Actualité

 

Hacker Croll arrêté

Publié le 25-03-2010 à 00:09:31 dans le thème Lois - Justice

Pays : France - Auteur : La rédaction


Pub : Tous les antivirus en ligne pour désinfecter votre ordinateur


Note des lecteurs: 3.1/5

Pour avoir piraté le compte Twitter de Barack Obama, Hacker Croll vient d´être arrêté. Histoire d´un social engeenering serial killer !

L'Office central de lutte contre la criminalité liée aux technologies de l'information (OCLCTIC), secondé par quatre agents du FBI, a mis la main, mardi matin, sur un pirate informatique qui avait fait parler de lui en mai et juillet dernier. Hacker Croll, un jeune auvergnat de 25 ans, a été mis en garde à vue mardi matin. Il a été relâché ce mercredi soir. Une enquête avait été lancée à la suite du piratage du compte Twitter du président américain Barack Obama. En investigation lancée par le FBI et qui vient de se conclure au commissariat de Clermont-Ferrand. Parmi les personnalités visées par le jeune homme, le président des États-Unis d'Amérique, mais aussi Britney Spears. Ce pirate informatique avait contacté la rédaction de ZATAZ.COM en mai dernier pour nous expliquer comment il avait pu mettre la main sur des milliers d'informations appartenant à Twitter et les dirigeants de portail de micro blogging. Hacker Croll, va diffuser les mêmes documents, en juillet 2009, via plusieurs blogs. D'après la porte parole de l'OCLCTIC, Adeline Champagnat, le pirate auvergnat a agi seul et n'avait pas de formation spéciale en informatique. Il passera devant le tribunal correctionnel de Clermont-Ferrand le 24 juin prochain. D'après l'AFP, Hacker Croll aurait aussi orchestré de "petite" escroquerie sur Internet qui lui aurait rapporté 15.000 euros.

Avril 2009

Toute l'affaire Hacker Croll a débuté fin avril 2009. Un mystérieux internaute diffuse, via le le forum de ZATAZ.COM, plusieurs captures écrans montrant ce qui ressemblaient à des espaces d'administrations du site de micro blogging Twitter. Difficile, à l'époque de s'assurer de la véracité des données. Pour prouver ces dires, quelques jours plus tard, de nouvelles captures écrans montrant le fonctionnement interne de l'administration du concurrent de Facebook s'affichaient dans le forum de ZATAZ.COM. Parmi les informations volées chez Twitter, un fichier datant du 18 avril baptisé "Incident write-up for Mikeyy Worm Attack, Part 6". Il retraçait la petite aventure du virus ayant visé le site communautaire. Il a fourni le code lié à l'attaque et les liens qui allaient avec. Nous allons rentrer en contact avec lui, via MSN. Il nous fournira, comme preuve ultime, plusieurs milliers d'informations sur Twitter, ses dirigeants, des vedettes américaines, ...

Parmi les données qu'il a réussi à trouver et voler, des données sensibles d'Evan Williams (co-fondateur de Twitter) ; Kevin Thau ; Margaret Utgoff, Anamitra Barneji; Andrea Ramirez; Biz Stone (l'autre co-fondateur); Britt Selvitelle; Caroline Mizumoto; Crystal Taylor; Doug Bowman; Doug Williams; Evan Weaver; Jason Goldman; Jay Edwards; Jeremy LaTrasse; Krissy Bush; Ryan King; Vitor Lourenço et l'épouse de Williams, Sarah Morishige.

Plus étonnant encore, des informations sur des comptes Apple Store, Gmail, Amazon, Facebook, MobileMe, Paypal, des détails de communications téléphoniques, ... Tout ça en pillant allègrement dans les comptes eMails préalablement piratés des fondateurs de Twitter, leur employés, ... Bref, Kévin Mitnick, roi du Social Engineering avait déjà engendré des enfants. Avec cette affaire, the Condor vient de croiser le meilleur des disciples.

Le 17 juin, il est 12h42. Avec l'autorisation de Hacker Croll, la rédaction de ZATAZ.COM rentre en contacte avec Twitter et Evan Williams, son co-fondateur. Notre but, avertir la société de la fuite et permettre à l'internaute de s'expliquer. Notre courriel trouvera une réponse à 23h32. Décalage horaire oblige, Evan Williams, nous invite à le rejoindre sur MSN. Durant plusieurs heures, nous allons expliquer à Evan Williams comment le français avait réussi, avec un peu de finesse et de social engineering, à mettre la main sur les données.

La prise de contacte effectuée. L'ensemble des mots de passe, accès, ... ont été corrigés. Hacker Croll avait annoncé qu'il ne diffuserait pas les informations maintenant que son action d'alerte avait été entendue. Nous nous sommes permis, cependant, de demander à Evan Williams si une compensation pouvait être réfléchie à l'attention du jeune surfeur. Evan Williams n'y voyait pas d'inconvénient et avait promis d'y réfléchir. "Heureusement que t'étais là, confiait Hacker Croll à ZATAZ.COM, Sinon j'aurai tout diffusé n'importe comment comme je l'avais fait pour l'admin Twitter". Seulement, les jours ont passé. Evan s'en est allé, sans plus jamais donner de nouvelle, et Hacker Croll a préféré diffuser les documents, mi juillet, via plusieurs blogs, dont Techcrunch. Il trouvait alors que son "action" n'avait pas été assez médiatisée.

Nous n'avions pas prévu de parler de cette histoire. D'abord parce que nous espérions que Twitter aurait fait un geste à l'encontre de cet internaute. Ensuite, nous avons vécu plusieurs centaines de cas identiques. Notre but étant, dans ce type de chose, d'aider à corriger, que notre source ne soit pas inquiétée et qu'elle puisse être remerciée. Ethniquement parlant, il est aussi difficile de diffuser des documents volés. La législation française est assez regardante sur ce quelle nomme « Recel d'objets volets ». Dans ce cas, des données bancaires, des courriels, des mots de passe, ...

Rencontre du 3e type

Il nous aura fallu un petit mois, nous sommes alors en juin 2009, pour rentrer concrètement en contact avec Hacker Croll. Étudiant, Hacker Croll est passionné par le social engineering, l'étude d'une cible afin d'en extraire un maximum d'informations. Avec Twitter, Hacker Croll semble avoir tiré le jackpot. Révélation !

 

ZATAZ : Que veut dire Hacker Croll ?
Hacker Croll : C'est un clin d'œil. Quand j'étais jeune, dans mon pays, la grande mode était au jeu Pac-man. Hacker Croll fait référence au créateur d'un vieux jeu de Pac-man, sur pc, baptisé Greedy et édité par Eclipse Software. Des anciens démomakers.

Pourquoi "pirater" Twitter ?
En fait tout a débuté avec la lecture d'un article sur un ? gars de 18 ans qui avait piraté le mot de passe d'un administrateur de Twitter. Une attaque à coup de brute force.

Peux-tu nous expliquer ta méthode ?
Oh, elle est presque simple. Il fallait un peu de temps, de chance et de curiosité. Première action, arriver à trouver une adresse électronique des employés ? J'ai eu juste à chercher en faisant un whois sur des noms de domaines appartenant à des employés. Seulement, au départ, galère. Certains Registars masquent les adresses pour lutter contre le spam et préserver un peu plus l'anonymat de leurs clients. Je me suis rendu dans la page About US de Twitter et j'ai consulté la fiche de chaque employé. Certains avaient indiqué l'url de leur site web. Il m'a suffit de faire, de nouveau, un Whois.

Que faisiez-vous avec ces emails ?
Certains des employés possédaient une adresse du style [email protected]. Je me suis dit que dans cette situation, impossible d'agir, il n'y a pas de processus de redéfinition de mot de passe pour ces adresses. D'autres employés avaient une adresse de type @gmail.com. Chez Gmail, autre problème, on ne peut accéder à la question secrète seulement après une inactivité de 24h sur le compte en question. Et comme la plupart des employés s'y connectent tous les jours, difficile de passer par là.

D'où l'attaque par Yahoo ?
Oui, il y avait d'autres employés qui avaient renseigné une adresse en @yahoo.com. C'était le cas de Jason Goldman par exemple. Je vais sur Yahoo. Je clique sur mot de passe oublié et je rentre son adresse. Je me heurte à une première difficulté.

 

Laquelle ?
Yahoo demande de vérifier l'identité avant de pouvoir accéder à la question secrète. Pour cela il demande de renseigner la date de naissance, le code postal, le pays tels qu'ils figurent sur le compte. Je n'avais jamais réussi à franchir cette étape, mais par chance, l'employé possédait un blog qui datait de 2002 dans lequel il racontait sa vie. Dans son profil figurait son âge et son signe astrologique. J'ai ainsi pu déterminer son année de naissance.

Vous n'aviez pas le jour ?
Non, mais en recherchant dans des articles, j'ai rapidement pu trouver ma réponse. J'ai trouvé la réponse dans une page datant d'octobre 2004. Heureusement d'ailleurs car Yahoo! bloque les comptes emails après 10 fausses tentatives. [au bout de 10 mauvaises tentatives de connexion, NDR]. Le code postal n'a pas été compliqué. Je l'ai trouvé à l'aide du whois. Pour sa question secrète, simple, c'était sa ville de naissance, Saint-Louis.

Ensuite ?
Ensuite, j'ai oublié une étape et c'est ça qui a tout fait foirer. Ni lui, ni Twitter n'auraient vu, ni su.

Cette erreur ?
Le gars avait indiqué plusieurs emails de secours pour récupérer son mot de passe. Chez Yahoo! dès que l'on modifie ton mot de passe, la réponse à la question secrète, ... le webmail envoie une notification par courriel. C'est comme ça qu'il a su ! Il était connecté sur son compte gmail à ce moment là.

Qu'avez-vous fais ensuite ?
Une fois sur son compte Yahoo, la première chose que j'ai réalisé a été de de virer ses emails de secours. J'ai également modifié sa question secrète. Ensuite j'ai commencé les recherches dans ses messages avec le mot clé password. Je suis tombé sur une multitude de mots de passe différents. Il avait en fait toujours le même mot de passe avec une petite variante, deux lettres. Les deux premières lettres du site utilisait. Google, ça donnait GOxxxx ; Twitter : TWxxx ; Gmail : gmxxx ; ...

Et vous avez trouvé le passe de l'administration de Twitter ?
Oui et non. Son identifiant htaccess ne finissait pas par @twitter.com mais uniquement ce qui précédait son adresse email.

Une fois dans l'administration, qu'avez-vous fait ?
J'ai fait quelques captures écrans et j'ai été rapidement découvert. Près de 15 minutes plus tard, le staff de Twitter a remarqué une activité anormale et ils ont désactivé l'administration.

On a lu et entendu [Émission C'est dans l'air - France 5 – 29/05/09] que vous aviez modifié des choses. Usurpé l'identité de Britney Spears, Obama ?
J'ai reçu la vidéo par Internet. Un ami me l'a traduit. Je ne sais pas qui est le vieux monsieur qui a osé dire cela mais il faudrait qu'il retourne d'où il vient, dans sa maison de retraite par exemple. Je n'ai JAMAIS rien modifié, usurpé, ... J'ai simplement pris des captures d'écran sans modifier quoi que ce soit. Oui j'aurai pu le faire, mais ce n'est pas mon éthique. J'aime les défis, point barre.

 

Twitter a tenté de vous contacter ?
Non. Il n'avait pas mon email. Ils n'ont pas tenté non plus via les forums ou je discute.

Quelles types d'informations ?
Je ne dirai rien, pour le moment. Juste que j'ai, par exemple, les restrictions alimentaires imposées à certains employés ; Le codes d'accès à l'office Twitter de chaque employé ; Le détail des communications téléphonique effectuées par Evan Williams [Le patron de Twtter, NDR], ... et je sais exactement ce que se sont dit les employés après mon passage. Par exemple, Jason Goldman a averti, le jour même, tout les employés.

Il leur a fait la recommandation de modifier leur mot de passe ainsi que l'email qui figurait dans leur compte. Le nouveau mot de passe respecte dorénavant certaines exigences. Pour cela, un script Perl a été mis en place. Ce script s'assure que le mot de passe remplit bien certains critères. Mot de passe de taille suffisante ; qu'il ne figure pas dans un dictionnaire ; qu'il n'y a pas de caractères répétitifs ; etc.

J'ai même eu accès, bien plus tard, à la lettre interne diffusée par Biz Stone, l'un des co-fondateur de Twitter. Un message envoyé aux employés dans laquelle il expliquait l'intrusion, que le FBI me recherchait, ...

Ton action, uniquement pour le défit ?
Oui et uniquement pour ça. Le hackito ergo sum [Je hack donc je suis, NDR] comme toi même tu l'appelles depuis des années. Je hack donc je suis. Mais pas question de nuire, détruire. Je pourrai revendre facilement ce que j'ai trouvé, mais ça aussi, hors de question.

 

Conseiller cet article RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

Fuite de données d'auditeurs de France Info

29-04-2014 à 12:55 - 0 commentaire(s)

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

29-04-2014 à 12:10 - 0 commentaire(s)

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

29-04-2014 à 11:50 - 0 commentaire(s)

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

28-04-2014 à 14:19 - 0 commentaire(s)

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

66 pays visés par un code malveillant dédié aux SMS

28-04-2014 à 11:51 - 0 commentaire(s)

SMS Android OS FakeInst, un logiciel malveillant qui utilise vos SMS pour détourner de l'argent.

Anonymous lance le projet AirChat

28-04-2014 à 11:40 - 0 commentaire(s)

AirChat, un projet Anonymous qui souhaite permettre la diffusion de données numériques par la bande FM.

Google rembourse des utilisateurs d'Android

28-04-2014 à 11:16 - 0 commentaire(s)

Un virus informatique cachée dans une application Android ? Google s'excuse et rembourse les internautes piégés.

Piratage d'une Université pour fabriquer des bitcoins

28-04-2014 à 11:02 - 0 commentaire(s)

Des pirates informatiques ont compromis cinq serveurs de l'Université de l'Iowa pour installer une fabrique de bitcoins.

Sur le même thème : Lois - Justice

Le blocage de site web validé par la Cour Européenne

L'Union Européenne autorise le blocage de sites Internet diffuseurs de données contrefaites.

Un pirate Marocain arrêté en Thaïlande

Un pirate informatique, auteur présumé de plusieurs hacks dans des banques européennes, arrêté en Thaïlande. La Suisse demande sa tête.

La copie privée : Digital Europe n'a pas (encore) tué la culture européenne

La commission des affaires juridiques du Parlement européen a finalement adopté le rapport Castex à une large majorité.

Pirate Chinois arrêté via coopération Sino Américaine

La police chinoise arrête un pirate informatique, membre présumé d'un groupe international avec l'aide de la police Roumaine, Indienne et du FBI.

Plainte contre le pirate du site de Dieudonné

Une plainte pour piratage informatique déposée par l'humoriste polémiste Dieudonné.

Non, on ne peut pas auditer un site à la sauvage

Tester la sécurité d'un site Internet que l'on visite n'est pas autorisé sans l'accord des propriétaires.

4 ans de prison pour un mafieux de la carte bancaire piratée

Un pirate informatique bulgare, spécialiste de la carte bancaire, écope de 4 ans de prison dans une geôle française.

A la rencontre des cybergendarmes du Pas-de-Calais

Les technologies employées par les pirates informatiques évoluent. Les cybergendarmes tentent de s'adapter aux flots de données que déverse le numérique. Réussissent-ils ? Rencontre avec les Ntech du Pas-de-Calais.

 


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA