Comment les pirates informatiques sont-ils repérés ?

Tout d’abord, je vais expliquer comment le pire criminel informatique qui soit se fait attraper. Ensuite, j’expliquerai pourquoi ce n’est pas toujours aussi simple.

Dans le cas le plus simple :

Nous partons du principe que l’attaquant a choisi une cible et a réussi à atteindre ses objectifs (le « comment » de ce fonctionnement est une toute autre question).

Pour qu’un attaquant réussisse à attaquer une cible, il doit y avoir des traces qui mènent à lui. L’astuce, comme nous le verrons plus tard, consiste à cacher/obfusquer cette piste afin qu’elle ne puisse pas être suivie efficacement. Encore une fois, dans cet exemple, nous supposerons que l’attaquant ne sait absolument pas comment brouiller les pistes.

La victime signale l’intrusion aux autorités, ainsi que les données qu’elle a trouvées dans le cadre de ses propres enquêtes internes. Souvent, il ne s’agit que d’une ou plusieurs adresses IP.
Les autorités (FBI, services secrets, inspecteurs des postes, fournisseur privé de services d’intervention en cas d’incident) peuvent mener leur propre enquête d’expertise informatique pour valider les informations fournies par la victime.
Les autorités demandent au FAI de leur fournir des informations afin de déterminer qui possède ou utilisait les adresses IP à l’origine de l’attaque. Le FAI devrait être en mesure de fournir aux autorités un nom et une adresse physique.
Les autorités obtiennent une réquisition, se présentent et saisissent tous les ordinateurs à l’adresse donnée (nous supposons qu’il s’agit du criminel informatique le plus stupide qui soit, et qu’il s’agit donc de son domicile).
Notre criminel débile aura laissé sur les ordinateurs saisis toutes sortes de preuves incriminantes qui apparaîtront lors de l’enquête médico-légale. L’historique de navigation révélera l’intérêt ou les efforts déployés pour apprendre à pirater, les journaux et les artefacts du système montreront l’utilisation des outils de piratage utilisés lors de l’intrusion et les autorités pourront également trouver des copies de données volées à la cible (en supposant que le vol de données précieuses était le but de l’attaquant).
L’attaquant est officiellement inculpé et poursuivi en justice.

Il existe des criminels stupides (comme j’aime à le dire à mes enfants, s’ils étaient intelligents, ils n’auraient pas besoin d’enfreindre la loi pour gagner de l’argent) et certains cas simples se produisent.

Parfois, ce n’est pas l’argent qui est en jeu, mais un ex-employé, un ex-conjoint ou un futur ex-conjoint en colère.

Il est difficile de donner une réponse courte si l’on entre dans les détails des efforts déployés par un attaquant pour dissimuler sa trace. Les étapes 2 et 3 ci-dessus sont les endroits les plus courants où la piste peut se perdre pour les autorités.

Il existe une myriade de moyens pour l’attaquant de cacher sa véritable identité, son IP et sa localisation

  • L’IP peut être retracée jusqu’au réseau wifi d’un café.
  • Elle peut être tracée vers un autre pays ou un proxy anonyme.
  • Vous pouvez aussi remonter jusqu’à une personne et découvrir que son système est infecté par un logiciel malveillant, ce qui permet à l’attaquant d’utiliser sa machine pour l’attaque à l’insu de son propriétaire.
  • L’attaquant a peut-être engagé quelqu’un d’autre pour commettre le crime à sa place. Ce ne sont là que quelques exemples de la façon dont un agresseur peut rendre difficile sa traçabilité.

Comment pouvez-vous être pratiquement 100% anonyme tout en piratant ?

  1. Achetez un ordinateur portable bon marché dans un magasin d’ordinateurs d’occasion et payez en liquide.
  2. Installez Linux dessus (peut-être Kali puisque vous voulez pirater).
  3. Allez dans des endroits avec du wifi public et connectez-vous à internet.
  4. Si vous êtes paranoïaque, ajoutez un VPN no log, afin de pouvoir réutiliser l’ordinateur portable que vous venez d’acheter.
  5. Vous devez également être anonyme, alors payez le VPN avec une carte de crédit prépayée ou des bitcoins ou tout autre moyen de paiement anonyme.
  6. Dans ce cas précis, le seul lien entre vous et le piratage est l’ordinateur portable. Si la victime veut vous retrouver, elle ne peut obtenir que l’adresse MAC de votre ordinateur et l’adresse IP utilisée pour le piratage.
  7. Si vous avez activé un VPN, ils ne pourront peut-être pas aller plus loin que le fournisseur de VPN, car les fournisseurs de VPN sans logs sont fiers de ne pas avoir de logs d’accès (leur activité dépend de cette vérité).
  8. Il y a d’autres moyens de vous attraper, comme une vidéo de vous utilisant le wifi public au moment du piratage ou abandonnant un ordinateur portable, ils peuvent avoir suffisamment de preuves circonstancielles pour vous arrêter.

A noter

Il existe des applications-espionnes qu’un de vos proches peut installer de manière invisible dans votre téléphone.

Elles rappatrient ensuite vos mots de passe mais aussi vos discussions sur les réseaux sociaux et vos SMS/MMS.

D’un autre côté, les attaquants font souvent des erreurs stupides même lorsqu’ils parviennent à bien dissimuler leurs traces

Anonymous en donne un excellent exemple :

l’attaquant nargue les autorités en publiant une photo sur Twitter, se vantant de son rôle dans une attaque. Twitter associe par défaut des coordonnées GPS aux téléchargements de photos.

De très nombreux criminels informatiques se sont fait prendre parce qu’ils n’ont pas pu résister à l’envie de se vanter ou de fanfaronner. Parfois, ils sont pris par des moyens très simples :

  • Se vanter lors d’un appel téléphonique après que les soupçons des autorités aient abouti à une mise sur écoute.
  • Ils s’en vantent au travail.
  • Dans un bar.
  • Sur les réseaux sociaux.

Nombreux sont ceux qui ne se font pas prendre, car les efforts déployés pour enquêter sur les délits informatiques sont généralement beaucoup plus importants que les efforts nécessaires pour les commettre.

Souvent, le délit ne justifie pas que l’on passe des centaines d’heures à essayer d’obtenir des enregistrements auprès d’un FAI sud-africain ou à essayer de démanteler un petit botnet géré par la mafia russe. En raison des ressources limitées, seuls les délits informatiques les plus importants font l’objet d’une enquête.

Comment les pirates informatiques savent-ils qu’ils ont été pris ?

En général, ils le savent quand la police se présente à leur porte.

Je suis sérieux. Ce n’est pas comme dans les films hollywoodiens ou les séries télévisées mal écrites, lorsqu’une alerte rouge « warning ! » apparaît à l’écran avec un compte à rebours, et que le pirate se dit :

« Oh non ! Ils ont franchi le pare-feu ! Je dois réacheminer la connexion dans les quatre prochaines minutes et trente secondes ou ils vont me tracer ! » .

En général, on les attrape des semaines, des mois ou des années après le piratage, lorsque des spécialistes en informatique légale de la Gendarmerie ou d’un autre organisme d’application de la loi font une autopsie de l’attaque :

  • en lisant soigneusement et minutieusement des centaines (ou des milliers) de pages de fichiers journaux
  • en comparant l’attaque à d’autres attaques
  • en décompilant le code de l’attaque
  • et en faisant mille autres choses fastidieuses qui prennent toutes du temps
Des assignations à comparaître sont délivrées aux fournisseurs de services.
D’autres fichiers journaux sont lus et analysés.
Des réquisitions sont émises.
Les serveurs sont saisis et clonés.
Et finalement, dix-huit mois plus tard, le pirate se fait attraper lors d’une descente de police totalement inattendue à 3 heures du matin.
hackerpiraterpolice