Quand un célèbre cyber-escroc converse avec un chercheur de l’Université de Hull…
Il est 7h du matin et je suis à Hull, où je dois passer prendre Brett Johnson, connu dans le cyberespace sous le nom de Gollumfun, et surnommé le « parrain » du darknet par les services secrets américains.
En 2006, avant d’être arrêté pour cybercriminalité et blanchiment de 4 millions de dollars, Brett figurait sur la liste des personnes les plus recherchées des États-Unis. Comme je n’ai jamais rencontré aucun membre de cette liste, il va sans dire que je suis un peu intimidé. L’homme s’avère amical et décontracté et je m’attache à l’aborder sans préjugés.
Je m’efforce néanmoins de ne pas oublier que j’ai affaire à un ancien cybercriminel, à l’origine d’un « célèbre » système de fraude fiscale, de vols d’identité en tout genre et de ShadowCrew, l’ancêtre du darknet.
Il est prévu que nous passions deux jours ensemble. Je l’ai invité à faire une conférence à l’École de commerce de l’université de Hull). Quelques semaines après celle qu’il a donnée, en partenariat avec le FBI, à l’université de Tulsa (Oklahoma), il s’envole pour la première fois vers le Royaume-Uni.
Brett, qui s’apprête à passer 48 heures à m’expliquer son ancienne logique criminelle, mêlant cybersécurité et blanchiment d’argent (sujet sur lequel j’ai effectué des recherches pendant plus de dix ans), déborde de confiance, mais il reconnaît que plonger dans la cybercriminalité a été la plus grosse erreur de sa vie.
La gratitude qu’il affiche à l’égard des services secrets américains ne l’a pas empêché de les décevoir quand il a continué à frauder au sein même de leurs locaux, alors qu’ils l’avaient sorti de prison afin d’en faire leur indicateur.
Il chante les louanges du FBI, des trémolos dans la voix quand il évoque l’agent K.M., qui l’a aidé à tourner définitivement le dos à la cybercriminalité. Il ne manque pas non plus de mentionner sa sœur, Denise, et sa femme, Michelle, quand il parle de son changement de vie radical. Elles lui ont « sauvé la vie » dit-il. Il se remémore aussi la façon dont sa mère, à la tête d’un réseau de fraude familiale, l’a entraîné dans les magouilles dès l’âge de dix ans, tout comme elle l’a fait avec sa grand-mère.
« J’étais en quelque sorte destiné à devenir fraudeur », déclare-t-il.
Il a financé son premier mariage, en 1984, par une fraude à l’assurance, en simulant un accident de voiture. C’est donc tout naturellement qu’il a transposé son comportement frauduleux sur Internet.
Il a commencé par arnaquer des acheteurs sur eBay, avant d’exploiter une faille créée par un arrêté canadien, qui estimait que le « piratage » des antennes paraboliques était légal (au Canada, mais pas aux États-Unis). Brett s’est mis à reprogrammer les cartes de transmission pour ses clients canadiens, dont il n’arrivait pas à satisfaire les commandes assez rapidement. Très vite, il s’est dit : « Pourquoi leur envoyer le matériel ? À qui iront-ils se plaindre ? »
Mon interlocuteur a manifestement commis un grand nombre d’erreurs. Il est le premier à le reconnaître et se désigne souvent comme « l’abruti » qui a enfreint la loi, à plusieurs reprises, et passé un certain temps en prison (y compris huit mois à l’isolement) avant de se décider à assumer ses actes.
Plus de dix ans ont passé. Aujourd’hui, sa société de conseil, Anglerphish Security, lui permet de faire part de son expertise en collecte de renseignements sur le darknet, en tests d’intrusion et en ingénierie sociale. Celui qui conseille désormais les entreprises classées au palmarès Fortune 500 affirme que ses années de criminalité sont bel et bien derrière lui. Il essaie, dit-il, de convaincre de jeunes cybercriminels, qui le contactent en ligne, d’abandonner leurs pratiques frauduleuses.
Rompu à l’art du darknet
Les cybercriminels se trompent en faisant abstraction des conséquences de leurs actes, explique-t-il. Ils en nient constamment les répercussions négatives et affirment qu’ils continueront de toute façon dans cette voie. Ils ne voient que le côté plaisant de leurs magouilles, les fruits de leurs pratiques interconnectées et exploitent des subtilités qui, loin d’être confinées à l’écran de leur ordinateur, s’étendent à la géopolitique.
À titre d’exemple, pour les vols d’identité, Brett détournait des adresses IP d’Europe de l’Est, peu susceptibles d’être signalées aux États-Unis en raison des mauvaises relations politiques entre ces pays. Chaque détail compte. C’est pourquoi, explique-t-il, en matière de « fraude amicale » (ou fraude aux remboursements), les malfaiteurs font leurs devoirs.
« Il n’y a vraiment que les criminels pour lire les conditions générales d’utilisation des sites Internet. Personne d’autre ne le fait », me dit-il. Simplement pour « avoir une idée de la façon dont fonctionnent lesdits sites ».
Le timing est également crucial, ajoute-t-il. « Si vous faites attendre une victime suffisamment longtemps, elle abandonnera, exaspérée. » C’est une leçon qu’il a apprise dès sa première arnaque sur eBay. À la grande frustration des équipes qui luttent contre la cyberdélinquance, les victimes de fraude sur Internet signalent rarement ces crimes à la police. Pire encore, certaines entreprises refusent de dénoncer les cyberattaques et sont prêtes, comme l’a révélé le dernier scandale Uber en date, à aller très loin pour dissimuler le piratage organisé des données de leur clientèle.
En matière de cybercriminalité financière, Brett déclare que le détournement d’identité est au cœur du processus. C’est parce qu’il le savait qu’il a repris, en 2004, Counterfeitlibrary.com, où se retrouvaient les cybercriminels en quête d’une fausse identité.
Une des pierres angulaires de la cybercriminalité, « et ce qui lui assure un maximum de réussite ou de potentiel, c’est le réseautage entre individus », explique-t-il. La grande majorité des fraudeurs en ligne ne sont pas des professionnels. Ils apprennent les uns des autres en publiant des manuels, des guides, des notes et en s’entraidant sur les forums. Si un cybercriminel découvre une faille dans le système d’une multinationale, tout le monde s’y met. Le vol de 2,5 millions de livres sterling à la banque Tesco l’an dernier au Royaume-Uni a débuté par la publication sur un forum d’un individu déclarant qu’il leur avait escroqué 1 000 livres.
C’est pourquoi les entreprises, qui sont des victimes potentielles, doivent absolument surveiller ce qui se passe sur le darknet. Elles ne sont pas les seules à êtres sensibilisées à ce problème. Les aspirants escrocs versent ainsi plusieurs centaines de dollars aux pontes de la cybercriminalité pour une formation en ligne de six semaines leur enseignant les rudiments de la fraude. Ils se protègent également en se donnant mutuellement des conseils destinés à préserver leur anonymat sur Internet. C’est que faisait Brett, gracieusement, pour les membres de ShadowCrew. Aujourd’hui, tout se monnaye.
Dans l’ombre des réseaux
Lorsqu’il dirigeait le réseau ShadowCrew, il vendait des cartes de crédit prépayées et des comptes bancaires frauduleux. Il a largement participé, avec d’autres, à allier hameçonnages et piratages de cryptogramme. Albert Gonzalez, le modérateur de ShadowCrew, a été condamné à 20 ans de prison pour avoir orchestré le vol en ligne de 170 millions de numéros de cartes. C’est aussi ce réseau qui a fini par envoyer Brett derrière les barreaux.
Il a également mis en place une fraude fiscale en ligne à base d’usurpation d’identité, activité criminelle hautement lucrative devenue l’élément central des flux de capitaux illégaux qu’il avait établis. À l’aide du registre de mortalité de Californie, il a rempli des déclarations de revenus au nom des morts. Étonnamment, cela a fonctionné. Il pouvait faire une déclaration de revenus toutes les six minutes mais l’ouverture de comptes bancaires en ligne ne suivait pas ! Au cours de ses activités cybercriminelles, Brett a ouvert « des centaines de comptes ». Certaines semaines, affirme-t-il, il effectuait « des retraits de 160 000 dollars en liquide ».
Précurseur de la criminalité sur Internet, Brett se dit ébahi par l’ampleur du phénomène aujourd’hui. Si ShadowCrew comptait 4 000 membres, AlphaBay, avant d’être fermé par le FBI, en revendiquait 240 000. Confrontés à ce qui ressemble à un déni de service distribué (DDoS) continu, associant plusieurs États, contre les principaux forums du darknet, les cybercriminels se regroupent rapidement ailleurs. Pour ces derniers, ajoute Brett, le bitcoin représente l’outil idéal.
Les banques, les entreprises et nombre d’institutions adoptent systématiquement des outils antifraude pour protéger leurs systèmes du piratage et des arnaques, mais les fraudeurs ont les mêmes à leur disposition. Ils testent des outils destinés à leur assurer l’anonymat. Ils achètent également dans le commerce des logiciels visant à bloquer les tentatives de détection et brouiller les approches de détection comportementales.
Un autre outil, dont Brett fait la démonstration, permet à n’importe qui d’acheter des adresses IP détournées provenant d’un large éventail de pays, dont le Royaume-Uni, au prix d’environ 30 livres l’adresse. Pour 15 livres de plus, il évalue le risque qu’encourt le fraudeur de voir son adresse IP détectée ou bloquée par un logiciel antispam et antifraude du commerce.
On notera l’ironie de la situation : les décisions des cybercriminels reposent sur l’évaluation par un tiers du risque IP. Cela dit, si les criminels procèdent à leur propre sécurité opérationnelle, rien d’étonnant à ce que la « gestion du risque » basée sur la fraude constitue l’étape suivante dans ce tango en constante évolution.
Il y a tant de choses à évoquer avec Brett que les deux jours qui nous ont été alloués passent à la vitesse de l’éclair. Après sa visite, nous nous retrouvons en ligne et il me suggère de changer mon alias Unix, perdu depuis longtemps. De carlito, nom désormais pris par quelqu’un d’autre, je passe à carl1to, le chiffre un faisant référence au premier Carlito, joué par Al Pacino dans un film de truands des années 1990. Voilà qui me semble clore de façon rêvée ma rencontre avec le parrain du darknet.
Pour écouter la version longue de la discussion entre Demetis et Brett Johnson, écoutez le fichier audio ci-dessous.
Traduit de l’anglais par Catherine Biros pour Fast for Word.