INTERVIEW : MafiaBoy, l'un des 10 plus gros hackers au monde

Lors d'un événement à Palo Alto, en Californie, le showmetech hacker canadien interviewé Michel Calcé, également connu en ligne sous le nom de MafiaGarçon🇧🇷 À l'âge de 15 ans, il acquiert la notoriété pour supprimer des sites comme Yahoo! (à l'époque, plus grand que le Google), le géant de la distribution Amazon, en plus d'autres sites importants tels que ceux de Dell, FIFA, eBay et le réseau de nouvelles CNN.

Les attaques ont été faites en utilisant une technique appelée DDoS (Distributed Denial of Service, en anglais), où le nombre excessif de requêtes sur une page finit par faire tomber le serveur sur lequel elle est hébergée. On estime que les pertes globales causées par les heures d'arrêt des sites en cette année 2000 ont atteint 1.2 milliard de dollars.

Lors de l'entretien, Michael expliqué les chemins qui l'ont conduit à devenir un pirate, comment les parents devraient traiter un enfant qui démontre un intérêt pour l'apprentissage du code informatique et l'état actuel de la sécurité en ligne dans un monde qui devient encore plus populaire avec les appareils connectés, entre autres sujets.

Confirmez pour suivre :

Peux-tu nous parler un peu de ton histoire, MafiaBoy ?

Bien sûr! J'ai grandi à Montréal, Québec. Ma mère est de Turin et mon père est de Naples. J'ai mis la main sur un ordinateur pour la première fois à l'âge de six ans. J'ai adoré et j'ai été attiré par lui dès le début. Quand Internet m'est devenu accessible, je me suis vraiment impliqué dans la technologie, passant des heures par jour sur l'ordinateur.

J'aime les puzzles, je suis curieux de nature. Je crois qu'il était inévitable pour moi d'entrer dans le domaine de piratage parce que j'aime le défi que la région offrait et offre encore aujourd'hui. Je suis devenu membre d'une communauté qui est finalement devenue une famille où tous les membres avaient les mêmes objectifs et intentions. C'était l'une des meilleures choses.

J'étais fasciné par la façon dont la technologie fonctionne, surtout sous la surface que tout le monde voit, vous savez ? comprendre comment exploits s'écrivent comme débordements de tampon travailler, comment débordements de tas travail, tout cela me fascine.

A-t-il été facile pour vous d'apprendre tout cela ? 

A partir du moment où j'ai installé plusieurs systèmes d'exploitation différents, je pense que cela m'a permis de mieux comprendre ce que je faisais et, à partir de là, j'ai commencé à apprendre à programmer. premier arrivé C, Delphes, Pascal, des langages de programmation plus simples. En fait, la partie la plus difficile de percer dans le piratage était la communauté. Nous n'avions pas les ressources dont nous disposons aujourd'hui à l'époque. 

Comme à quel point il est facile de se connecter les uns aux autres, n'est-ce pas ?

Oui, comme la communauté est très méfiante, tout le monde pense que vous êtes un agent fbi ou quelque chose comme ça. Il est donc très difficile de se lancer dans ce type d'industrie. Vous devez prouver votre travail et votre valeur. À cette époque, c'était le point le plus difficile de devenir un hacker. 

Une fois que vous êtes dans la communauté et que vous apprenez à coder, à mettre la main sur des exploits et tout ça, c'est comme une seconde nature.

Qu'est-ce qui vous a fait penser à faire cette grosse attaque aux États-Unis (en l'an 2000, des sites comme Yahoo, Dell et CNN ont été supprimés par le pirate alors âgé de 15 ans avec une attaque DDoS) ?

C'est une bonne question. je faisais partie de Force TNT, qui était un groupe russe de pirates d'élite. A IRC (chat relais internet) était entièrement basé sur les canaux, et celui qui avait le contrôle de certains canaux aurait le contrôle de tout. En ce sens, les attaques DDoS étaient très efficaces, car en prenant le contrôle de quelques-uns de ces canaux, vous pouviez faire tomber tous les opérateurs. Maintenant, je voulais quelque chose à une échelle beaucoup plus grande. Quand vous piratez l'un contre l'autre groupe de pirates, c'est comme une course aux armements. C'est comme si deux pays se préparaient à entrer en guerre l'un contre l'autre et à lancer une compétition pour voir qui peut développer la technique d'attaque la meilleure et la plus efficace. Un camp développe un missile qui abat un missile adverse, puis l'adversaire crée un missile qui se divise en cinq missiles plus petits, et ainsi de suite.

Ainsi, sur la base du concept de DDoS et en l'agrandissant, nous avons pu attaquer à une échelle beaucoup plus grande. Lors de la première attaque, qui était contre le Yahoo! (le plus grand moteur de recherche à l'époque, dépassant le nouveau venu Google), je n'étais pas sûr à 100 % que cela fonctionnerait, car la vérité est que le Yahoo! c'était un énorme filet et je n'étais pas sûr de pouvoir « abattre un géant ».

Mais ensuite, la motivation a changé. Au départ, la question était :Est-il possible de faire ça?», puis est devenu : «qui est le type qui a le pouvoir de faire tomber Yahoo ! ?🇧🇷 C'est ce qui a été discuté dans le chats IRC🇧🇷 À ce moment-là, la motivation est devenue de dire: "Hey, c'est moi, je suis responsable de ça" .

Je suis littéralement entré dans l'un des chats et j'ai dit: "Je vais vous montrer que je suis capable de faire ça. Listez-moi qui vous considérez comme les réseaux les plus puissants du monde et je les retirerai🇧🇷 Plusieurs suggestions ont été envoyées, l'une d'elles était la Réseau CNN🇧🇷 Alors j'ai dit:D'accord, CNN ? Accédez à CNN en 30 secondes", puis le CNN était en panne, y compris 1.500 XNUMX autres sites hébergés sur les serveurs de l'entreprise. La motivation était d'effrayer et de faire en sorte que tout le monde les pirates aucune IRC soumettre en quelque sorte.

Et quel est le risque d'être reconnu comme un hacker expert et en même temps de faire une déclaration qui pourrait être utilisée contre vous dans une éventuelle condamnation ?

Évidemment, c'est difficile, d'autant plus que j'ai passé plusieurs années à reconstruire ma crédibilité. Après avoir été reconnu comme pirate vous êtes stigmatisé. En vous donnant accès à un réseau, les gens pensent : «Mon Dieu, qu'est-ce qu'il va faire ?🇧🇷 La bonne chose est que j'étais très jeune à l'époque (15 ans), donc j'ai eu beaucoup de temps pour retrouver ma crédibilité.

Donner des conférences et montrer au public que j'ai vraiment une passion pour sonner l'alarme et aider à résoudre les problèmes de sécurité m'a beaucoup aidé à avancer. Lorsque j'ai lancé mon entreprise de test et de conseil en sécurité, cela m'a aidé à renforcer ce que j'essayais de faire. Au final, les choses se sont arrangées. Mais cela a été un grand défi au cours de mes quinze années jusqu'à présent de tout remettre en place.

Avez-vous eu des inquiétudes concernant votre sécurité personnelle ou vous êtes-vous fait prendre?

Absolument! J'ai toujours été une personne naturellement calme, il en faut beaucoup pour me rendre folle. Mais quand j'ai réalisé la gravité de la situation, je ne sais pas si c'était la peur de la vie elle-même, mais vous savez, vous regardez les films d'agents, ces chambres avec une chaise dans une pièce sombre et tout (rires…), alors j'ai Je ne sais pas très bien à quoi m'attendre. Mais je m'en suis rendu compte un peu tard, j'avais 15 ans et il y avait tellement de choses à faire en termes de tactique de la peur🇧🇷 tu as regardé le film Matrice?

Oui.

Savez-vous quand il (M. Anderson, personnage du film) est attrapé et interrogé ? C'est le genre de scénario qui me venait à l'esprit, être emmené dans une immense pièce et être interrogé d'une manière ou d'une autre.

La GRC (Gendarmerie royale du Canada) n'avait-elle pas compétence pour vous attraper?

Ils l'ont fait, mais ils ont également travaillé en étroite collaboration avec le FBI. Ils étaient ensemble, le FBI et la GRC, car ils (le FBI) ​​ne pouvaient pas m'arrêter sans la GRC.

Qu'est-ce que vos parents ont pensé de tout cela ?

Vous voyez, heureusement, je ne voulais blesser personne et ce n'était pas intentionnel dans le sens où je voulais faire beaucoup de dégâts. Mais dans l'ensemble, ils ont été déçus que j'aille dans cette direction. En même temps, ils étaient fiers que j'aie la capacité de faire quelque chose d'aussi grand. Alors ils voulaient juste que je canalise mon énergie et que je me concentre sur le bon chemin.

Que recommandez-vous aux parents qui découvrent que leur enfant a des compétences avancées en programmation et pourrait être un pirate ? Souhaitez-vous soutenir?

Mes parents appartenaient à une autre génération, ils ne savaient pas vraiment comment la technologie fonctionnait. Le plus loin que mon père est allé à cet égard a été d'apprendre à utiliser un télécopieur. De nos jours, les parents ont un grand avantage qui est de pouvoir enseigner à leurs enfants l'éthique derrière l'utilisation d'Internet et de la programmation en général. Je ne l'avais pas.

Mais si votre enfant est curieux de la programmation et de ce qu'il est capable d'en faire, je pense qu'il devrait être encouragé. En même temps, vous devez vous assurer d'enseigner l'éthique et le sens du bien et du mal avec la technologie.

Mes parents m'ont appris, par exemple, à regarder des deux côtés avant de traverser la rue, mais ils ne se sont pas inquiétés de l'ordinateur. Ils n'ont pas dit "Vous ne devriez pas pirater ou faire ceci et cela avec l'ordinateur“, car ils ne savaient même pas que c'était une possibilité. Donc, je pense que c'est définitivement quelque chose à encourager (compétences en programmation et en piratage), tant que les parents mettent des limites et introduisent la partie éthique et les paramètres de la responsabilité.

O WannaCry e Je veuxCrypte vous a surpris ?

Pas du tout, je les ai même évoqués à Londres avant que l'affaire ne soit révélée.

Qu'en avez-vous dit à Londres ?

Je n'ai pas dit: "WannaCry fera ceci et cela", mais quand on m'a demandé quelle serait la prochaine grande attaque, j'ai dit qu'une ransomware serait libéré. Et pour être honnête, je vous en dis plus, de plus gros rançongiciels sont encore à venir car les derniers ont été mal exécutés [Lorsque nous avons terminé l'article, des nouvelles venaient d'arriver au sujet d'un nouvelle attaque en Ukraine, Petya, qui se répand dans le monde].

Le dernier Ransomware a-t-il été bâclé ? !

Oui, 100 %. Il y en avait un "Antidémarreur"(verrou de sécurité, en traduction libre, ce qui signifie qu'il existe un moyen de l'inverser), tout ce que vous aviez à faire était d'enregistrer un domaine pour les tuer. Et s'il en arrive un ransomware masse qui n'a pas Antidémarreur🇧🇷 Il n'y aurait même pas la possibilité de décrypter les fichiers. Nous ransomware qui ont été utilisés, de l'argent a été exigé en échange du décryptage des fichiers. Ils ont vu une échappatoire lorsque le exploiter pour PME (bloc de messages du serveur) a été découvert et exploité. Mais nous en verrons un ransomware beaucoup plus sophistiqué, sans aucun doute.

Et qu'en est-il du rançongiciel bitcoin ? Sont-ils totalement introuvables ? Ou y a-t-il quelque chose que vous pouvez utiliser pour les suivre?

Je ne dirais pas que c'est totalement intraçable, mais c'est vraiment extrêmement difficile. Il y a certains sites qui essaient de créer une sorte de feuille de route des transactions et où elles vont et tout ça. Mais en fin de compte, cela passe simplement d'un portefeuille à un autre et vous ne savez jamais l'emplacement exact de ce portefeuille. Vous pouvez voir le transfert de fonds effectué, mais il est difficile de savoir où il se termine et qui retire l'argent. Peut-être auriez-vous besoin de travailler avec des sites de transfert et d'échange. Mais le "gars" pourrait toujours travailler avec un bitcoin local, il y aurait donc d'autres facteurs à prendre en compte. Il existe un moyen, mais il est très long et compliqué.

Vous êtes un hacker éthique, n'est-ce pas ?

Oui.

Pensez-vous qu'il y a suffisamment de hackers éthiques dans le monde ? Devrait-il y en avoir plus ? Comment le changer ?

A cette époque, la communauté Pirates du chapeau blanc (hackers qui aident à améliorer les systèmes de sécurité et à corriger les bogues) est bien plus nombreux que la communauté Black Hat (pirates ayant des intentions illégales ou criminelles). Il n'y a pas assez de professionnels de l'informatique et de hackers éthiques. À l'heure actuelle, l'industrie du piratage est si importante qu'il est tout simplement trop beau pour l'ignorer, c'est une industrie d'un billion de dollars par an, et quand vous calculez le montant d'argent qui est gagné, pourquoi changeriez-vous ? À moins qu'ils ne se fassent prendre et réalisent que ce qu'ils faisaient était mal et qu'ils finissent par décider de changer de camp. Mais actuellement, les chiffres sont écrasants. Il est très difficile d'être un professionnel de la sécurité de l'information car il faut toujours avoir une longueur d'avance. Je dois rejoindre ces communautés (de pirates informatiques) pour savoir quel exploits zero-day (exploits qui viennent d'être créés et qui n'ont pas encore été contrés) sont sur le point d'être publiés avant même qu'ils n'arrivent. Et c'est un grand défi.

C'est comme si vous mettiez votre réputation à l'épreuve tout le temps...

Oui, et j'ai un énorme avantage à cet égard au sein de la communauté des hackers, car je Je n'ai jamais dénoncé personne🇧🇷 J'ai reçu plusieurs offres d'accords pour revenir au chats de CRI, infiltré, et trouver et signaler d'autres pirates, mais j'ai dit: "NonNon, vous pouvez me poursuivre, nous allons au procès et j'accepterai le verdict🇧🇷 Cela m'a donné beaucoup de respect au sein de la communauté, car beaucoup de gens choisissent simplement la voie facile pour sortir du processus judiciaire. Grâce à cela, j'ai plus accès à beaucoup plus de choses au sein de la communauté pirate que la plupart des professionnels de mon domaine peuvent.

Par curiosité, connaissez-vous quelqu'un de la communauté Anonymous ? Par exemple, un leader, connaissez-vous quelqu'un comme ça ?

Je n'ai jamais vraiment été impliqué dans hacktivisme, je peux vous dire que 95% des membres de anonyme ne sont pas exactement les pirates🇧🇷 Peut-être qu'ils ont un bureau pour faire une activité ou une autre. piratage🇧🇷 Mais les 5 % les plus riches sont beaucoup plus « élitistes » que les 95 % restants. Leur idéologie (les 5 premiers %) est la force du nombre, et cela s'est avéré assez efficace. De plus, ils ont une sorte de "culte", un groupe d'adeptes. Par exemple, le Force TNT (groupe de hackers d'élite russe) était composé de 12 membres, mais ces 12 étaient plus de 10 100, XNUMX XNUMX autres personnes qui ressemblaient davantage à des sympathisants et les fanboys.

Nous allons voir de plus en plus de ces groupes d'hacktivisme comme Témoignages e lézard dans le monde. Mais je ne connais personnellement aucun dirigeant du anonyme  parce que je n'ai jamais pris la peine d'aller aussi loin et de le découvrir.

Vous assister à la série "M. Robot"? Quelle est la fidélité de la série à la réalité ?

C'est très précis et fidèle. Il (Elliot, pirate et personnage principal de la série) utilise Kali Linux pour effectuer la plupart des attaques. Je reçois souvent cette question et je dis toujours que je suis impressionné par la façon dont ils ont réussi à la capturer de manière si réaliste. Ce qui se fait dans la série est hautement probable. Les correspondants sont les personnes qu'il consulte sur la façon de pirater. C 'est impressionnant. J'ai eu des contacts avec la série et j'aurais aimé qu'elle s'écarte un peu de la voie de l'exploration de la toxicomanie et de la vie troublée d'Elliot, même si cela introduit en quelque sorte l'élément dramatique dans la série et tout.

C'est une façon d'explorer les aspects émotionnels, non ?

Oui, le personnage a besoin de conflits. Mais revenant à votre question, en fait la série est assez précise dans les aspects techniques.

Parlez-nous un peu de la sécurité des imprimantes et de votre rôle dans la promotion de ce créneau de la sécurité de l'information ?

C'est assez alarmant et inquiétant. Si vous regardez le nombre d'imprimantes dans les entreprises et dans le monde, il est vraiment étonnant que personne ne mette l'accent sur la sécurité des imprimantes.

Connaissez-vous le monde des hackers à cet égard ?

Ouais! Certainement. Il y a en fait des blagues comme "éclabousser l'imprimante pour le plaisir" et comment faire tourner l'imprimante à 360º et tomber littéralement en panne. Donc, ils [les hackers] sont conscients de ce créneau. C'est une grande source de préoccupation en ce moment, car les hacks ne se limitent pas aux farces. Quand je parle aux gens et essaie de montrer que sécurité de l'imprimante est important et représente une réelle menace, je leur parle : «Vous voyez, je dis par expérience personnelle, l'imprimante peut être piratée de telle ou telle manière, il y a un système d'exploitation intégré et bien d'autres choses🇧🇷 Les gens pensent que l'imprimante n'est qu'un périphérique de sortie, mais ce n'est plus seulement cela. Et j'ai essayé de montrer que c'est important.

Et pas seulement les imprimantes, mais avec l'IoT comme sujet brûlant, si par exemple vous mettez Internet dans des équipements comme des grille-pain et des choses comme ça, c'est un peu effrayant de penser à un monde où tout est piratable, n'est-ce pas ?

Oui, parlons de la Internet des objets🇧🇷 Par exemple, les usines de traitement de l'eau utilisent du fluorure dans leur processus. À dose excessive, le fluorure est dangereux pour les humains, mais personne ne pense que quelqu'un piraterait les stations de stockage d'eau d'une ville et ferait fonctionner les pompes pour déverser des quantités excessives de fluorure dans la plomberie et empoisonner les gens, N'est-ce pas?

D'un autre côté, si vous regardez l'industrie médicale et ce qui se passe maintenant, avec l'équipement qui est introduit pour contrôler à distance le dosage des médicaments des patients, cet équipement a déjà été piraté. Aimeriez-vous utiliser un tel équipement, qui peut être piraté et recevoir à distance une dose mortelle ? C'est une grande source de préoccupation. De plus en plus, tout est numérisé et même les stimulateurs cardiaques sont accessibles à distance🇧🇷 Peu de gens y pensent mais c'est la réalité que nous vivons. Et si un rançongiciel attaquait votre stimulateur cardiaque ? Qu'est-ce que tu ferais? 🇧🇷Payez 50k ou vous mourrez🇧🇷 C'est un monde effrayant dans lequel nous vivons.

Montrer aux gens le scénario réel que nous vivons et son importance est le seul moyen de changer.

Réflexions finales

l'attaque de Michael apparaît aujourd'hui comme l'un des moments clés de la sécurité des systèmes interconnectés. Le fait que les plus grands sites Web de cette époque puissent être fermés par un jeune de 15 ans a créé une panique généralisée en 2000. À ce moment-là, Internet faisait déjà partie intégrante de l'économie mondiale. Avec l'attaque, les consommateurs ont perdu confiance dans les entreprises en ligne et l'économie américaine a subi un revers en conséquence.

Deuxième Craig Guent, un agent de la CIA qui a participé aux enquêtes à l'époque, MafiaGarçon mérite d'être félicité pour les importantes avancées en matière de sécurité qui ont commencé après cette affaire. Sans lui, peut-être que le monde mettrait plus de temps à se réveiller.

Si vous êtes arrivé jusqu'ici, je suis sûr que vous aimez ce sujet. Je laisse donc ici une invitation à un , qui sera réalisé par le Growth Hacker brésilien, Bruno Fraga, qui enseigne aux gens la sécurité de l'information et la protection des données, un projet qui dans sa dernière édition a touché plus d'un million de personnes sur Internet.

Au cours de l'atelier, Bruno montrera, dans des scénarios réels, des criminels (cybercriminels) qui profitent des vulnérabilités des réseaux, des applications WEB et des infrastructures physiques pour accéder à des informations confidentielles. Et bien sûr, apprenez comment prévenir de telles attaques. Inscrivez-vous à l'atelier en ligne gratuit.

L'auteur a mené l'interview à l'invitation de HP Inc.