Le FBI a aidé Facebook à développer un logiciel malveillant qui a infecté les systèmes Tails, ce qui a permis d’identifier un individu qui extorquait des jeunes filles pour des photos de nu.
Facebook a payé une société de cybersécurité pour développer une attaque de type « zero-day » dans Tails afin d’identifier un homme qui extorquait et menaçait des filles.
Buster Hernandez, en attente de sa condamnation, a harcelé en ligne et menacé des mineurs pendant des années dans dix États américains. « C’est un cas unique », selon la société
Le 3 août 2017, le FBI a fait une descente au domicile de Buster Hernandez dans une rue isolée de Bakersfield, en Californie. La première chose que Hernandez a faite a été de débrancher une clé USB de son ordinateur portable.
Cela a empêché les autorités d’obtenir des preuves de son activité récente. Mais il était trop tard. Malgré la sophistication technologique de Hernandez, le FBI disposait déjà de documents sur lui.
Depuis au moins cinq ans, Hernández utilisait Facebook et d’autres réseaux sociaux pour mener une campagne de harcèlement raffinée et étendue : il extorquait de l’argent en échange de vidéos sexuelles (connues sous le nom de sextorsion), menaçait de faire sauter une école et de tuer des dizaines de personnes, et se livrait au trafic de pornographie enfantine.
Hernandez (Californie, 1990) choisissait ses victimes mineures et leur écrivait un message similaire, selon les documents du tribunal : « Bonjour [nom], je dois vous demander quelque chose de plus ou moins important. À combien d’enfants avez-vous envoyé des photos cochonnes parce que j’en ai quelques-unes des vôtres ? Hernandez n’avait évidemment rien, mais c’était une façon de confondre ses cibles potentielles.
Sur Internet, Hernandez était Brian Kil, son pseudonyme principal mais pas unique. Ce mardi, le site Motherboard a révélé une action « unique » dans l’histoire de Facebook : le réseau social a payé plus de 100 000 dollars à une société de cybersécurité pour créer une attaque « zero-day » afin d’accéder à l’adresse IP du cyber-criminel.
Une attaque « zero-day » est la plus précieuse car elle détecte une vulnérabilité dans le logiciel que le développeur ne connaît pas. Quiconque est au courant peut s’introduire dans le système de quelqu’un d’autre. Il n’est pas clair, selon Motherboard, si le FBI connaissait les détails de l’action sur Facebook.
Hernandez a utilisé Tails, un système d’exploitation qui utilise le réseau Tor pour naviguer et qui crypte tout le trafic. Par le biais de connexions successives, Tor désoriente quiconque tente d’obtenir l’adresse IP à partir de laquelle quelqu’un accède à Internet. Hernandez avait des centaines de courriels et de comptes de réseau social pour poursuivre ses victimes. Mais sa trace n’a pas été retrouvée.
Deux anciens employés de Facebook ont admis à Motherboard que Hernandez était célèbre au siège de l’entreprise et le considéraient comme le pire criminel qui aurait utilisé le réseau social. Facebook a passé deux ans à le traquer et a finalement développé un nouveau logiciel automatisé qui détecte les utilisateurs créant des comptes et essayant de se rapprocher des mineurs (Facebook autorise les comptes à partir de 13 ans). Ce programme a apparemment permis de trouver plusieurs pseudonymes du cyber-criminel.
Le désespoir des responsables de l’entreprise a poussé Facebook à consacrer des ressources uniques et extraordinaires pour traquer ce criminel. « C’était un cas unique car il a utilisé des méthodes tellement sophistiquées pour cacher son identité que nous avons pris la mesure extraordinaire de travailler avec des experts en sécurité pour aider le FBI à le traduire en justice », a déclaré un porte-parole de la société.
La lecture du rapport du tribunal du FBI offre un répertoire plein d’actions dégoûtantes. Mais malgré le mal et la terreur évidents causés par Hernandez, le problème de l’action Facebook est la faiblesse des critères. Quand y aura-t-il un nouveau cas « unique » ? Quand l’entreprise croira-t-elle à nouveau qu’un criminel est assez intelligent pour consacrer des centaines de milliers d’euros à sa capture ?
L’avantage de la méthode choisie par Facebook est qu’elle n’ouvre pas une fenêtre permanente au FBI pour observer les utilisateurs suspects. Il s’agit d’un programme unique à usage unique. Quoi qu’il en soit, il met en évidence l’immense pouvoir d’une entreprise qui choisit de pirater l’un de ses utilisateurs.
Les développeurs de Tails ont découvert l’histoire lorsqu’ils ont reçu un appel d’un journaliste de Motherboard. Les attaques « zero-day », tant que l’entreprise ne comble pas la faille de sécurité, peuvent être utilisées autant de fois que les attaquants le souhaitent.
Tails est un programme courant chez les militants et les journalistes : il est presque impossible à tracer. Ou plutôt, elle l’était, jusqu’à ce que la société engagée par Facebook trouve un moyen d’entrer. Facebook dit qu’il n’a pas averti Tails une fois l’IP du cybercriminel découverte car dans une mise à jour ultérieure, le code vulnérable a été supprimé. Cette attaque du jour zéro n’était donc plus utile.
Dans une vidéo de Dropbox
Le FBI a placé les lignes de code de l’attaque sur une vidéo qu’un agent se faisant passer pour l’une des victimes a envoyée à Hernandez via Dropbox. Lorsque l’auteur du crime l’a joué sur son ordinateur, la vulnérabilité a permis aux autorités de découvrir son adresse IP.
Le prestataire de services leur a donné l’adresse physique dans une rue de Bakersfield, près de l’entrée du célèbre parc national de Joshua Tree, et à des milliers de kilomètres de l’endroit où vivaient ses victimes, dispersées dans tout le pays. C’est là que Hernandez vivait avec sa petite amie. Le FBI a surveillé le suspect pendant des semaines pour voir si les connexions correspondaient à son emploi du temps et pour obtenir d’autres preuves.
« Je veux être le pire cyberterroriste de l’histoire », a écrit Hernandez à l’une de ses victimes. Le harceleur était conscient de ses compétences techniques et de ses capacités. Son obsession pour l’une de ses victimes, qui vivait dans l’État de l’Indiana, l’a conduit à menacer de massacrer l’école qu’il fréquentait.
L’école a été fermée un jour par mesure de précaution, et les préoccupations de la communauté les ont amenés à organiser une session avec la police pour expliquer les détails de l’affaire. Hernandez a réussi à faire venir en douce une autre de ses victimes à cette réunion pour qu’il puisse expliquer ce qui se disait. « J’ai besoin que tu y ailles à 1000% », a-t-il menacé.
Il a ensuite publié les détails sur Internet pour faire croire qu’il était l’un des participants. « La grosse dame blonde avec les lunettes sur la tête et la chemise imprimée sous une veste blanche, qui a demandé comment nous savons qu’elle n’est pas là. J’étais, et j’ai beaucoup appris », a-t-il écrit. « Et s’il ne se fait pas prendre », la charité n’arrêtait pas de secouer la tête quand vous lui demandiez. Si je ne me fais pas prendre, je multiplierai les menaces et je tuerai vos enfants », a-t-il ajouté.
Les menaces à l’encontre des enfants qui lui envoyaient des photos ou des vidéos ont augmenté avec le temps : « Je sais où tu habites. J’irai là-bas la nuit. J’irai la nuit chercher tous mes esclaves à un moment donné. T’ai-je déjà fait pleurer ? » Il a donné des détails explicites sur ce à quoi les scènes de sexe devraient ressembler. Il a envoyé des exemples d’autres vidéos où des filles pleuraient en faisant les mêmes gestes.
Le procès s’est tenu cette année dans l’Indiana et la sentence devrait être rendue publique en septembre. Hernandez a plaidé coupable à la plupart des accusations. En prison, il s’est fait tatouer un tatouage sur le cou « B ». K. », les initiales de Brian Kil.