Les (mauvaises) recettes d’un ancien pro du bourrage d’identifiants

Spread the love
  • Yum

Les (mauvaises) recettes d’un ancien pro du bourrage d’identifiants

Si vous devez si souvent changer votre mot de passe, c’est aussi à cause de lui. Sur le forum de black hat Cracked.to, le profil de ce jeune Angevin cumule des milliers de likes. Outre un avatar soigné, animé avec un gif d’un plus bel effet, cet internaute compte également une boutique en ligne et anime un serveur discord qui rassemble plusieurs centaines de curieux. Un “best seller”, salue un membre du forum, qui loue son intégrité et son service après-vente. Mais, détail significatif, cet internaute spécialisé dans le bourrage d’identifiants (ou “credential stuffing”), n’est plus actif sur ce site depuis juin 2020.

Pour une raison simple : il a été visé par deux enquêtes judiciaires, qui viennent de se solder par sa condamnation, lundi 13 septembre 2021. Ce jeune homme de 20 ans, qui vit près d’Angers et recherche un emploi pour financer une année de licence en sécurité informatique, vient en effet d’être condamné par le tribunal judiciaire de Paris à six mois de prison avec sursis, et 3 500 euros de dommages et intérêts à verser à l’une des entreprises victimes.

publicité

La réutilisation de mots de passe, un bon filon

Le hacker malveillant était poursuivi pour plusieurs infractions autour du piratage informatique, conséquences de son activité intense autour du credential stuffing. Domaine en plein essor, le bourrage d’identifiants est l’un des maillons essentiels de l’économie illégale des fuites de données. Le principe est simple : il s’agit de tester en masse auprès d’une multitude de services des couples d’identifiants et de mots de passe qui ont fuité.

Les internautes ayant tendance à réutiliser les mêmes mots de passe, le bourrage d’identifiants permet de valoriser des fuites de données sur les marchés noirs. Sur plusieurs millions de comptes, même un faible pourcentage de combinaisons valides représente un important volume de données pouvant être compromises, avant par exemple d’être utilisées pour des escroqueries. Comme le signale la CNIL, plusieurs parades existent, que ce soit par l’utilisation d’une authentification multifactorielle ou par la mise en place d’un CAPTCHA.

Selon l’une des deux enquêtes judiciaires, menée par les gendarmes de la section de recherches de Paris, la valeur totale des offres de Gaétan (*) avoisinait les 45 000 euros, à travers une centaine d’offres en vente. Son bénéfice réel est cependant moindre, environ 10 000 euros, pour une recette de 200 à 300 euros par mois en quelques années. Malgré ces faibles gains tirés de son activité illégale, Gaétan, polo clair sur jean délavé, est considéré comme un « professionnel » par les magistrats, qui voient « rarement des dossiers aussi vastes ».

Mea culpa

Des accusations que le prévenu n’a pas contestées. Mal à l’aise avec son activité en ligne, ce jeune homme aux cheveux mi-longs avait déjà arrêté son commerce, quelques semaines avant la perquisition des gendarmes, après l’arrestation d’un autre membre du forum. « J’ai réalisé, un peu tard, le mal que je pouvais causer », regrette-t-il. Au départ, ce passionné d’informatique souhaite d’abord se perfectionner dans la cybersécurité. « Je m’amusais à pirater l’ordinateur de ma mère, mais avec son accord », se souvient Gaétan. « J’ai commencé à tester ce genre d’attaques, puis des personnes m’ont dit que je pouvais monnayer ce type de service. »

Pour trouver des couples d’identifiants fonctionnels, la technique est bien rodée. Armé d’OpenBullet, « le logiciel le plus utilisé », il prépare un fichier de configuration orientant l’attaque vers un site particulier, utilise un proxy pour dissimuler le grand nombre de requêtes et teste ensuite une liste d’identifiants, les combolist. « Il a eu du succès au fur et à mesure, en soumettant gratuitement ses combolist et ses configurations », résume son avocat, Me Benjamin Gourvez. « Mais à la base, ce n’était que du bidouillage informatique, une démarche expérimentale pour tester les systèmes. »

Des milliers de victimes, mais une seule partie civile

Reste que les dommages sont bien réels, même si leur ampleur est inconnue. Les victimes sont des internautes ayant des comptes sur Spotify, PlanetSushi ou encore Digiposte, le coffre-fort numérique de La Poste où l’on peut par exemple stocker ses bulletins de paie. Sur son shop, Gaétan commercialisait des identifiants de comptes volés, testés auparavant par ses soins. Les techniques frauduleuses employées allaient de l’astuce pour écouter Spotify gratuitement, en parasitant un compte “famille” pour y ajouter en douce ses identifiants, à des méthodes plus élaborées : Gaétan a ainsi commercialisé un fichier de configuration OpenBullet, vendu moins de 100 euros – la preuve pour sa défense que Gaétan était avant tout motivé par la technique – et paramétré pour attaquer Digiposte. Une cible de choix pour ceux qui tentent de faire fructifier des services autour de l’usurpation d’identité.

A la justice, l’entreprise a affirmé avoir dû financer une riposte à environ 37 000 euros pour trouver la parade. C’est d’ailleurs la seule victime qui s’est constituée partie civile dans cette affaire. « C’est assez vertigineux : il y a des milliers de victimes dont les données ont été a minima compromises, sinon utilisées à leur insu pour faire des attaques beaucoup plus dangereuses, mais la procédure judiciaire ne permet pas de les recenser matériellement », regrette le substitut du parquet, Barthélémy Hennuyer. Ce n’est pas fini : sur le forum Cracked.to, d’autres ont déjà pris le relais.

(*) Le prénom a été modifié

Leave a Reply

%d bloggers like this: