L’époque la plus obscure est aujourd’hui

« L’histoire est très décriée ; c’est un tissu d’erreurs, nous dit-on, sans doute avec raison ; et les historiens rivaux exposent les erreurs les uns des autres avec satisfaction. Pourtant, le pire des historiens a une vision plus claire de la période qu’il étudie que les meilleurs d’entre nous ne peuvent espérer se former de celle dans laquelle nous vivons. L’époque la plus obscure est aujourd’hui ; et cela pour mille raisons de tendance incohérente, de rapports contradictoires, de masse et de multiplicité d’expériences ; mais surtout, peut-être, en raison d’un déplacement insidieux des repères. –Robert Louis Stevenson

Dire qu’il y a une chasse à l’homme des forces de l’ordre pour les personnes responsables de la publication d’informations sur les rapports de solvabilité de personnalités publiques et de célébrités au site escroc expose.su serait un euphémisme majeur. J’aime à penser que lorsque cette enquête sera terminée, certaines des informations que j’ai aidé à découvrir sur les personnes affiliées au site seront révélées. Pour l’instant, cependant, je me contente de retracer certains de mes pas du week-end dernier qui ont consisté à suivre les individus qui auraient pu être responsables de l’attaque de mon site et du SWATing de ma maison jeudi dernier.

Je déclare d’emblée que l’information contenue dans cet article n’est certainement pas toute l’histoire (la plupart des reportages d’actualité sont, au mieux, un instantané dans le temps, un premier brouillon de l’histoire). Bien que les indices que j’ai découverts jusqu’à présent indiquent le rôle d’un seul individu, cette personne fait probablement partie d’un groupe plus large impliqué dans des activités de piratage et de SWATing.

Dans mon histoire de la semaine dernière, j’ai posté une copie de la base de données interne pour booter.tw, l’un des nombreux sites « booter » payants. Les sites Booter sont peut-être les plus populaires parmi les amateurs de jeux en ligne, qui aiment les utiliser pour mettre leurs adversaires hors ligne ; mais ils sont fréquemment utilisés pour lancer des attaques débilitantes sur des sites Web. Cette fuite de base de données booter.tw montre que l’attaque par déni de service qui a frappé mon site la semaine dernière a été payée par un utilisateur booter.tw avec le nom de compte « countonme » et utilisant l’adresse « [email protected] ».

Depuis l’attaque, j’ai contacté le propriétaire de booter.tw, un hacker qui utilise le surnom « Askaa ». Il m’a informé que l’individu qui avait lancé l’attaque sur mon site était un hacker qui utilisait le pseudonyme Phobia. « Phobia a piraté le compte countonme pour donner l’impression que l’utilisateur en question vous a attaqué », a déclaré Askaa dans une brève interview par message instantané Skype. Askaa a refusé de dire pourquoi il était si sûr de cette information.

Par ailleurs, au cours du week-end, j’ai reçu un e-mail d’une personne qui prétendait avoir une connaissance directe des attaques (peut-être parce que lui aussi était impliqué). Cet individu a déclaré que ceux qui ont attaqué mon site étaient un groupe de jeunes passionnés de jeux vidéo en ligne qui étaient contrariés que plus tôt dans la semaine j’aie écrit sur ssndob.ru, un site qui vend l’accès aux dossiers de crédit des gens, aux numéros de sécurité sociale et autres information sensible.

Selon cette source, les pirates dans cette affaire appartiennent à une équipe de quatre joueurs Xbox Live qui se fait appeler « Team Hype », qui jusqu’au week-end dernier avait publié un certain nombre de vidéos sur leur propre chaîne youtube.com, RealTeamHype (plus sur ce qui est arrivé à ces vidéos dans un instant).

Selon la source anonyme, Team Hype se compose de hackers qui utilisent les surnoms «troyen, » « Ombre », Condamner » et « Phobie.” La source a déclaré que le groupe utilisait des SSN de ssndob.ru pour détourner des « gamertags », des personnages en ligne liés à des comptes de jeu Xbox Live. Dans ce cas, spécifiquement des employés de Microsoft qui travaillent sur le Xbox Live Plateforme de jeu. Certains membres du groupe alors vendre ces comptes à d’autres lecteurs Xbox Live.

« Ils piratent / ingénieur social Gamertags des employés de Microsoft en utilisant des SSN », a écrit la source. « Je n’ai pas DDoS sur votre site et je ne vous ai pas SWAT, Phobia a dit à tout le monde qu’il l’a fait. La méthode qu’il a publiée, il a dit qu’il obtient des SSN, puis appelle les compagnies de téléphone et redirige le numéro, puis obtient l’assistance téléphonique xbox pour appeler le numéro et confirmer. J’ai entendu dire qu’il était furieux que vous ayez publié le site qu’il utilise. De plus, Trojan a dit à un copain de la mine « craindre » (sur AIM) quelque chose à propos d’un cadavre dans votre placard à propos de votre swat.

La source a déclaré que Phobia utilisait le compte Twitter @PhobiaTheGod (maintenant fermé, mais partiellement , et que les informations personnelles de Phobia – y compris le vrai nom, l’adresse et le numéro de téléphone – avaient été « doxées » ou diffusées sur des sites de type Pastebin il y a quelque temps. Il n’a pas fallu longtemps pour localiser ce profil sur skidpaste.org (« skid » est une référence diminutive au terme « enfants de script», faisant référence à de jeunes pirates relativement peu qualifiés qui réalisent la plupart de leurs exploits à l’aide d’outils automatisés sans comprendre comment ces outils font réellement le sale boulot).

Après avoir regardé la plupart des vidéos sur la chaîne YouTube de RealTeamHype, il est apparu que ma source disait la vérité sur les comptes piratés : en fait, les vidéos de cette chaîne documentaient de tels détournements en cours à l’aide d’un logiciel de capture d’écran de bureau. Les vidéos montraient même des conversations avec d’autres membres de l’équipe dans des fenêtres de messagerie instantanée en arrière-plan.

Mais j’étais réticent à accorder beaucoup d’importance à l’information jusqu’à ce que la source m’envoie une information que seuls les attaquants et mon FAI auraient pu connaître. Vendredi, j’ai reçu un appel de Cox Communications, mon fournisseur d’accès Internet. Ils voulaient savoir pourquoi j’avais payé 3 000 $ sur mon compte en utilisant plusieurs numéros de carte de crédit différents. Je leur ai assuré que je n’avais pas effectué ce paiement. Puis j’ai entendu un membre de l’équipe de sécurité de Cox, qui m’a demandé si je réinitialisais mon mot de passe et si j’avais effectivement demandé d’annuler mon service Internet. Il n’a pas été surpris d’apprendre que je ne l’avais pas fait. Apparemment, les pirates ont réinitialisé le mot de passe de mon compte de messagerie Cox en trouvant la réponse à ma question secrète (ce compte est distinct de mon compte d’utilisateur Cox, a été créé il y a plus de 10 ans et n’a jamais été utilisé pour quoi que ce soit d’intéressant ou de sensible à distance ).

La source m’a dit par e-mail : « Hé Meguetaoui, je viens de parler de peur, il m’a dit phobie et ses copains lui disaient qu’ils avaient piraté ton e-mail cox et payé ta facture cox avec une carte de crédit piratée, je ne sais pas si c’est vrai mais je vous tiens au courant.

J’ai décidé d’appeler le numéro de téléphone inclus dans les enregistrements doxés de Phobia, qui a sonné dans une maison à Milford, CT. Un jeune de 20 ans nommé Ryan Stevenson pris le téléphone. Après m’être présenté, j’ai demandé à Ryan s’il savait quelque chose sur booter.tw, et il a dit qu’il ne s’embêtait pas avec les sites de booter parce qu’ils étaient boiteux.

J’ai alors demandé s’il faisait partie d’un groupe de jeu Xbox appelé TeamHype. Il a dit oui, mais qu’il n’avait pas été associé à ce groupe depuis six mois. Quand j’ai demandé pourquoi, il a dit que ses coéquipiers avaient appelé à plusieurs reprises sa maison en se faisant passer pour la police, et avaient même SWATed sa maison – ce que son père a confirmé en intervenant sur la voix de Ryan. J’ai dit à Ryan que je trouvais cela étrange, puisque la chaîne youtube de la chaîne vidéo de TeamHype a été créée le 26 décembre 2012 et que son compte youtube.com « Phobia » avait mis en ligne des vidéos de comptes Microsoft Xbox piratés aussi récemment qu’en février 2013. De plus, ces vidéos (comme celle reproduite ici) montrent Phobia envoyant des cris à ses copains.

https://www.youtube.com/watch?v=EB2BkYbeACI

Puis je me suis souvenu de l’endroit où j’avais entendu le surnom de « Phobie » : dans un conte terrifiant de Mat Honanune filaire.com journaliste qui s’est réveillé un jour l’année dernière pour découvrir que son Macbook et d’autres appareils Apple étaient effacés à distance de leurs données après que des pirates aient réussi à réquisitionner son compte Apple iCloud. Selon l’histoire de Honan, « Comment les failles de sécurité d’Apple et d’Amazon ont conduit à mon piratage épique», un hacker nommé Phobia l’a contacté peu de temps après l’incident. « Phobia a pu révéler suffisamment de détails sur le piratage et mes comptes compromis pour qu’il devienne clair qu’il était, à tout le moins, partie prenante à la façon dont cela s’est passé », a écrit Honan à propos de son calvaire. « J’ai accepté de ne pas porter plainte, et en retour, il a expliqué exactement comment le piratage fonctionnait. »

J’ai demandé à Ryan s’il connaissait Mat Honan. Voici un extrait de notre conversation :

MA: Je regarde une histoire dans le magazine Wired de Mat Honan sur la façon dont son compte Apple iCloud a été piraté. Connaissez-vous ce gars?

RS : Ouais, j’avais l’habitude de le faire.

MA: Euh euh. Et Honan fait-il référence à vous dans cet article ?

RS : Ouais.

MA Oui ?

RS : Euh hein.

MA: Est-ce que quelque chose de mal t’est arrivé à cause de ça ?

RS : Non.

MA: Donc, c’est ce que vous faisiez avec le piratage de Mat Honan, mais vous dites que vous n’utiliseriez jamais un site comme un stresseur ou…

RS : Ouais, je ne ferais jamais ça. C’est stupide.

MA: …ou pirater le compte d’un journaliste ou lancer une attaque par déni de service contre un journaliste, ou SWAT sa maison….

RS :

MA: Quel est donc l’intérêt de pirater le compte iCloud d’un journaliste ? Pourquoi as-tu fait ça ?

RS : Juste pour prouver un point que, comme… la sécurité peut être violée.

MA: Es-tu toujours sur Twitter ?

RS : Ouais. Mais j’ai changé mon nom d’utilisateur hier.

MA: Vraiment ? Pourquoi?

RS : Parce que je ne veux plus avoir affaire à des gens. Les gens appellent chez moi et prétendent être la police et tout ça.

MA: Ouais, je sais ce que tu veux dire. Alors, quel était votre ancien nom de compte Twitter ?

RS : Je pense que vous savez.

MA: PhobieLeDieu ?

RS : Euh.

MA: Alors, quel est votre nouveau pseudo Twitter ?

RS :

MA: Écoutez, c’est vous qui avez lancé l’attaque sur mon site ou pas ? Certains de vos copains de jeu semblent prêts à vous jeter sous le bus pour cela.

RS : Je ne savais même pas qui vous étiez jusqu’à ce que quelqu’un tweete votre site. Je suis juste allé voir de quoi il s’agissait.

À ce stade, le père de Ryan attrape le téléphone et essaie de me dire que son fils n’a pas vraiment dit qu’il avait piraté le compte iCloud de Mat Honan, mais que ce qu’il a vraiment dit, c’est qu’il a seulement savait le gars qui a piraté le compte de Honan. Le père de Ryan poursuit en expliquant que son fils est fondamentalement un bon garçon qui est tombé dans la mauvaise foule, et que son fils ne s’abaisserait pas à pirater d’autres personnes, et certainement pas à envoyer des équipes SWAT ou toute autre bêtise.

Je décide de partager avec le père de Ryan l’URL de la chaîne TeamHype sur youtube.com, et j’entends le père prendre des notes à l’autre bout du fil. D’après le vacarme dans le bruit de fond derrière la voix du père de Ryan, il est clair que quelqu’un tape furieusement sur un clavier d’ordinateur. Mes soupçons sont confirmés lorsque j’actualise la chaîne YouTube de TeamHype et que toutes les vidéos ont été supprimées (celle ci-dessus était en cache dans ma fenêtre, j’ai donc pu la réenregistrer).

Cet épisode entier me donne des flashbacks qui remontent à près d’une décennie, lorsque j’ai commencé à communiquer avec un groupe de hackers qui s’appelait Team Defonic. Ces jeunes hommes ont vécu positivement pour pirater et publier en ligne des données personnelles et des photos appartenant à des célébrités et des personnalités publiques. Ils étaient également obsédés par le pillage des bases de données pour les numéros de sécurité sociale et d’autres informations sensibles. La plupart d’entre eux ont été plus tard arrêté et emprisonnés pour leurs rôles dans entrer par effraction dans le téléphone portable de Paris Hilton et piratage de comptes chez Accuint une base de données d’application de la loi gérée par l’agrégateur de données LexisNexis.