Un hackeur devenu informateur raconte ses pires coups

Il a été l’un des dix fugitifs les plus recherchés par le FBI. Aujourd’hui, Brett Johnson protège le monde de crimes qu’il a contribué à mettre au point.

|
30 avril 2018, 7:32pm

Photo courtoisie de Brett Johnson

C’est l’un des cybercriminels les plus célèbres de l’histoire du piratage informatique. Derrière son pseudonyme, GOllumfun, Brett Johnson a créé un réseau virtuel nommé Shadow Crew : un lieu virtuel de réseautage pour hackeurs avant le web profond. Actif de 2002 à 2004, le forum a compté jusqu’à 4000 membres.

Vers la fin de sa carrière de hackeur, il gagnait plus de 500 000 $ par mois et a figuré parmi les dix fugitifs les plus recherchés par le FBI. Après son arrestation, même s’il avait accepté de travailler comme informateur pour les Services secrets, il a continué de commettre des cybercrimes.

Finalement, après une deuxième arrestation et une condamnation à sept ans de prison, dont six mois dans une prison fédérale, il a choisi de se consacrer à la protection de compagnies contre les crimes que lui-même commettait auparavant. VICE a échangé avec ce hackeur qui a changé de camp pour en savoir plus sur son passé, son présent et l’évolution de la cybercriminalité depuis sa réorientation.

VICE : D’abord, pourquoi et comment êtes-vous devenu hackeur?
La cybercriminalité était une voie naturelle pour moi parce que ma mère et presque tout le monde de ce côté de ma famille étaient impliqués dans la criminalité. J’ai commis mon premier délit à 10 ans. Ma mère était abusive et très négligente — elle avait l’habitude de nous laisser seuls, ma sœur et moi, pendant des jours —, alors on a commencé à voler de la nourriture pour manger. Après, ç’a été les vêtements, et ainsi de suite. Quand ma mère s’en est rendu compte, elle a fait comme nous. Et elle a poussé sa mère, notre grand-mère, à voler aussi avec nous.

En grandissant, je me suis impliqué dans le genre de crimes de ma famille : fraude d’assurance, incendie de maisons et de voitures, simulation d’accidents, vols, falsification de documents. La cybercriminalité a été le prolongement de tout ça.

Mais, en plus, c’était comme un casse-tête pour moi. Je me sentais presque comme David contre Goliath : j’étais la personne seule qui l’emportait sur des compagnies millionnaires. Il y avait aussi le paquet d’argent que j’arrivais à voler et, finalement, la réputation : être à la tête de tous ces gens [du Shadow Crew] gonfle l’ego.

Quel est le crime le moins éthique que vous avez commis ou dont vous avez été témoin?
Il y en a tellement. Une fois, j’ai volé des pièces valant plusieurs milliers de dollars à des gens qui essayaient de les vendre pour faire refaire le toit de leur maison. J’ai aussi menti à ma famille, à mes amis, à tout le monde que je connaissais. J’étais une très mauvaise personne.

Un de mes associés ukrainiens, Script, a fait kidnapper et torturer quelqu’un qui lui devait de l’argent. Un autre membre, Iceman, avait l’habitude d’inonder de pornographie juvénile la boîte courriel de ses ennemis et de les dénoncer ensuite à la police.

Est-ce que la cybercriminalité vous a appris quelque chose? Comment est-ce que les hackeurs font de l’argent, en général?
Je n’ai rien gagné. J’ai volé de l’argent. Au début, je n’en faisais presque pas, je devais toujours magouiller pour payer mes factures. Mais une fois que je suis devenu expert, j’ai volé de l’argent en faisant de la fraude sur eBay : 20 000 $ par mois. Aussi, les transactions sans présenter la carte au moment de l’achat, et l’ATO, l’American Tax Office, [rapportaient] 40 000 $ par mois. Les déclarations de revenus avec une fausse identité, c’étaient 500 000 $ par mois.

Par contre, la plupart des hackeurs ne font pas beaucoup d’argent. Ils essaient d’apprendre, mais ne deviennent jamais des experts.

Est-ce que vous vous êtes déjà senti coupable?
Généralement, non. Mais quand j’ai commencé à voler de grosses sommes d’argent, il m’est arrivé de retourner l’agent à des victimes si je trouvais que leur situation était assez triste. Je ne me sentais pas coupable, je justifiais mes crimes. J’arrivais à me faire croire que j’étais une bonne personne. Il a fallu que j’aille en prison pour prendre conscience de ce que j’avais fait et changer de vie.

Vous avez contribué à créer Shadow Crew, un forum en ligne qui facilitait le réseautage entre cybercriminels. Quel était le but de ce mouvement de hackeurs?
Shadow Crew était le tout premier réseau de cybercriminalité organisée. C’était le précurseur des marchés du web profond d’aujourd’hui, avec Carder Planet, qui était dirigé par un de mes associés.

Quand j’ai cocréé Shadow Crew, on ne pensait pas être des pionniers. On créait juste un lieu virtuel où on pouvait faire des affaires et de l’argent. Il fallait trouver le moyen d’échanger avec les autres criminels et s’assurer qu’aucun de nos membres ne se ferait voler. Après tout, on était des voleurs. On devait créer un système pour s’assurer du respect d’un code d’honneur entre criminels.

Vous avez été condamné par le gouvernement des États-Unis et votre nom a figuré sur la liste des dix fugitifs les plus recherchés par le FBI, mais vous avez continué quand même. Qu’est-ce qui vous motivait? Étiez-vous inquiet d’être un jour arrêté?
La raison pour laquelle j’ai continué de pirater et d’enfreindre la loi est complexe. D’abord, j’étais désespéré. On m’avait arrêté et j’avais perdu tout ce que j’avais volé. Tout ce qui me restait, c’était ma copine, une strip-teaseuse. J’étais fou, j’aurais fait n’importe quoi pour la garder auprès de moi. Ça voulait dire continuer à voler de l’argent.

Ensuite, il y avait le fait que les Services secrets m’avaient recruté; ça a beaucoup gonflé mon ego. Enfreindre la loi depuis les bureaux des Services secrets, peu de gens sont arrivés à le faire. Ça a encore gonflé mon ego. Je savais que je finirais par me faire pincer : avant ma première arrestation, on avait intercepté un message des Services secrets à propos d’une enquête sur nous. Mais on a continué.

Après mon arrestation, quand je travaillais pour eux, je savais qu’ils finiraient par s’en apercevoir. Mais j’étais tellement désespéré que j’ai continué. Je suis devenu fataliste.

Qu’est-ce qui vous a décidé à devenir un informateur, en fin de compte?
Être arrêté. J’ai été arrêté trois semaines avant la date prévue du mariage avec ma fiancée, la strip-teaseuse. J’étais prêt à tout pour essayer de sauver notre couple, alors j’ai instantanément accepté de devenir informateur. Elizabeth, ma fiancée, ne savait rien [de ce que je faisais] avant mon arrestation. Je pensais que ça me permettait de sauver notre couple.

Bien sûr, dès que les Services secrets m’ont sorti de prison, j’ai recommencé. Le jour même. Je pensais devoir acheter l’amour d’Elizabeth. Une partie de moi se disait que je pouvais travailler pour les Services secrets et enfreindre la loi en même temps. Je n’allais pas très bien.

Comment jugez-vous le calibre des cybercriminels d’aujourd’hui par rapport à vos associés?
Les criminels de l’époque avaient beaucoup plus d’expertise. Parce qu’on mettait au point ces crimes au fur et à mesure, on en comprenait les dynamiques de fond en comble. On en connaissait toutes les nuances.

La plupart des criminels d’aujourd’hui ne comprennent pas les dynamiques des crimes qu’ils commettent. Ils lisent un article à propos des sommes qu’un hackeur a volées et pensent qu’ils peuvent faire pareil. Ils vont sur un forum sur le crime, achètent un tutoriel ou suivent un cours et ils commencent. Ils n’ont plus besoin de savoir quoi que ce soit; ce sont plus ou moins des script kiddies [des néophytes qui utilisent des scripts ou des programmes créés par d’autres].

Par contre, ça ne veut pas dire que la cybercriminalité a moins de succès. À cause du grand nombre de personnes qui essaient de voler de l’argent, il y a plus de crimes qui réussissent. Aujourd’hui, les entreprises sont beaucoup plus susceptibles d’être victimes de cette nouvelle génération de criminels que d’un expert.

À quel point est-ce qu’il est facile d’être un cybercriminel? Quels sont les défis à surmonter?
De nos jours, c’est assez facile. Une personne qui entre dans la cybercriminalité peut faire par exemple ce qu’on appelle du « remboursement Amazon » et empocher 10 000 $ par mois. Ça permet aux aspirants de faire de l’argent tout en se renseignant sur d’autres types de crimes. Avant, ce n’était pas possible : les cybercriminels crevaient pratiquement de faim jusqu’à ce qu’ils découvrent comment réussir un crime.

C’est devenu si sophistiqué qu’un criminel peut aujourd’hui acheter un tutoriel à quelques dollars, qui lui donnera la marche à suivre étape par étape pour commettre un crime. Ou il peut suivre un cours en ligne donné par un criminel expert qui lui apprend comment voler de l’argent. Ces cours coûtent en moyenne 600 $ et durent environ six semaines. Beaucoup offrent une garantie, alors si l’étudiant n’arrive pas à faire de l’argent, il sera remboursé.

Le plus gros défi des criminels, c’est de trouver une technique unique qui fonctionnera longtemps, parce que les sites web s’adaptent. Et les autorités sont maintenant douées pour semer la méfiance parmi les cybercriminels. Il n’y a pas vraiment de forum central permettant le réseautage, et ils sont paranoïaques : ils ne savent pas du tout à qui ils peuvent se fier ni où faire des affaires.

Pour plus d'articles comme celui-ci, inscrivez-vous à notre infolettre.

Pensez-vous que le gouvernement ou les hackeurs éthiques arrivent à protéger efficacement la population contre les cybercriminels?
Je pense que le gouvernement peut être efficace. Le problème, c’est qu’il répond souvent aux besoins d’entreprises qui n’ont pas à cœur les intérêts de la population. Elles cherchent surtout les profits.

En plus, un chapeau blanc [un hackeur éthique ou un expert en sécurité informatique] travaille de 9 à 5 puis il rentre chez lui et n’y pense plus avant le lendemain. Le hackeur criminel ne lâche pas tant qu’il n’a pas réussi; on n’est pas loin du syndrome d’Asperger, à ce degré de concentration.

Je ne dis pas que les chapeaux blancs ne sont pas compétents; ils le sont. Il leur manque juste l’état d’esprit des criminels. C’est une des raisons pour lesquelles un cybercriminel qui a changé de camp est si important : les personnes comme moi comblent l’écart.

Si vous n’aviez pas été condamné, auriez-vous continué?
Il a fallu que je sois arrêté et que j’aille en prison pour changer. La prison a été nécessaire pour moi. Mais ma femme, Michele, et ma sœur, Denise, ont été plus importantes encore. Ce sont elles qui m’ont sauvé.

Je le dois aussi au FBI, au Identity Theft Council, au The Card Not Present Group et à une foule d’autres groupes ou personnes qui m’ont pris sous leur aile et m’ont donné ma chance. Sans eux, je ne sais pas ce que je serais devenu.