Conseil de pro : si vous envisagez de lancer une attaque par déni de service débilitante contre votre ancien employeur, essayez de ne pas « aimer » la page Facebook du service Web DDoS à louer que vous avez l’intention d’utiliser dans l’attaque.
Dis ça à Kévin Courtoisun homme de 28 ans de Trois-Rivières, au Québec, qui était arrêté plus tôt cette année pour avoir prétendument lancé une volée de cyberattaques contre son ancienne société sur une période de neuf mois à compter de mai 2012. Courtois n’a pas répondu aux demandes de commentaires.
L’ancien employeur de Courtois — Concepta inc.., une entreprise de sécurité de l’information basée dans sa ville natale — n’était pas la seule à subir des attaques. Les agressions – dont la taille variait de quelques gigabits par seconde à 10 Gbps – ont pris une telle ampleur qu’elles ont commencé à affecter de manière significative le fournisseur de services Internet de Concepta – une autre société de Three Rivers appelée Xittel. Finalement, les attaques se sont déplacées pour cibler directement Xittel.
Xittel a ensuite embauché Robert Massé, un consultant en sécurité de Montréal qui a parlé des détails de cette affaire lors d’une conférence à la conférence sur la sécurité Black Hat à Las Vegas le mois dernier. Xittel et Concepta ont comparé leurs notes et ont dit à Masse qu’ils avaient choisi Cortois comme le coupable probable. Un indice potentiel : Cortois avait quitté Concepta pour créer sa propre entreprise spécialisée dans les services de protection DDoS.
Masse a déclaré qu’au début de son enquête, il avait remarqué que Courtois avait aimé la page Facebook de demolitionstresser.comun site de démarrage aujourd’hui disparu qui l’a redirigé vers… .attendez-le…ragebooter.net. Pour ceux d’entre vous qui n’ont pas lu mon histoire sur ragebooter.net et son propriétaire Justin Poland, veuillez la consulter après avoir lu cet article. Dans cette histoire, la Pologne a affirmé avoir travaillé pour le FBI, et même avoir détourné son propre service afin que les agents du FBI puissent espionner l’activité des utilisateurs.
Masse a déclaré qu’il avait décidé de contacter la Pologne pour voir ce qu’il serait disposé à divulguer à propos de tout client de ragebooter.net qui aurait utilisé le service pour lancer des attaques contre Concepta et Xittel. Masse a déclaré avoir créé un compte sur ragebooter.net, l’avoir financé avec 200 $ via le mode de paiement par défaut du site – Pay Pal – puis a contacté la Pologne via son support Skype. La Pologne serait-elle disposée à vendre les grumes d’un client particulier ? Dites….quelqu’un qui utilise actuellement ragebooter pour attaquer un certain bloc d’adresses Internet à Trois-Rivières, au Québec?
Selon Masse, la Pologne a d’abord répondu que, pourquoi oui, il y avait une attaque en cours à ce moment précis contre cette adresse IP. « Bien sûr, ce matin », a écrit Poland dans un chat Skype. « Première attaque le 25 novembre (2012). » Masse a déclaré que la Pologne avait ensuite collé les informations de compte d’un utilisateur nommé… attendez… « concepta2 ». Concepta2 s’était inscrit avec ragebooter en utilisant l’adresse e-mail [email protected], selon la base de données des utilisateurs de Ragebooter.net qui a été divulguée plus tôt cette année. Une recherche d’enregistrement WHOIS inversée historique sur domaintools.comcette adresse électronique a été utilisée pour enregistrer au moins 36 sites Web différents, la plupart d’entre eux initialement enregistrés au nom d’un Kevin Courtois du Québec.
Masse a déclaré que la Pologne avait rapidement pensé à publier les informations de ses clients dans une conversation Skype avec un inconnu et avait supprimé le message quelques secondes après l’avoir collé. Mais Masse a pu récupérer une copie du message en vidant le cache mémoire de son client Skype sur sa machine OS X.
Masse a également découvert qu’une personne utilisant le surnom de « concepta » avait posté sur hackforums.net qu’il cherchait à embaucher un botnet DDoS. Grâce à ces informations et à d’autres, Masse a pu obtenir un mandat de perquisition civil pour saisir et fouiller les ordinateurs au domicile de Courtois. Mais Masse a déclaré qu’en arrivant au domicile de Courtois avec des gendarmes locaux, un huissier et un serrurier, ils ont trouvé Courtois indifférent à l’intrusion, presque comme s’il s’y attendait.
Masse et son employeur soutiennent que Courtois avait déjà piraté l’ordinateur de son ancien patron, et savait donc à l’avance le jour et l’heure où les autorités viendraient le chercher, lui et ses affaires.
« Ce qui est drôle, c’est que lorsque nous sommes allés saisir le disque dur, il n’a pas eu l’air surpris car il a piraté le président de l’entreprise, donc il savait que nous venions », a déclaré Masse. « Le plus drôle, c’est que pendant qu’il utilisait un logiciel d’effacement de données pour effacer son disque, il n’effaçait que l’espace libre, mais n’effaçait pas ses sauvegardes. Ce type pensait qu’il était si intelligent, vous auriez dû voir le sourire narquois sur son visage.
Courtois a été arrêté pour utilisation non autorisée d’un ordinateur et pour mal aux données. Son procès est en cours.