La sophistication n’est pas l’apanage de tous les cybercriminels

Alors que de nombreux médias s'intéressent aux moyens déployés par les acteurs de la menace pour éviter de se faire prendre, qui s'avèrent souvent de plus en plus complexes et sophistiquées, permettez-moi de vous partager une anecdote au sujet d’un criminel incarnant le contraire de la sophistication.

Avant de rejoindre ESET, j'ai travaillé pendant 14 ans dans les forces de police britanniques, principalement au sein de la Cyber Crime Unit et de la Digital Forensics Unit (précédemment connue sous le nom de High-Tech Crime Unit). Mon travail au sein de cette unité consistait à localiser toutes sortes de preuves laissées sur des appareils numériques, des ordinateurs portables aux téléphones, afin de présenter ensuite ces preuves dans un rapport au juge, au jury et au tribunal. J'utilisais divers outils de recherche criminalistique et je devais trouver des preuves pour étayer des enquêtes allant de la fraude au meurtre.

En 2011, j'ai dû acheter un ordinateur portable et j'ai décidé d’opter pour un appareil d'occasion sur eBay. Comme toujours pour tout nouvel achat, j'ai fait beaucoup de recherches et je savais d'avance ce que je voulais. J'ai trouvé un ordinateur portable HP que je voulais être vendu sur le site par un vendeur qui avait une bonne cote de vente et qui avait vendu des ordinateurs portables et des gadgets similaires dans un passé récent. J'ai fait une offre et j'ai remporté l'article pour un peu plus de 210 £. J'ai payé par PayPal pour plus de facilité et de sécurité et j'ai entré mon adresse de livraison.

Comme j'étais au bureau entre 8h et 17h pendant la semaine, j'ai utilisé le poste de police comme adresse de livraison pour que les livraisons puissent être facilement signées par la réception. En outre, j'aimais utiliser le poste de police comme adresse de correspondance, au cas où j'aurais affaire à un criminel. J'ai supposé que l'utilisation de cette adresse dissuaderait quiconque d'envoyer des marchandises volées. D'autant plus que mon adresse incluait les mots « High-Tech Crime Unit » et s’apparentait à :

Ouf! Et pourtant...

Quelques jours plus tard, j'ai reçu un appel téléphonique de la réception de la station m'annonçant qu'ils venaient de signer un colis à mon nom. Je suis allé le chercher et il y avait un paquet marron, mal scotché, avec un nom et une adresse mal griffonnés. Je l'ai rapidement ouvert et, fidèle à la parole du vendeur, il y avait le portable HP à l'intérieur, comme annoncé. Bref, à date, tout va bien.

J'ai ensuite allumé mon nouvel appareil, où le message suivant est apparu  : « sarah ».

Au début, j'ai revérifié l'annonce pour voir si j'avais manqué quelque chose. Peut-être n'avais-je pas vu que le libellé de la description indiquait que je serais confronté à cette situation. Finalement, ce n’était pas le cas.

J'ai alors revérifié le nom du vendeur pour m'assurer qu'il ne s'appelait pas Sarah—bien qu'il ait pu la vendre au nom d'une personne prénommée Sarah. Ainsi, j’ai donc décidé de le contacter via eBay pour vérifier s'il était sûr de m'avoir envoyé le bon objet. Je n’ai obtenu aucune réponse.

J'ai alors compris que ce portable pouvait en fait être volé. Qui voudrait de revendre un ordinateur portable volé à un membre de l’unité des crimes liés à la haute technologie d’une force de police? On est loin de la sophistication, Je pensais que la cybercriminalité nécessitait plus de recherches.

J'avais à ma disposition différents outils pour examiner les ordinateurs d'un point de vue médico-légal, j'ai donc décidé d'enquêter sur mon nouvel ordinateur portable. J'ai retiré le disque dur et l'ai branché à mon poste de travail via un Tableau Forensic Bridge (logiciel d'orientation) pour préserver les preuves et trier efficacement le disque. J'ai utilisé le logiciel d'analyse numérique EnCase, qui m'a permis de visualiser facilement la structure des dossiers, y compris tous les documents et fichiers. J'ai également pu contourner les mots de passe de Windows 7 en visualisant le disque.

J’ai consulté le dossier « Documents » afin de rechercher des indices sur l'identité réelle du propriétaire de l'ordinateur portable. J'ai rapidement trouvé quelques documents Word concernant une Sarah, mais c’est en consultant son CV que j’ai trouvé dans ce dossier que j'ai vraiment pu trouver plus d'informations sur elle. On y trouvait son adresse et son numéro de téléphone portable. Son adresse n'était pas trop éloignée de celle du vendeur. Ce fait laissait entrevoir la possibilité qu'il la vendait pour le compte de quelqu'un, mais je me suis sentie obligée de vérifier auprès d'elle, alors que je connaissais dorénavant son numéro de téléphone.

J'ai appelé le numéro de téléphone et une voix très pittoresque et timide m'a répondu. Je lui ai immédiatement dit mon nom et d'où je venais et lui ai demandé de ne pas paniquer. Elle m'a dit qu'elle s'appelait Sarah et qu'elle vivait effectivement là où son CV l'indiquait. Je lui ai demandé si elle avait récemment vendu ou perdu des objets, ce à quoi elle a répondu en me disant que sa maison avait été cambriolée il y a un mois et que son ordinateur portable, son appareil photo numérique et ses bijoux avaient tous été volés. Je lui ai demandé de décrire au mieux son ordinateur portable, qui se trouvait bien évidemment devant mes yeux. Elle était naturellement soulagée en apprenant qu’elle pourrait récupérer celui-ci, après que je l’ai rassuré je lui ai dit que je m'arrangerais pour qu'il lui soit rendu après la fin des procédures requises.

Comme ce portable avait été volé dans un autre comté, situé à environ 160 km de là, j'ai contacté mes homologues de la police du Wiltshire et leur ai raconté les événements de ces dernières heures. Ils étaient visiblement excités de savoir comment, par pure chance, j'étais tombé sur ce portable et ils m'ont ensuite demandé l'adresse du vendeur. J'ai transmis toutes mes informations et le lendemain matin, une équipe a été déployée pour arrêter les occupants de l'adresse que je leur ai fournie.

À l'adresse, la police a trouvé non seulement l'appareil photo et les bijoux de Sarah, mais aussi l'un des plus prolifiques revendeurs de biens volés du Wiltshire, accompagné de ce qui a été décrit comme une « mine d'or » de biens volés dans le comté, suite à des mois de cambriolages.

Je suis également entré en contact avec eBay. En moins d'un mois, j'ai reçu un remboursement via PayPal pour l'incident. Après cette escapade, j'ai également décidé d'acheter un ordinateur portable tout neuf chez un autre revendeur. Cependant, chaque fois que j'entends parler de cybercriminels « sophistiqués », cette histoire me revient en tête.