Image: Lia Kantrowitz/Motherboard

« Votre numéro de téléphone est le maillon faible de votre vie numérique »

Des hackeurs volent des comptes Instagram et les vendent dans un effervescent marché noir sur le web.

|
juil. 25 2018, 11:00am

Image: Lia Kantrowitz/Motherboard

C’était en apparence une soirée chaude comme les autres en banlieue de Salt Lake City. Rachel Ostlund vient de coucher ses enfants et se prépare à se coucher aussi. Elle envoie un message texte à sa sœur quand, soudainement, son téléphone portable est déconnecté du réseau. Le dernier message que Rachel a reçu est de T-Mobile, son fournisseur, qui l’informe que la carte SIM de son numéro de téléphone a été « mise à jour ».

Rachel fait alors ce que la plupart des gens font dans cette situation : elle éteint et rallume son téléphone. Mais ça ne règle pas le problème.

Elle monte à l'étage et en fait part à son mari, Adam. Il essaie d'appeler Rachel avec son téléphone. De son côté, il entend la sonnerie, mais le téléphone de Rachel ne sonne pas. Et personne ne répond. Pendant ce temps, Rachel s'est connectée à sa boîte courriel et s’est aperçue que quelqu'un réinitialisait les mots de passe de plusieurs de ses comptes.

Une heure plus tard, Adam reçoit un appel. « Je veux parler à Rachel », dit la voix à l'autre bout du fil. « Maintenant. »

Adam refuse et demande ce qui se passe.

« On vous baise, on vous viole et on est en train de détruire votre vie », dit la voix. « Passe le téléphone à ta femme. »

Adam refuse de nouveau.

« On va détruire votre crédit », dit alors la voix, et elle enchaîne avec les noms de quelques proches de Rachel et d’Adam ainsi que leur adresse. Le couple pense que la personne les a obtenus à partir du compte Amazon de Rachel. « Que se passerait-il si on leur causait du tort? demande la voix. Que se passerait-il si on détruisait leur crédit et qu’ensuite on leur laissait un message pour leur dire que c'est de votre faute? »

À ce moment, le couple ne le sait pas encore, mais il est la nouvelle victime de hackeurs qui détournent des numéros de téléphone afin de voler des pseudonyme Instagram payants et de les vendre en échange de bitcoins. En cette soirée de fin d'été de 2017, les Ostlunds ont parlé à deux de ces hackeurs qui ont pris possession du compte Instagram de Rachel, @Rainbow. Et ils ont ensuite demandé à Rachel et Adam de leur céder le compte Twitter @Rainbow.

Dans le marché noir des pseudonymes de médias sociaux et de jeux vidéo en ligne, un pseudonyme court et évocateur peut se vendre entre 500 $ et 5000 $, selon des personnes impliquées dans ce commerce et un survol d’une liste dans un marché virtuel populaire. Plusieurs hackeurs ont affirmé que le compte Instagram @t, par exemple, a récemment été vendu pour environ 40 000 $ en bitcoins.

En détournant le numéro de téléphone de Rachel, les hackeurs ont pu s’emparer non seulement de son compte Instagram, mais aussi de ses comptes Amazon, eBay, PayPal, Netflix et Hulu. Aucune des mesures de sécurité que Rachel avait prises pour sécuriser ses comptes, y compris l’identification à deux facteurs, ne l’a protégée une fois que les pirates ont pris possession de son numéro de téléphone.

« Ç’a été une nuit très tendue, se souvient Adam. Je ne peux pas croire qu'ils ont eu le culot de nous appeler. »

Image: Shutterstock

Une menace sous-estimée

En février, T-Mobile a envoyé un message à tous ses clients pour les avertir d'une menace « à l'échelle de l'industrie ». Selon la compagnie, des criminels utilisent de plus en plus une technique appelée « port out scam » pour détourner des numéros de téléphone. Le procédé pour réaliser cette arnaque, qu’on appelle aussi « remplacement de carte SIM », est simple et extrêmement efficace.

D'abord, les criminels appellent le soutien technique d'un opérateur de téléphonie cellulaire et se font passer pour leur cible. Ils disent à l'employé qu'ils ont perdu leur carte SIM et demandent que leur numéro de téléphone soit transféré sur une nouvelle carte SIM qu’ils possèdent déjà. Avec un peu de recherche ou de manipulation au préalable, notamment pour fournir l’adresse ou le numéro de sécurité sociale de la cible (souvent obtenue grâce aux nombreux piratages de données survenus ces dernières années), ils arrivent à convaincre l'employé qu'ils sont vraiment qui ils prétendent être, et l'employé procède au transfert du numéro de téléphone sur la nouvelle carte SIM.

Et le tour est joué.

« Avec le numéro de téléphone d’une personne », m'a dit un hackeur qui a détourné des cartes SIM, « on peut accéder à tous les comptes qu'elle possède en quelques minutes, et elle ne peut rien faire contre ça. »

Une capture d'écran du message que Rachel Ostlund a reçu après que les hackeurs ont pris possession de son numéro de téléphone

D’abord, la victime perd la connexion au réseau, car un numéro donné ne peut être associé qu’à une carte SIM à la fois. Ensuite, les hackeurs peuvent réinitialiser les comptes de la victime et contourner la plupart des mesures de sécurité, comme l'identification à deux facteurs, puisqu’ils reçoivent le message d’autorisation envoyé par téléphone.

Des services, dont Instagram, exigent que les utilisateurs fournissent un numéro de téléphone pour activer l’identification à deux facteurs, ce qui a l'effet collatéral de donner aux hackeurs une deuxième façon d’accéder à un compte. Si les hackeurs prennent possession du numéro de téléphone d’une cible, ils peuvent exploiter cette mesure de sécurité et s’approprier son compte Instagram sans mot de passe.

Eric Taylor, un ancien hackeur connu sous le nom de CosmoTheGod, s’est servi de cette technique pour quelques-uns de ses exploits, comme le piratage du compte de courriel du PDG de CloudFlare en 2012. Le hackeur, qui travaille maintenant pour la société de sécurité Path Network, dit qu’en associant votre numéro de téléphone à n’importe quel compte en ligne, vous vous rendez vulnérable, et « un enfant de 13 à 16 ans qui prend votre téléphone peut, en cinq minutes après avoir appelé votre fournisseur, prendre possession de vos comptes ».

Ça arrive tout le temps, selon lui.

Roel Schouwenberg, directeur du renseignement et de la recherche chez Celsus Advisory Group, s’est penché sur des questions comme le remplacement de cartes SIM frauduleux, le contournement de l'identification à deux facteurs et l’exploitation des mécanismes de récupération de compte. À son avis, le numéro de téléphone n'est jamais un moyen totalement sûr, et les consommateurs devraient le savoir.

« Tous les numéros peuvent être transférés, dit-il. Un criminel déterminé et doté de ressources sera en mesure d'avoir au moins temporairement accès à un numéro, et c’est souvent tout ce qu’il lui faut pour réussir à vous voler. »

C'est embêtant puisque les numéros de téléphone sont devenus la « clé maîtresse » de nos comptes en ligne, comme il l'a noté dans un billet de blogue l'année dernière.

« La plupart des systèmes ne sont pas conçus pour faire face à des hackeurs qui ont pris possession de votre numéro de téléphone. C'est un très, très gros problème, a écrit Schouwenberg. Notre numéro de téléphone est devenu une preuve d’identité irrévocable. Mais il n'a jamais été conçu pour ça, et les numéros de sécurité sociale non plus. »

Et ce que font les hackeurs une fois qu'ils ont pris possession de votre numéro de téléphone dépend de ce qu'ils cherchent.

« Je prends leur argent et je continue ma vie »

Si on vous vole votre vélo, vous devriez consulter un site de petites annonces pour voir s’il y est à vendre. Si on vous vole votre compte Instagram au moyen d’un remplacement de carte SIM frauduleux, c’est OGUSERS que vous devez consulter.

À première vue, OGUSERS ressemble à n'importe quel forum en ligne. Il y a une section consacrée aux blagues et une autre pour parler de sujets comme la musique, les spectacles, l'anime et les jeux vidéo. Mais la section la plus importante et la plus active, c’est le marché virtuel où des utilisateurs achètent et vendent des pseudonymes de médias sociaux et de jeux vidéo en ligne, parfois pour plusieurs milliers de dollars.

Dans un billet de blogue récent, quelqu'un a dit avoir vendu le compte Instagram @Bitcoin pour 20 000 $, selon l'un des administrateurs du forum. Dans une liste qui était en ligne le 13 juin, un utilisateur annonçait que @eternity sur Instagram avait été vendu 1000 $.

Le forum a été lancé en avril 2017 pour offrir aux gens une plateforme pour l’achat et la vente de noms d'utilisateur « OG ». (Le nom du forum est dérivé de l’abréviation OG, qui signifie « original gangster ».) Ce qu’on qualifie d’OG, ce sont les noms d’utilisateur qui ont souvent été choisis en premier dans les débuts d’un média social. Ce sont des mots simples et considérés comme cool : @Sex, @Eternity ou @Rainbow, ou encore des pseudonymes très courts, comme @t ou @ty. Des célébrités ont également été ciblées.

Une capture d'écran du compte Instagram de Selena Gomez après qu'il a été piraté

En août de l’an dernier, par exemple, des hackeurs ont piraté le compte Instagram de Selena Gomez, qui comptait alors 125 millions d’abonnés, et rendu publiques des photos nues de Justin Bieber. Et le prénom de Selena dans son compte a été remplacé par « Islah », qu’utilisait à l'époque un membre de OGUSERS. Selon des hackeurs membres du forum, les personnes qui ont affirmé avoir piraté le compte de Selena Gomez ont aussi dit s’être servies du numéro de téléphone associé à son compte Instagram.

« Merde, ils ont piraté la personne qui a le plus d’abonnés sur Instagram », s’est exclamé un membre de OGUSERS dans un fil de discussion intitulé « RIP SELENA GOMEZ ». Par courriel, un porte-parole de l’artiste a refusé de répondre à nos questions.

Un message dans le forum OGUSERS à propos du piratage du compte de Selena Gomez

En juin dernier, OGUSERS comptait plus de 55 000 utilisateurs inscrits et 3,2 millions de messages publiés. Chaque jour, environ 1000 utilisateurs s’y connectent.

Les utilisateurs du site n’ont pas le droit de parler de remplacement de cartes SIM frauduleux. Quand quelqu'un fait allusion à cette technique de plus en plus populaire, d'autres souvent répondent qu’ils n’approuvent pas les activités illégales. Deux membres de longue date, appelés Ace (qui est l'un des modérateurs du forum) et Thug, m'ont cependant assuré que le remplacement de carte SIM est une méthode courante que les membres de OGUSERS utilisent pour voler des noms d'utilisateur.

Afin de voler un nom d'utilisateur par remplacement de carte SIM, il faut connaître le numéro de téléphone qui y est associé. Il semble qu’il ne soit pas aussi difficile qu'on le pense de le trouver sur le web.

L'an dernier, des hackeurs ont créé un service payant appelé Doxagram, avec lequel on pouvait connaître le numéro de téléphone et l’adresse courriel associés à un compte Instagram. (À son lancement, Doxagram a été annoncé sur OGUSERS.) Et grâce à une série de piratages de haut calibre, les numéros de sécurité sociale sont relativement faciles à trouver si vous savez où regarder sur internet.

Ace a affirmé ne plus vendre de noms d'utilisateur. Thug, lui, dit qu'il remplace des cartes SIM au moyen d’un outil interne de T-Mobile qui sert à trouver les renseignements des abonnés. Pendant notre échange, le hackeur m'a montré une photo sur laquelle on le voit utiliser l'outil.

Une photo que m'a envoyée le hackeur Thug au cours d'une conversation

J'ai donné mon numéro de téléphone à Thug pour le mettre à l’épreuve, et il m’a envoyé une capture d'écran de mon adresse, mon numéro IMSI (un numéro d’identification unique de l’abonné) et d'autres renseignements censés être secrets. Thug a même vu une note avec les indications que j'ai données à T-Mobile relativement à la protection de mon compte. « Je suis paranoïaque », lui ai-je dis à ce sujet.

« Oui, l’internet, c’est un monde de fou », m’a répondu Thug.

En fait, ce n'était pas la première fois qu'un inconnu avait accès à mes renseignements personnels prétendument protégés par T-Mobile.

L'année dernière, un chercheur en sécurité informatique a pu exploiter un bogue sur un site web de la compagnie pour accéder à peu près aux mêmes renseignements. Après avoir corrigé le bogue, T-Mobile n’en a cependant pas reconnu les conséquences, affirmant que personne ne l'avait exploité. Mais en réalité, beaucoup l’avaient fait. Un tutoriel sur YouTube expliquait même comment l’exploiter pour accéder aux données personnelles des abonnés depuis des semaines quand la compagnie a enfin colmaté la brèche.

Toutefois, Thug dit que, dans les dernières années, les fournisseurs de télécommunications ont rendu les choses plus difficiles pour les hackeurs.

« C'était aussi simple qu'appeler une compagnie de téléphone, par exemple, T-Mobile, et de demander un remplacement de la carte SIM associée au numéro », m'a dit Thug dans une récente conversation en ligne. « Maintenant, si on connaît quelqu’un qui travaille là, on peut obtenir un NIP pour 100 $. »

Thug et Ace expliquent que de nombreux hackeurs recrutent donc des employés du service à la clientèle ou de boutiques de fournisseurs, et leur donnent 80 $ ou 100 $ pour un transférer un numéro de la carte SIM de leur cible à la leur. Thug dit avoir eu accès à l'outil de T-Mobile en soudoyant un employé, mais nous n'avons pas pu le vérifier. La compagnie a refusé de répondre à mes questions sur l’implication d’employés dans des remplacements de cartes SIM frauduleux.

« Les employés nous rendent la vie beaucoup plus facile », assure Thug. « Trouver un employé n'est pas difficile, renchérit Ace. C'est de le convaincre de faire ce qu’on veut qui est difficile. »

Un message de « Simswap » sur OGUSERS à propos de la fabrication de faux documents

Une enquête récente de la société de cybersécurité Flashpoint a révélé que les criminels reçoivent de plus en plus d'aide de la part des employés de compagnies de télécommunications pour remplacer frauduleusement des cartes SIM. Lorrie Cranor, une ancienne technologue en chef de la Federal Trade Commission (FTC) aux États-Unis, a déclaré avoir vu des preuves d’employés impliqués dans ces remplacements à plusieurs reprises. Eric Taylor, le chercheur en cybersécurité et pionnier du remplacement de cartes SIM, a dit connaître des gens qui ont reçu de l'aide d'employés de boutique. Le journaliste spécialisé en cybersécurité Brian Krebs a récemment écrit sur le cas d’un employé d’une boutique T-Mobile qui avait effectué un échange de cartes SIM sans autorisation pour un vol de compte Instagram.

Évidemment, le remplacement de cartes SIM n’est pas la seule façon pour les membres de OGUSERS de voler des comptes. Bien que moins efficace, une autre méthode (appelée « turboing ») consiste à utiliser un programme qui tente de prendre possession des noms d'utilisateur qui redeviennent disponibles, m'a dit Thug.

Mais si le vol de numéros de téléphone reste la méthode la plus efficace, et ce n'est pas faute de l’avoir rendu difficile au point de requérir de solides compétences. Ace et Thug estiment que seulement une cinquantaine de membres de OGUSERS disposent des outils technologiques et des connaissances pour le faire.

Un soi-disant membre de OGUSERS avec des noms d'utilisateur de membres du forum écrits sur le dos

Au cours des conversations, j'ai demandé à Thug et à Ace s'ils avaient des remords d’avoir piraté des comptes en ligne, des portefeuilles de cryptomonnaie ou des banques. « Pas du tout, c’est triste à dire, a répondu Ace. Je prends leur argent et je continue ma vie. C’est de leur faute si ce n’est pas sécurisé. »

Ce que font les hackeurs comme eux est inoffensif, selon Thug, en particulier dans le cas des noms d'utilisateurs. « C'est juste un nom d'utilisateur, rien de spécial, dit-il. Ils ne perdent pas d'argent. »

Un problème en croissance

Qu'ils vendent des noms d'utilisateur Instagram ou non, les hackeurs qui remplacent frauduleusement des cartes SIM peuvent s’en mettre plein les poches.

« C’est super lucratif », m'a dit Andrei Barysevich, un chercheur en cybersécurité chez Recorded Future qui a étudié ces fraudes. « Si vous savez comment remplacer la carte SIM d’une cible, vous pouvez gagner beaucoup d'argent. »

Cody Brown, par exemple, le fondateur de la société de réalité virtuelle IRL VR, a perdu plus de 8000 $ en bitcoins en seulement 15 minutes l'an passé. Des pirates ont pris possession de son numéro de téléphone et s’en sont servis pour pirater son compte Coinbase. Les piratages étaient alors si fréquents qu’Authy, une application d’identification à deux facteurs pour des sites d’échanges de cryptomonnaie parmi les plus populaires, a dû être mise à jour avec de nouvelles fonctionnalités de sécurité.

Autre exemple : le message ci-dessous que j'ai reçu au moyen de l'application de clavardage crypté Signal l'année dernière, après que VICE a révélé qu’un bogue sur le site web de T-Mobile permettait aux pirates d'obtenir des renseignements personnels de clients pour ensuite remplacer leur carte SIM avec l’aide du service à la clientèle.

« Je veux juste te dire va te faire foutre pour avoir rendu publique la faille de l'API [de T-Mobile] », m’a écrit une personne derrière le pseudonyme NoNos. « La faille ne serait pas corrigée si tu n’avais pas écrit un article là-dessus pour que tout le monde le sache et informe T-Mobile. »

NoNos a aussi affirmé avoir exploité le bogue pour pirater plusieurs personnes en détournant leur numéro de téléphone par remplacement de carte SIM. Il a aussi dit s’être servi de cette technique pour cibler des personnes riches qu'ils pourraient ensuite voler.

« J'ai fait 300 000 $ en une journée auparavant avec d'autres méthodes », a poursuivi NoNos. VICE n’a pas été en mesure de confirmer la véracité de cette affirmation.

« Si des “personnes” qui ont la capacité de faire ça peuvent remplacer la carte SIM de n'importe qui au pays, pourquoi cibler des noms d'utilisateur et des personnes au hasard quand il est possible de cibler des gens qui ont beaucoup d'argent? Comme les investisseurs ou des traders, des gestionnaires de fonds spéculatifs, etc.? » a demandé NoNos.

En plus de Selena Gomez, parmi les victimes connues du remplacement de carte SIM frauduleux, on trouve Deray McKesson, l'activiste de Black Lives Matter, Dena Haritos Tsamitis, fondatrice de CyLab, l'institut de cybersécurité et de protection de la vie privée de l'Université Carnegie Mellon, et Boogie2988, une vedette sur YouTube.

Dans les derniers mois, plus de 30 victimes de cette méthode ont communiqué avec moi et m’ont raconté comment leur vie en ligne et hors ligne a été perturbée. C’est sans doute arrivé à des centaines de personnes aux États-Unis, bien qu'il soit difficile de dénombrer les victimes. Seuls les fournisseurs de téléphonie mobile connaissent avec précision l'ampleur du problème et, sans surprise, elles n’ont pas envie d’en parler.

Lorrie Cranor, maintenant professeure à l'Université Carnegie Mellon, dit qu'elle a essayé de découvrir à quel point ce piratage est répandu (elle-même a été victime d’un remplacement de sa carte SIM en 2016, alors qu’elle était technologue en chef de la FTC); mais, malgré son autorité, aucune des compagnies ne lui a fourni de données sur la fréquence de ces piratages.

« Les fournisseurs n’en font certainement pas assez, dit-elle. Ils me disent qu'ils en font de plus en plus et que peut-être que ce qui m'est arrivé n’arriverait plus, mais je n’en suis pas convaincue. Je n'ai pas vu beaucoup de preuves qu'ils ont vraiment améliorer les choses. Ils doivent vraiment voir que ce problème d’identification est critique. »

Les fournisseurs sont au courant des remplacements de cartes SIM frauduleux, ajoute-t-elle, bien qu'ils n'aiment pas l'admettre. »

VICE aussi a communiqué avec AT&T, Verizon, Sprint et T-Mobile – les quatre grands fournisseurs américains de téléphonie mobile – pour leur demander des données sur l’étendue du problème. Aucun d'entre eux n'a fourni de données.

Un porte-parole d'AT&T a répondu que ce type de fraude « affecte un petit nombre de clients, et que c'est rare », sans vouloir préciser ce qu’est exactement un « petit nombre ».

« La fraude par remplacement de cartes SIM est un problème dans l'industrie depuis un certain temps », a déclaré un porte-parole de T-Mobile, par voie de communiqué. « La compagnie lutte contre ces attaques en exigeant que les clients ajoutent une mesure de sécurité supplémentaire, comme un NIP, et des codes secrets pour le remplacement de carte SIM, et évalue de nouvelles méthodes pour s’assurer que les modifications à un compte sont bien exigées par le client. » Le porte-parole a refusé ma demande d’entrevue téléphonique avec la direction de T-Mobile et n'a pas précisé la fréquence des fraudes et l’étendue du problème.

« Je ne vois pas vraiment en quoi c’est pertinent, a-t-il répondu. C’est un petit nombre si l'on considère que nous avons 72 millions de clients. Mais, évidemment, aucune compagnie ne veut que ça arrive à ne serait-ce qu’un seul client. » (En octobre dernier, T-Mobile a alerté « quelques centaines de clients » ciblés par des hackeurs.)

Sprint n’a pas fourni de chiffres ou de données sur les fraudes par remplacement de cartes SIM, et a plutôt fait savoir que ses clients changent régulièrement leur mot de passe. Enfin, le porte-parole de Verizon n'a pas non plus fourni de données sur le nombre de clients touchés, mais a répondu qu'il fallait « un compte et un mot de passe ou NIP exact » pour faire effectuer un remplacement de carte SIM.

Plus tôt cette année, ces quatre principaux fournisseurs ont présenté la Mobile Authentication Taskforce, une initiative conjointe visant à trouver une solution pour que les clients puissent s’identifier sur des sites web et des applications à partir de renseignements d'identification sur leur téléphone. Les médias spécialisés en technologie ont vanté l’initiative, vue comme une solution de rechange à l’identification à deux facteurs par SMS, largement jugée faillible. Mais il n’y a aucun détail sur la mise en place de cette solution, et on ne sait pas encore si elle aidera à contrer les remplacements de carte SIM frauduleux.

Un porte-parole de la FTC m’a suggéré de consulter son Consumer Sentinel Data Book 2017, un document qui résume les rapports sur les fraudes, les arnaques et les vols d'identité de consommateurs, entre autres, mais il y manque une section sur le remplacement de cartes SIM. Le porte-parole dit que ces cas pourraient se retrouver dans la section des fraudes par téléphone ou service, qui compte plus de 30 000 cas de fraude par téléphone mobile.

Capture d'écran du FTC Consumer Sentinel Data Book

Un porte-parole du FBI, l’agence qui enquête sur les fraudes à l'échelle nationale et les crimes de ce genre, a déclaré qu’il ne dispose pas de données sur ce type de piratage.

Les nombres sont peu élevés, mais ces piratages peuvent causer beaucoup de dommages. Et s’en relever exige beaucoup de temps et d'efforts. Fanis Poulinakis, une victime qui m'a parlé du remplacement de sa carte SIM plus tôt cette année, en sait quelque chose.

Après que son téléphone a soudainement cessé de fonctionner un jour, il s'est immédiatement connecté à son compte bancaire en ligne : « 2000 $ avaient disparu. » Il a passé toute la journée au téléphone avec T-Mobile et la Chase Bank, pour essayer de comprendre ce qui s'est passé.

« Quel cauchemar. »

De victime à détective

Dans la nuit du 6 septembre 2017, Adam a essayé de garder les hackeurs au téléphone aussi longtemps que possible, surtout pour comprendre ce qui s'est passé et ce sur quoi les fraudeurs avaient mis la main. Ces derniers exigeaient que le couple cède le compte Twitter @Rainbow de Rachel et s’impatientaient.

Ces comptes Twitter et Instagram avec le même pseudonyme pouvaient leur rapporter gros. De plus, comme d'autres hackeurs me l'ont dit, prendre le contrôle du compte courriel original associé aux comptes Instagram ou Twitter leur donne plus de valeur, parce ce qu’il sera plus difficile pour les détenteurs originaux des comptes de les récupérer ensuite.

Épuisé, Adam a fini par raccrocher. Peu après, il a reçu un message texte des hackeurs.

« Peut-on faire vite, j'ai besoin de dormir », écrivait l'un d'entre eux, nous a montré Adam. « Changez le courriel du compte Twitter maintenant. On ne veut pas vous faire de tort, mais, si vous ne répondez pas bientôt, vous en subirez les conséquences. »

Puis les hackeurs ont rappelé. Cette fois, c’était une personne plus calme, moins menaçante.

« On n’a rien contre vous », a dit ce deuxième hackeur à Adam, en s’excusant pour le ton du premier, entend-on dans un enregistrement de l'appel. Je peux vous assurer que rien ne va arriver. »

Rachel avait auparavant appelé la police, et les agents sont arrivés chez les Ostlund au cours de ce deuxième appel. Quand le couple leur a expliqué ce qui s'est passé, ils ont semblé confus et ont admis ne pas pouvoir vraiment aider. Le couple a passé le reste de la nuit à essayer de se remettre du piratage. Une fois que T-Mobile a réassocié leur numéro de téléphone à leur carte SIM, Rachel et Adam l'ont utilisé pour réinitialiser tous les mots de passe et reprendre le contrôle des comptes, de la même manière que l’avaient fait les hackeurs. Sauf le compte Instagram @Rainbow, parce qu’ils en avaient désormais le contrôle total.

Trois jours plus tard, Rachel et Adam ont pris les choses en main. Ils ont décidé de traquer eux-mêmes les hackeurs et, à partir de l’analyse des abonnés de leurs comptes, ils croient avoir découvert l’identité de l’un d’eux, un abonné qui utilise le pseudonyme @Golf et dont le vrai nom serait Austin. VICE n’a pas été en mesure de confirmer s’il s’agit bien du hackeur.

Au cours de leur enquête, Rachel et Adam ont également trouvé un message sur OGUSERS dans lequel un hackeur surnommé « Darku » disait vendre le compte @Golf et d'autres comptes Instagram. Pour le couple, c'était alors un signe que ce Darku contrôlait @Golf et, également, @Rainbow.

Un message de Darku qui annonce la vente du compte Instagram @Hand

Dans une conversation en ligne, Darku m'a dit qu'il avait 18 ans et qu'il faisait partie de plusieurs groupes de piratage. Il nie cependant faire des remplacements de carte SIM frauduleux et avoir piraté les comptes @Rainbow et @Hand. Il dit qu’il a échangé ce dernier avec un ami, et qu'il n'avait jamais possédé @Rainbow.

« Je ne fais pas dans la petite délinquance, a-t-il dit. J'ai des contacts partout et je n'ai pas besoin de faire de la fraude pour obtenir ce que je veux. »

Après que je l'ai contacté sur OGUSERS en mai, Darku a averti les membres que le FBI pourrait être en train d’enquêter sur le forum. Selon lui, mes questions étaient suspectes : il n'était pas sûr que j’étais vraiment celui que je disais être.

« Des amis à moi ont récemment eu affaire avec le FBI au sujet de certains noms d'utilisateur et de leur acquisition, a écrit Darku. Si vous avez été contacté par QUICONQUE prétendant faire partie de n'importe quel GRAND média, procédez avec prudence. »

Certains utilisateurs ont paru ne pas comprendre, se demandant pourquoi le FBI porterait attention à un marché virtuel de noms d'utilisateur.

« Ce n’est pas les noms d'utilisateur, a expliqué un autre utilisateur. C’est les moyens utilisés pour les obtenir. Je pense qu'ils sont au courant de ce qui se passe dans l’ombre de la vente de noms d'utilisateur. »

D'autres membres du forum de OGUSERS ont paru prendre la nouvelle à la légère, en faisant des blagues d’arrestations ou en créant des mèmes. Par ailleurs, mon compte sur le forum a été supprimé, et l'adresse IP que j'utilisais pour y accéder a été bloquée.

Une publication d'un membre de OGUSERS sur Instagram, après que VICE a commencé à contacter les membres du forum

Adam m’a transmis l'information qu'il avait trouvée sur Darku avec l’aide d’un agent du FBI à Salt Lake City spécialisé dans les enquêtes sur le web profond et la cybercriminalité. Adam m'a également dit que le bureau du FBI à Colorado Springs l'avait informé que son rapport était exact et que les enquêteurs progressaient.

Rachel a ajouté que le FBI les avait récemment informés que des agents ont visité la maison d'Austin et lui auraient foutu la trouille. Ce hackeur « ne recommencera jamais », m'a dit Rachel.

Dans un autre fil de discussion récent sur OGUSERS, Darku a écrit qu'il sait que le FBI enquête sur « celui qui a extorqué la dame » qui possédait @Rainbow. Darku m'a dit que la police l’a interrogé, mais qu’il n’avait rien à voir avec cette histoire.

Il dit qu’il a aussi répondu aux autorités qu’il ne perdait pas son temps à harceler les gens.

VICE n'a pas pu obtenir les commentaires du FBI, car il s’agirait le cas échéant d’une enquête en cours. Un porte-parole du bureau du FBI à Salt Lake City a refusé de commenter et le bureau du FBI à Colorado Springs n'a pas pu être joint.

À ce jour, Instagram n'a pas encore rendu le compte @Rainbow à Rachel. D'autres victimes, comme celles qui possédaient les comptes Instagram @Hand et @Joey, m'ont dit qu'elles n'avaient pas récupéré leur compte malgré plusieurs plaintes envoyées à Instagram.

« Nous travaillons fort pour offrir à la communauté Instagram une expérience sécuritaire et sécurisée », a déclaré un porte-parole d'Instagram par voie de communiqué. « Lorsque nous constatons qu'un compte a été piraté, nous bloquons l'accès au compte et mettons en œuvre un processus d’aide pour les personnes concernées afin qu’elles puissent réinitialiser leur mot de passe et prendre les mesures nécessaires pour sécuriser leur compte. »

Pour les victimes, c’est une leçon apprise à la dure. « Notre téléphone, c’est notre plus grande vulnérabilité », m’a dit Rachel. Dans les mots d’Adam, « votre numéro de téléphone est le maillon faible de votre vie numérique ».

« Si quelqu’un s’empare de votre numéro de téléphone, conclut-il, il s’empare de votre vie. »

Pour plus d'articles comme celui-ci, inscrivez-vous à notre infolettre.

Plus de VICE
Chaînes de VICE