Publié le 21-06-2010 à 10:57:17 dans le thème Lois - Justice

Pays : France - Auteur : La rédaction

Pub : Tous les logiciels anti-spam gratuits disponibles sur Internet

Jeudi, Hacker Croll, l´internaute ayant piraté Twitter est convoqué devant un juge de Clermont-Ferrand. C'est jeudi que l'internaute du nom de Hacker Crowl est convoqué devant a justice. Il lui est repproché d'avoir piraté le site de micro blogging Twitter et d'avoir exploité les données pour visiter des comptes comme ceux de Britney Spears ou encore Barack Obama. Le jeune auvergnat devra s'expliquer devant le tribunal de Clermont-Ferrand. Il avait été arrêté, le 23 mars dernier par des policiers de l'Office central de lutte contre la criminalité liée aux technologies de l'information (OCLCTIC). Des officiers de police judiciaire secondés par quatre agents du FBI.

L'enquête à l'encontre de Hacker Croll avait été lancée à la suite du piratage du compte Twitter du président américain Barack Obama. Une investigation lancée par le FBI. Elle s'était conclue au commissariat de Clermont-Ferrand pour l'homme de 25 ans. Ce pirate informatique avait contacté la rédaction de ZATAZ.COM, en mai 2009, pour expliquer comment il avait pu mettre la main sur des milliers d'informations appartenant à Twitter et aux dirigeants de ce portail international de micro blogging.

En mai, il voulait aider Twitter. Quelques mois plus tard, nous sommes alors en juillet, Hacker Croll décidait de diffuser les documents, sur la toile, via plusieurs blogs. Une action très certainement décidée après avoir écouté de mauvais conseilleurs.

Avril 2009
Toute l'affaire Hacker Croll a débuté fin avril 2009. Un mystérieux internaute diffuse, via le le forum de ZATAZ.COM, plusieurs captures écrans montrant ce qui ressemblaient à des espaces d'administrations du site de micro blogging Twitter.

Difficile, à l'époque de s'assurer de la véracité des données. Pour prouver ces dires, quelques jours plus tard, de nouvelles captures écrans montrant le fonctionnement interne de l'administration du concurrent de Facebook s'affichaient dans le forum de ZATAZ.COM. Parmi les informations volées chez Twitter, un fichier datant du 18 avril baptisé "Incident write-up for Mikeyy Worm Attack, Part 6". Il retraçait la petite aventure du virus ayant visé le site communautaire. Un document qui fournissait le code lié à l'attaque et les liens qui allaient avec.

A la vue des documents, la rédaction de ZATAZ.COM décide de rentrer en contact avec Hacker Croll, via MSN. Il nous fournira, comme preuve ultime, plusieurs milliers d'informations sur Twitter, ses dirigeants, des vedettes américaines, ...

Parmi les données qu'il a réussi à trouver et voler, des données sensibles d'Evan Williams (co-fondateur de Twitter) ; Kevin Thau ; Margaret Utgoff, Anamitra Barneji; Andrea Ramirez; Biz Stone (l'autre co-fondateur); Britt Selvitelle; Caroline Mizumoto; Crystal Taylor; Doug Bowman; Doug Williams; Evan Weaver; Jason Goldman; Jay Edwards; Jeremy LaTrasse; Krissy Bush; Ryan King; Vitor Lourenço et l'épouse de Williams, Sarah Morishige.

Plus étonnant encore, des informations sur des comptes Apple Store, Gmail, Amazon, Facebook, MobileMe, Paypal, des détails de communications téléphoniques, ... Tout ça en pillant allègrement dans les comptes eMails préalablement piratés des fondateurs de Twitter, leurs employés, ... Bref, Kévin Mitnick, roi du Social Engineering avait déjà engendré des enfants. Avec cette affaire, the Condor viennait de croiser le meilleur de ses disciples.

Le 17 juin, il est 12h42. Avec l'autorisation de Hacker Croll, la rédaction de ZATAZ.COM rentre en contacte avec Twitter et Evan Williams, son co-fondateur. Notre but, avertir la société de la fuite et permettre à l'internaute de s'expliquer. Notre courriel trouvera une réponse à 23h32. Décalage horaire oblige, Evan Williams, nous invite à le rejoindre sur MSN. Durant plusieurs heures, nous allons expliquer à Evan Williams comment le français avait réussi, avec un peu de finesse et de social engineering, à mettre la main sur les données.

La prise de contacte effectuée. L'ensemble des mots de passe, accès, ... seront corrigés. Hacker Croll avait annoncé qu'il ne diffuserait pas les informations maintenant que son action d'alerte avait été entendue. Nous nous sommes permis, cependant, de demander à Evan Williams si une compensation pouvait être réfléchie à l'attention du jeune surfeur. Evan Williams n'y voyait pas d'inconvénient et avait promis d'y réfléchir. "Heureusement que t'étais là, confiait Hacker Croll à ZATAZ.COM en Mai, Sinon j'aurai tout diffusé n'importe comment comme je l'avais fait pour l'admin Twitter".

Seulement, les jours sont passée. Evan s'en est allé, sans plus jamais donner de nouvelle, et Hacker Croll a préféré diffuser les documents, mi juillet, via plusieurs blogs. Il trouvait alors que son "action" n'avait pas été assez médiatisée. Qu'aider, après tout, cela ne servait à rien !

ITW : Rencontre du 3e type
Il nous aura fallu un petit mois, nous sommes alors en juin 2009, pour rentrer concrètement en contact avec Hacker Croll. Étudiant, Hacker Croll est passionné par le social engineering, l'étude d'une cible afin d'en extraire un maximum d'informations. Avec Twitter, Hacker Croll semble avoir tiré le jackpot. Révélation !

ZATAZ : Que veut dire Hacker Croll ?
Hacker Croll : C'est un clin d'œil. Quand j'étais jeune, dans mon pays, la grande mode était au jeu Pac-man. Hacker Croll fait référence au créateur d'un vieux jeu de Pac-man, sur pc, baptisé Greedy et édité par Eclipse Software. Des anciens démomakers.

Pourquoi "pirater" Twitter ?
En fait tout a débuté avec la lecture d'un article sur un ? gars de 18 ans qui avait piraté le mot de passe d'un administrateur de Twitter. Une attaque à coup de brute force.

Peux-tu nous expliquer ta méthode ?
Oh, elle est presque simple. Il fallait un peu de temps, de chance et de curiosité. Première action, arriver à trouver une adresse électronique des employés ? J'ai eu juste à chercher en faisant un whois sur des noms de domaines appartenant à des employés. Seulement, au départ, galère. Certains Registars masquent les adresses pour lutter contre le spam et préserver un peu plus l'anonymat de leurs clients. Je me suis rendu dans la page About US de Twitter et j'ai consulté la fiche de chaque employé. Certains avaient indiqué l'url de leur site web. Il m'a suffit de faire, de nouveau, un Whois.

Que faisiez-vous avec ces emails ?
Certains des employés possédaient une adresse du style [email protected] Je me suis dit que dans cette situation, impossible d'agir, il n'y a pas de processus de redéfinition de mot de passe pour ces adresses. D'autres employés avaient une adresse de type @gmail.com. Chez Gmail, autre problème, on ne peut accéder à la question secrète seulement après une inactivité de 24h sur le compte en question. Et comme la plupart des employés s'y connectent tous les jours, difficile de passer par là.

D'où l'attaque par Yahoo ?
Oui, il y avait d'autres employés qui avaient renseigné une adresse en @yahoo.com. C'était le cas de Jason Goldman par exemple. Je vais sur Yahoo. Je clique sur mot de passe oublié et je rentre son adresse. Je me heurte à une première difficulté.

Laquelle ?
Yahoo demande de vérifier l'identité avant de pouvoir accéder à la question secrète. Pour cela il demande de renseigner la date de naissance, le code postal, le pays tels qu'ils figurent sur le compte. Je n'avais jamais réussi à franchir cette étape, mais par chance, l'employé possédait un blog qui datait de 2002 dans lequel il racontait sa vie. Dans son profil figurait son âge et son signe astrologique. J'ai ainsi pu déterminer son année de naissance.

Vous n'aviez pas le jour ?
Non, mais en recherchant dans des articles, j'ai rapidement pu trouver ma réponse. J'ai trouvé la réponse dans une page datant d'octobre 2004. Heureusement d'ailleurs car Yahoo! bloque les comptes emails après 10 fausses tentatives. [au bout de 10 mauvaises tentatives de connexion, NDR]. Le code postal n'a pas été compliqué. Je l'ai trouvé à l'aide du whois. Pour sa question secrète, simple, c'était sa ville de naissance, Saint-Louis.

Ensuite ?
Ensuite, j'ai oublié une étape et c'est ça qui a tout fait foirer. Ni lui, ni Twitter n'auraient vu, ni su.

Cette erreur ?
Le gars avait indiqué plusieurs emails de secours pour récupérer son mot de passe. Chez Yahoo! dès que l'on modifie ton mot de passe, la réponse à la question secrète, ... le webmail envoie une notification par courriel. C'est comme ça qu'il a su ! Il était connecté sur son compte gmail à ce moment là.

Qu'avez-vous fais ensuite ?
Une fois sur son compte Yahoo, la première chose que j'ai réalisé a été de de virer ses emails de secours. J'ai également modifié sa question secrète. Ensuite j'ai commencé les recherches dans ses messages avec le mot clé password. Je suis tombé sur une multitude de mots de passe différents. Il avait en fait toujours le même mot de passe avec une petite variante, deux lettres. Les deux premières lettres du site utilisait. Google, ça donnait GOxxxx ; Twitter : TWxxx ; Gmail : gmxxx ; ...

Et vous avez trouvé le mot de passe de l'administration de Twitter ?
Oui et non. Son identifiant htaccess ne finissait pas par @twitter.com mais uniquement ce qui précédait son adresse email.

Une fois dans l'administration, qu'avez-vous fait ?
J'ai fait quelques captures écrans et j'ai été rapidement découvert. Près de 15 minutes plus tard, le staff de Twitter a remarqué une activité anormale et ils ont désactivé l'administration.

On a lu et entendu [Émission C'est dans l'air - France 5 – 29/05/09] que vous aviez modifié des choses. Usurpé l'identité de Britney Spears, Obama ?
J'ai reçu la vidéo par Internet. Un ami me l'a traduit. Je ne sais pas qui est le vieux monsieur qui a osé dire cela mais il faudrait qu'il retourne d'où il vient, dans sa maison de retraite par exemple. Je n'ai JAMAIS rien modifié, usurpé, ... J'ai simplement pris des captures d'écran sans modifier quoi que ce soit. Oui j'aurai pu le faire, mais ce n'est pas mon éthique. J'aime les défis, point barre.

Twitter a tenté de vous contacter ?
Non. Il n'avait pas mon email. Ils n'ont pas tenté non plus via les forums ou je discute.

Quelles types d'informations ?
Je ne dirai rien, pour le moment. Juste que j'ai, par exemple, les restrictions alimentaires imposées à certains employés ; Le codes d'accès à l'office Twitter de chaque employé ; Le détail des communications téléphonique effectuées par Evan Williams [Le patron de Twtter, NDR], ... et je sais exactement ce que se sont dit les employés après mon passage. Par exemple, Jason Goldman a averti, le jour même, tout les employés.

Il leur a fait la recommandation de modifier leur mot de passe ainsi que l'email qui figurait dans leur compte. Le nouveau mot de passe respecte dorénavant certaines exigences. Pour cela, un script Perl a été mis en place. Ce script s'assure que le mot de passe remplit bien certains critères. Mot de passe de taille suffisante ; qu'il ne figure pas dans un dictionnaire ; qu'il n'y a pas de caractères répétitifs ; etc.

J'ai même eu accès, bien plus tard, à la lettre interne diffusée par Biz Stone, l'un des co-fondateur de Twitter. Un message envoyé aux employés dans laquelle il expliquait l'intrusion, que le FBI me recherchait, ...

Ton action, uniquement pour le défit ?
Oui et uniquement pour ça. Le hackito ergo sum [Je hack donc je suis, NDR] comme toi même tu l'appelles depuis des années. Je hack donc je suis. Mais pas question de nuire, détruire. Je pourrai revendre facilement ce que j'ai trouvé, mais ça aussi, hors de question.

Tweet

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Mon papa est un pirate

Le pére et son fils pirataient des données bancaires. Ils risquent aujourd´hui la prison à vie.

Iphone 4S reste legal en France

Le TGI de Paris refuse que soit interdit la commercialisation de l'Phone 4S sur le territoire Francais.

La loi et les blagues pédophiles sur Facebook

Un espace Facebook s´amuse et diffuse des blagues autours d´actes pédophiles.

Arnaque: récupération de points de permis de conduire perdus

Le tribunal de Créteil juge, ce vendredi après-midi, des escrocs ayant proposé de récupérer des points de permis perdus lors d´un contrôle autoroutier.

Mozilla rejoint la fronde contre la SOPA

La SOPA, nouvelle loi américaine en préparation. But avoué, contrer les pirates de film, musique. But inavoué, contrôler le web pour les dinosaures d´Hollywood qui n´ont pas évolué.

Un pirate ayant attaqué des serveurs de la NASA arrêté

Un pirate informatique ayant attaqué plusieurs serveurs de la NASA arrêté.

Action anti warez : 5 sites web fermés

Cinq sites Internet dédiés à la diffusion de films piratés fermés. Le webmasteur avait installé son business à Las Vegas.

UMP Dox : Enquête ouverte par le parquet de Paris

Le parquet de Paris a ouvert une enquête préliminaire à la suite du piratage de données professionnelles et personnelles de plusieurs centaines de députés UMP.

Réagissez à ce contenu