors beaucoup utilisé. C’est une norme lancée par le Cnet en France, sur laquelle s’appuyait par exemple le Minitel. Les hackers vont tout simplement exploiter une faille déjà dévoilée publiquement.
Le magazine de piratage Phrack vient effet de publier une liste de numéros pour se connecter à des nœuds Sprint, l’un des fournisseurs d’accès. “Cela ressemblait à quelque chose d'incroyable: vous appelez un numéro de téléphone fixe et accédez ensuite aux nœuds du monde entier”, racontait ArkanoiD dans cette interview.
“Il était presque impossible de ne pas prêter attention à Citibank, qui y occupait un réseau séparé”, se souvenait-il également. La banque américaine utilise en effet le réseau Sprint. Et en fouinant dans tous les recoins, que trouvent les hackers russes? Bingo, un serveur où ils vont pouvoir obtenir des login de comptes administrateurs.
Les hackers sont dans la place, mais que vont-ils faire? N’oublions pas, ce sont des geeks. Ils lisent des messages sur le forum interne et dans les messageries, trouvent des vulnérabilités en pagaille, utilisent les ressources de l’entreprise pour se connecter à internet depuis l’un des routeurs au Chili…
Et ils vont jouer à un jeu basé sur Star Trek (peut-être celui-là). “Ce projet n'avait pas de but précis, précise encore ArkanoiD. C'était un défi, ce n’était pas une fin en soit et on n'allait pas voler de l'argent.”
Un des hackers - son pseudo est Bukazoid - trouve toutefois l’ordinateur utilisé par les employés pour transférer les fonds d’une banque à une autre. Les hackers ne vont pas directement exploiter cette faille. Pourquoi? Peut-être parce qu’ils étaient d’abord motivés par la curiosité.
Sans doute surtout parce qu’ils n’avaient pas de mules - et sans l’envie de se coltiner le gang Tambov - et parce qu’ils avaient la conviction que le crime parfait n’existait pas. Faute de maîtriser toute l’informatique de Citibank, un transfert frauduleux ne manquerait pas d’être découvert.
C’est parce qu’elles étaient discrètes que les opérations des hackers russes sur le réseau de Citibank n’étaient pas risquées. Après les tentatives de braquage de Levin, Citibank finit d’ailleurs par fermer la porte d’entrée utilisée par les hackers sur le réseau X.25.
Mais alors, comment Levin a-t-il réussi à se mettre dans les pas des hackers? Hé bien, l’un d’entre eux, l’histoire ne dit pas qui précisément, aurait vendu la recette des faux virements pour seulement 100 dollars… Et bien sûr, Levin s’est fait prendre, privant les pirates russes de leur terrain de jeu favori.
Vladimir Levin n’a laissé aucune trace depuis sa dernière confession à la police russe. Il a fait profil bas depuis, que ça soit par discrétion ou pour échapper à ses anciens partenaires. Tout le contraire d'ArkanoiD, de son vrai nom Alexey Smirnov, qui est devenu entre temps l’une des figures de la sécurité informatique russe.
A bientôt pour une prochaine histoire de cybercrime,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer une bière - par exemple un Russian Imperial Stout - c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources:
L'affaire Levin : le chaînon manquant
Les débuts du réseau public français de commutation de données par paquets
Entretien avec Alexey Smirnov alias Arkanoid
Comment l'un des plus grands piratages bancaires de l'histoire a eu lieu