Ceux qui s’intéressaient aussi aux écologistes
Où l'on découvre que le hacker du laboratoire national de dépistage du dopage avait une autre cible à son actif
Bonjour,
Bienvenue pour la suite de cet épisode de Pwned sur des cyber barbouzeries françaises. Mais tout d’abord, si vous n’êtes pas inscrit à cette newsletter sur le cybercrime, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
Rembobinons tout d’abord l’épisode précédent. En octobre 2006, le laboratoire national de dépistage du dopage a été piraté. L’organisme s’en est rendu compte parce qu’il a été prévenu qu’un corbeau tentait de discréditer auprès de confrères canadiens ses analyses concernant Floyd Landis. Le cycliste va rentrer dans l’histoire de ce sport pour avoir été le premier (à quelques jours près avec Bjarne Riis) à être déchu de sa victoire au Tour de France pour cause de dopage.
A l’issue d’une enquête de 18 mois, deux suspects sont identifiés : Arnie Baker, le coach de Floyd Landis, suspecté d’avoir mis la main sur des documents piratés. Et Alain Quiros, soupçonné lui d’être le pirate informatique.
La trentaine avancée, Quiros est un ancien sapeur-pompier volontaire, qui a travaillé dans plusieurs grandes entreprises de la défense comme responsable de la sécurité. A partir des années 2000, il bifurque dans le conseil et l’audit, toujours dans la sûreté, en France et au Maroc. Par exemple, il a planché sur la vidéosurveillance de la Tour Eiffel ou fait un audit de sûreté du réseau La Poste.
A l’époque, les policiers chargés de l’enquête le localisent à Eaubonne, dans le Val d’Oise, puis au Maroc. Une commission rogatoire est alors envoyée au royaume chérifien. Dans un double raid, les policiers marocains débarquent chez Alain Quiros en juillet 2008, tandis que leurs homologues français investissent dans le même temps son ancien bureau à Paris.
La moisson va être très bonne. Certes, après le départ d’Alain Quiros de son ancienne entreprise, le disque dur de son ordinateur a été reformaté et réinstallé. Mais les policiers y retrouvent quand même des traces de navigation sur No-IP.com et des références à des chevaux de Troie ou d’autres outils de piratage informatique.
Surtout, une bonne surprise attend les policiers au Maroc. A Casablanca, la police locale a saisi des CD-Rom et un disque dur. Ils sont expédiés le 4 novembre vers la France. Les analyses vont renforcer les suspicions des enquêteurs à l'égard de Quiros, avec des traces qui renvoient au laboratoire antidopage piraté. Les policiers retrouvent aussi le programme malveillant Bifrost.
Mais surtout, ils tombent sur un fichier chiffré qui va finir par parler. Il s’appelle “Latotale.mpg”. C’est censé être un fichier vidéo, mais c’est en fait une archive Truecrypt, un logiciel d’archivage chiffré. “C’est là qu’on a découvert un certain nombre de choses”, remarque, de manière elliptique, un ancien enquêteur, auprès du Télégramme.
Après avoir fait déchiffré le fichier par le Centre technique d’assistance, une structure du ministère de l’Intérieur, les policiers découvrent en effet un butin extraordinaire. Parlons d’abord d’une première nouvelle affaire. Quiros semble avoir été chargé d’espionner Greenpeace ! Les enquêteurs trouvent ainsi 1420 documents non publics relatifs à l’organisation écologiste, dont des enregistrements qui visent directement Yannick Jadot.
Le sénateur écologiste est alors le directeur des campagnes de Greenpeace France. L'ONG mène à l'époque des actions qui font tousser l’industrie de l’énergie mais aussi les militaires. Comme avec cette entrée en Zodiac dans la base de sous-marins de l’Île-Longue à la pointe de la Bretagne en 2005 qui lui vaudra une condamnation pour “atteinte aux intérêts supérieurs de la nation”.
Le commanditaire de l'opération est dévoilé à la fin mars 2009 par Mediapart, quelques jours après un autre article du Canard Enchaîné : EDF aurait fait espionner Greenpeace. Le site d’investigation raconte que le numéro 2 de la sécurité du géant de l’électricité français vient d’être mis en examen dans cette affaire. Quelques années plus tôt, EDF a en effet demandé à une entreprise d’intelligence économique, Kargus Consultants, de surveiller les activités des anti-nucléaires. Cette boîte est dirigée par Thierry Lorho, un ancien espion de la DGSE.
Ce dernier explique à la justice qu’il s’agit d’une “veille stratégique”: “une veille informatique web complétée par du travail sur le terrain, assister aux réunions, assister aux manifestations de ces mouvements, être présent en cas de crise, prendre la température de ces organisations”, raconte Mediapart, le tout pour 13 500 euros par mois pendant neuf mois, suivi d’un second contrat d’un an de 4660 euros par mois.
La date des premiers piratages de Greenpeace n’est pas très claire. En 2004, Kargus Consultants, la boîte de Thierry Lorho, signe son premier contrat avec EDF. Mais la présence d’un cheval de troie dans l’ordinateur de Yannick Jadot n’est attestée qu’en septembre 2006. Une cible très intéressante : son job est de médiatiser les actions de l’ONG écologiste, il est forcément au courant de ce qui se prépare.
Mais que vient faire Alain Quiros dans cette galère? Selon ce dernier, tout a commencé en 2005, dans un café près du Cercle militaire parisien, à côté de l’église Saint-Augustin. Thierry Lorho aurait alors présenté à Alain Quiros un quinquagénaire aux cheveux gris : le directeur de la sécurité d’EDF. L’ancien agent de la DGSE demande alors au hacker autodidacte d’aider EDF à pénétrer l’informatique de Greenpeace.
En parallèle de son activité de consultant, Quiros s'intéresse en effet de près aux techniques de piratage informatique. Et il est passionné par le pedigree d'ancien espion de Thierry Lorho. Le hacking lui permet ainsi d’entrer dans le cercle du renseignement. Celui qui est passionné depuis son adolescence par l’informatique s’est formé sur des forums pour apprendre les méthodes de piratage. Ironiquement, l’un des points de départ de cet attrait pour le numérique est un cheval de Troie : il avait été piqué au vif quand il avait découvert qu’il avait été piraté.
S’il n’est pas “un débutant, il a appris la plupart de ce qu'il sait sur le Net, sans connaissance informatique poussée”, remarque alors Libération, parlant d’un “hacker du dimanche”. C’est vrai qu’il a commis quelques grosses erreurs. Par exemple, après la révélation du piratage du laboratoire antidopage français, il cherche à savoir sur Google si l’enquête le met en cause, en tapant “lndd quiros dgse”. La mention LNDD signifie ici "Laboratoire national de dépistage du dopage". Une recherche qui n'est pas vraiment recommandée si vous ne souhaitez pas laisser de traces.
Ce portrait d’un amateur pas très doué est quand même un peu sévère. Quiros est tout simplement un autodidacte qui n’a certes pas de capacités très poussées en programmation, mais qui est assez averti pour arriver à pirater ses cibles avec des produits préconçus et mis en vente en ligne. Dans son bouquin “Profession Caméléon”, Thierry Lorho brosse le portrait d’un geek passionné qui cherchait à prouver ses compétences en sécurité informatique. “Efficace, il entre quasi partout. Pas un ordinateur ne lui résiste”, assure-t-il.
L’ancien espion racontera plus tard que son contact à EDF lui a glissé trois adresses email. “Ce serait bien d’en avoir un des trois sous surveillance”, lui aurait-on dit. Aussitôt dit aussitôt fait. Lorho demande à Quiros de s’intéresser à la boîte mail de Yannick Jadot. Quelques jours plus tard, après avoir installé des chevaux de troie pour connaître à l’avance les futures actions des écologistes, l’informaticien remet à Lorho un CD-ROM rempli de fichiers volés sur la boite mail du directeur de campagne de Greenpeace France.
La première affaire du laboratoire antidopage piraté a donc permis d'en révéler une autre toute aussi intéressante. Mais les appareils informatiques de Quiros n'ont pas fini de révéler tous leurs secrets.
On en parle la semaine prochaine,
Bonne journée,
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex), vous avez également ma page Tipeee.
Sources
Floyd Landis reconnu coupable et déchu de son Tour
Erwan Bouliou. Dans la peau du policier 2.0
Yannick Jadot, candidat inattendu
EDF aurait fait espionner Greenpeace
Thierry Lorho, pour son livre "Profession caméléon"