[accueil]
Paru dans Pirates Magazine n°HS1
Comment profiler les pirates
Tous
les pirates informatiques le savent : il ne suffit pas de
pénétrer un système, encore faut-il le faire sans
laisser de traces qui permettent aux enquêteurs de remonter
jusqu’à vous. Tous les enquêteurs le savent : il y a une
foule de détails, parfois minuscules qui, une fois mis bout
à bout, permettent de trouver la signature du coupable.
Découvrir le pirate invisible qui se cache derrière un
pseudonyme n’est pas une mince affaire. John Vranesevich, patron du
site Web AntiOnline, nous livre quelques-unes de ses recettes pour
profiler les pirates.
L’auteur prévient qu’il n’est ni criminologue, ni psychologue. Ce qu’il expose dans How to become a hacker profiler (Comment devenir un profileur de pirates), il le tire sa propre expérience : six années d’observation du milieu underground et des discussions avec, dit-il, plus de 7 000 pirates. Sans compter les leçons tirées de cas vécus d’attaques contre son propre site. Chercher un pirate informatique caché sous pseudonyme et agissant à distance, c’est comme chercher une aiguille dans une botte de foin. Cette difficulté ne décourage pas John Vranesevich, qui préconise d’opter pour les méthodes du « profiler ». Un « profiler », en français profileur, est une sorte de psychologue au service de la police, capable de cerner la personnalité de la l’individu recherché puis de se mettre dans sa tête pour le coincer. L’intérêt de l’étude publiée par le patron d’AntiOnline est qu’elle privilégie la personnalité des pirates plutôt que les aspects purement techniques.
Pour dresser le portrait psychologique des pirates, et s’en servir le moment venu, le moindre détail compte. D’abord, il faut collecter toutes sortes d’informations et les enregistrer en permanence dans une base de données. C’est que fait John Vranesevich depuis des années. Comment se procurer les informations ? D’abord, en sachant observer et capter. Bien sûr, il y a les slogans affichés sur les sites piratés, les textes des zines, tutoriaux, magazines underground, les messages postés dans les groupes de discussion. L’IRC est son terrain privilégié. Presque tous les pirates viennent y discuter, dans l’anonymat. Mais la façon dont ils parlent, les motivations qu’ils expriment, leurs réactions à ce que disent les autres sont autant de signes à répertorier dans ses fichiers. Les pirates font des efforts pour se dissimuler, mais il leur arrive de gaffer. Le passage où John Vrasenevitch explique comment il est remonté à la véritable identité d’un pirate à partir d’une seule petite phrase « Salut, je vais me faire une partie de Quake ! » écrite en guise d’au revoir au moment de se déconnecter d’IRC est l’un des plus instructifs (même si le limier a pu bénéficier d’un coup de chance, car dans n’importe quelle enquête, la chance et la malchance jouent également leur rôle). En lisant cette petite phrase, John Vranesevich se dit qu’il tient un indice clé. Il le met de côté et continue patiemment d’observer les conversations sur IRC jusqu’au jour où le même pirate lâche le nom de l’université où il étudie. Aussitôt, le limier file se connecter sur le site de ladite université, y trouve le moteur de recherche qui gère les comptes de tous les étudiants. Se met à chercher les passionnés de Quake. Quatre pages d’étudiants mentionnent le jeu. Le site de l’université permet de lancer un « finger » vers les noms des étudiants concernés, et de voir ainsi qui est connecté. Chaque fois que le pirate va sur IRC, le compte d’un des quatre étudiants s’est logué quelques instants avant. Après vérification sur plusieurs jours, John Vrasenevitch est convaincu qu’il ne s’agit plus d’une coïncidence : le pirate et cet étudiant sont bien une seule et même personne.
Evidemment, la recherche des auteurs d’un piratage peut l’entraîner sur une fausse piste. John Vrasenevitch se plaît à illustrer cet exemple avec l’un de ses propres faits d’armes. Alors que des militaires américains victimes d’intrusions croyaient à une opération massive montée par l’Irak, il leur montre, qu’en réalité, l’attaque a été perpétrée par un petit groupe de trois adolescents, deux Américains et un Israélien, dont il avait déjà repéré les méthodes. Et de conseiller aux militaires : « A votre place, je me méfierais davantage de la petite forme d’attaque pirate banale. » Parce que personne n’y prêtera attention, la petite attaque a davantage de chance d’aboutir que l’attaque massive qui ne restera pas longtemps inaperçue.
Après l’observation, le passage à l’action. En utilisant, par exemple, une méthode vieille comme le monde : l’infiltration. « Sur IRC, il n’y a plus qu’à se créer un personnage, celui qui va devenir leur meilleur ami » conseille John Vranesevich. Parler comme les pirates, gagner leur confiance, devenir membre du milieu. « Vous verrez comme cela peut aller vite, et combien d’informations très valables peuvent être ainsi collectées », assure John. « Si le rôle que vous jouez ne prend pas, vous pouvez toujours disparaître de l’IRC pour y revenir un peu plus tard, sous une autre identité ». Et, c’est logique, l’infiltration dans le monde virtuel est beaucoup plus facile qu’elle ne le serait dans le monde réel.
Certains lecteurs pourront être choqués lorsque John Vrasenevitch préconise d’utiliser la culture underground contre elle-même. Chacun de nous a des « ennemis ». Ceci est encore plus vrai dans le milieu des hackers. Le patron du site AntiOnline propose de s’en servir à son avantage. Il a bien observé que les pirates adorent faire sortir leurs adversaires de leurs gonds. Parmi les méthodes habituelles pour faire enrager les autres : révéler leur véritable identité. Aussi, si vous assistez à la passe d’armes au bon moment, indique John Vranesevich, vous n’avez plus qu’à prendre des notes. Sinon, il conseille un autre stratagème. Aller sur IRC et envoyer le message suivant : « Quelqu’un connaît le numéro de téléphone et l’adresse de cet enculé de X... que je lui administre la raclée qu’il mérite ? » Et là, il y a de fortes chances que quelqu’un vous les donne. Voilà une des manières d’utiliser la culture underground contre elle-même... C’est la bonne vieille technique de la manipulation ! Autre méthode du même goût qui sait tenir compte de la culture des pirates : appuyer sur les points sensibles. Faire jouer les rivalités, les conflits de pouvoir à l’intérieur d’un groupe de pirates. Par exemple, mettre la zizanie en empruntant le nom d’un de ses membres. Poster des messages injurieux en direction du leader du groupe afin de mettre le groupe à feu et à sang. Autre technique de déstabilisation qui tient compte de ce que les pirates veulent à tout prix conserver leur anonymat : faire de savoir qui ils sont en réalité et faire planer la menace de révéler leur identité. John Vranesevich dit avoir employé cette méthode l’an dernier pour dissuader le groupe H4g1s d’attaquer son site. L’étude de John Vranesevich est disponible sur le site www.antionline.com, rubrique « special reports ».
L’auteur prévient qu’il n’est ni criminologue, ni psychologue. Ce qu’il expose dans How to become a hacker profiler (Comment devenir un profileur de pirates), il le tire sa propre expérience : six années d’observation du milieu underground et des discussions avec, dit-il, plus de 7 000 pirates. Sans compter les leçons tirées de cas vécus d’attaques contre son propre site. Chercher un pirate informatique caché sous pseudonyme et agissant à distance, c’est comme chercher une aiguille dans une botte de foin. Cette difficulté ne décourage pas John Vranesevich, qui préconise d’opter pour les méthodes du « profiler ». Un « profiler », en français profileur, est une sorte de psychologue au service de la police, capable de cerner la personnalité de la l’individu recherché puis de se mettre dans sa tête pour le coincer. L’intérêt de l’étude publiée par le patron d’AntiOnline est qu’elle privilégie la personnalité des pirates plutôt que les aspects purement techniques.
Coinçé à cause de
Quake !
Pour dresser le portrait psychologique des pirates, et s’en servir le moment venu, le moindre détail compte. D’abord, il faut collecter toutes sortes d’informations et les enregistrer en permanence dans une base de données. C’est que fait John Vranesevich depuis des années. Comment se procurer les informations ? D’abord, en sachant observer et capter. Bien sûr, il y a les slogans affichés sur les sites piratés, les textes des zines, tutoriaux, magazines underground, les messages postés dans les groupes de discussion. L’IRC est son terrain privilégié. Presque tous les pirates viennent y discuter, dans l’anonymat. Mais la façon dont ils parlent, les motivations qu’ils expriment, leurs réactions à ce que disent les autres sont autant de signes à répertorier dans ses fichiers. Les pirates font des efforts pour se dissimuler, mais il leur arrive de gaffer. Le passage où John Vrasenevitch explique comment il est remonté à la véritable identité d’un pirate à partir d’une seule petite phrase « Salut, je vais me faire une partie de Quake ! » écrite en guise d’au revoir au moment de se déconnecter d’IRC est l’un des plus instructifs (même si le limier a pu bénéficier d’un coup de chance, car dans n’importe quelle enquête, la chance et la malchance jouent également leur rôle). En lisant cette petite phrase, John Vranesevich se dit qu’il tient un indice clé. Il le met de côté et continue patiemment d’observer les conversations sur IRC jusqu’au jour où le même pirate lâche le nom de l’université où il étudie. Aussitôt, le limier file se connecter sur le site de ladite université, y trouve le moteur de recherche qui gère les comptes de tous les étudiants. Se met à chercher les passionnés de Quake. Quatre pages d’étudiants mentionnent le jeu. Le site de l’université permet de lancer un « finger » vers les noms des étudiants concernés, et de voir ainsi qui est connecté. Chaque fois que le pirate va sur IRC, le compte d’un des quatre étudiants s’est logué quelques instants avant. Après vérification sur plusieurs jours, John Vrasenevitch est convaincu qu’il ne s’agit plus d’une coïncidence : le pirate et cet étudiant sont bien une seule et même personne.
L’infiltration, une méthode
éprouvée
Evidemment, la recherche des auteurs d’un piratage peut l’entraîner sur une fausse piste. John Vrasenevitch se plaît à illustrer cet exemple avec l’un de ses propres faits d’armes. Alors que des militaires américains victimes d’intrusions croyaient à une opération massive montée par l’Irak, il leur montre, qu’en réalité, l’attaque a été perpétrée par un petit groupe de trois adolescents, deux Américains et un Israélien, dont il avait déjà repéré les méthodes. Et de conseiller aux militaires : « A votre place, je me méfierais davantage de la petite forme d’attaque pirate banale. » Parce que personne n’y prêtera attention, la petite attaque a davantage de chance d’aboutir que l’attaque massive qui ne restera pas longtemps inaperçue.
Après l’observation, le passage à l’action. En utilisant, par exemple, une méthode vieille comme le monde : l’infiltration. « Sur IRC, il n’y a plus qu’à se créer un personnage, celui qui va devenir leur meilleur ami » conseille John Vranesevich. Parler comme les pirates, gagner leur confiance, devenir membre du milieu. « Vous verrez comme cela peut aller vite, et combien d’informations très valables peuvent être ainsi collectées », assure John. « Si le rôle que vous jouez ne prend pas, vous pouvez toujours disparaître de l’IRC pour y revenir un peu plus tard, sous une autre identité ». Et, c’est logique, l’infiltration dans le monde virtuel est beaucoup plus facile qu’elle ne le serait dans le monde réel.
Quelques méthodes employées
Certains lecteurs pourront être choqués lorsque John Vrasenevitch préconise d’utiliser la culture underground contre elle-même. Chacun de nous a des « ennemis ». Ceci est encore plus vrai dans le milieu des hackers. Le patron du site AntiOnline propose de s’en servir à son avantage. Il a bien observé que les pirates adorent faire sortir leurs adversaires de leurs gonds. Parmi les méthodes habituelles pour faire enrager les autres : révéler leur véritable identité. Aussi, si vous assistez à la passe d’armes au bon moment, indique John Vranesevich, vous n’avez plus qu’à prendre des notes. Sinon, il conseille un autre stratagème. Aller sur IRC et envoyer le message suivant : « Quelqu’un connaît le numéro de téléphone et l’adresse de cet enculé de X... que je lui administre la raclée qu’il mérite ? » Et là, il y a de fortes chances que quelqu’un vous les donne. Voilà une des manières d’utiliser la culture underground contre elle-même... C’est la bonne vieille technique de la manipulation ! Autre méthode du même goût qui sait tenir compte de la culture des pirates : appuyer sur les points sensibles. Faire jouer les rivalités, les conflits de pouvoir à l’intérieur d’un groupe de pirates. Par exemple, mettre la zizanie en empruntant le nom d’un de ses membres. Poster des messages injurieux en direction du leader du groupe afin de mettre le groupe à feu et à sang. Autre technique de déstabilisation qui tient compte de ce que les pirates veulent à tout prix conserver leur anonymat : faire de savoir qui ils sont en réalité et faire planer la menace de révéler leur identité. John Vranesevich dit avoir employé cette méthode l’an dernier pour dissuader le groupe H4g1s d’attaquer son site. L’étude de John Vranesevich est disponible sur le site www.antionline.com, rubrique « special reports ».
Danielle Kaminsky
Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !
[contact & legal & cookies] [since 1997]