Comment gagner de l’argent en se faisant passer pour un hacker célèbre

Quelques individus particulièrement malins profitent de la réputation de groupes de hackers célèbres pour terroriser le public et exiger des rançons.
02 mai 2016, 9:14am

Sur Internet, personne ne sait que vous êtes un chien. D'ailleurs, personne ne sait non plus que vous vous faites passer pour un hacker célèbre. Et les hackers célèbres, eux, se font un paquet de fric.

Il est impossible d'identifier qui se cache derrière tel ou tel pseudo. La menace liée à cette incertitude, ajoutée à la fréquence des attaques par ransomware ou par déni de service (DDoS), le public en a désormais pleinement conscience. Profitant de la peur universelle du piratage, un nouveau personnage vient d'émerger : le faux hacker.

La semaine dernière, l'entreprise de sécurité informatique CloudFlare a dénoncé un individu se faisant passer pour plusieurs hackers célèbres, et notamment pour des membres du gang Armada Collective. L'imposteur gagnaient de l'argent en menaçant des sites de fausses attaques DDoS.

« Même si les vrais membres d'Armada Collective sont actuellement emprisonnés en Europe, sans plus d'outils à leur disposition qu'une poignée de bitcoins et d'adresses emails, des individus mal intentionnés exploitent la réputation associée au gang en empruntant régulièrement leur nom. La peur associée au nom en question leur suffit largement à extorquer des milliers de dollars à des individus craintifs, » explique Matthew Prince, fondateur de Cloudflare.

Dans son article de blog, Prince explique qu'il aimerait que les entreprises et les particuliers qui reçoivent les menaces de ce genre de pseudo-hacker ne cèdent jamais au chantage. Évidemment, rien n'est si simple. Prince espère que son article sera suffisamment diffusé pour être en tête des recherches Google sur Armada Collective.

\

SecuriTayApril 25, 2016

Cette stratégie semble avoir eu une certaine efficacité. Mais désormais, l'imposteur qui se faisait passer pour Armada Collective semble avoir emprunté une autre identité, celle d'une autre groupe de hackers à la funeste réputation, Lizard Squad.

Ces derniers jours, plusieurs centaines d'organisations ont reçu des emails de menaces de Lizard Squad exigeant une rançon sous peine d'une attaque DDoS, affirment Prince et l'entreprise de mitigation Radware.

« Nous sommes le Lizard Squad et nous avons choisi votre site web/réseau comme cible de notre prochaine attaque DDoS. Vous pouvez chercher 'Lizard Squad DDoS' sur Google pour avoir un aperçu de notre œuvre, » indique l'email en question, que Daniel Smith de Radware a transmis à Motherboard. « Nous sommes disposés à renoncer à cette attaque en échange d'une somme modique. Cette somme est de 5 Bitcoins. »

C'est tout simple. Quelqu'un a dénoncé votre fausse identité ? Il n'y a qu'à en emprunter une autre. La bonne nouvelle est qu'il n'a fallu que quelques jours à CloudFlare et Radware pour percer à jour la combine : l'imposteur a fait l'erreur d'utiliser les mêmes expressions dans les emails qu'il envoyait sous différentes identités. Grâce à la communication faite autour de l'opération Lizard Squad, à l'heure actuelle personne ne serait tombé dans le panneau, explique Prince.

Le principal problème pour contrer ce genre d'attaques, c'est qu'elles sont extrêmement faciles à organiser : il suffit d'une adresse email et d'une adresse bitcoin. De plus, l'utilisation de l'une et l'autre ne laissent généralement pas suffisamment de traces pour mener à une identification et une arrestation. En d'autres mots, le pseudo-hacker maitrise le crime parfait.

« Actuellement, vous pouvez gagner une fortune en faisant semblant d'être dangereux. »

La mauvaise nouvelle pour les imposteurs, c'est qu'il n'existe pas énormément de groupes de hackers spécialisés en DDoS. À un moment donné, c'est sûr, ils n'auront plus de nom célèbre à utiliser. Mais le fait qu'il soit possible de gagner une fortune en faisant semblant d'être dangereux est tout de même fascinant. Cela montre, en outre, à quel point la figure du hacker a gagné en importance auprès du grand public.

« Paradoxalement, c'est parce que le grand public est mieux informé sur le danger des attaques informatiques que les pseudos-pirates peuvent profiter de lui, » explique Smith.

Selon Prince, il faudra éduquer le public de manière plus raffinée encore à l'avenir.

« Il suffira de diffuser plus largement les informations concernant l'actualité du piratage. Ainsi, les gens pourront discriminer entre les vraies attaques et les leurres, » ajoute-t-il.

Avec un peu de chance et beaucoup d'efforts de communication, il sera bientôt possible de distinguer les vrais hackers des faux. Quant à savoir qui est un chien sur Internet, ce sera plus difficile.