Sur une chaîne Telegram avec une poignée d’abonnés, un hacker autoproclamé se vante d’avoir quelque chose qu’il aimerait montrer.
Deux messages plus tard, ils ont publié ce qu’ils prétendent être un répertoire de milliers d’employés du FBI, des analystes du renseignement aux stagiaires de l’agence américaine d’application de la loi ; des manuels classifiés pour les avions de combat américains ; et des bases de données de services de police à travers les États-Unis.
Quelle est la prochaine, demande un abonné impressionné. « Les fédéraux », plaisante un autre, avant de publier un manuel de formation pour la Drug Enforcement Agency, en disant : « Voici quelque chose de la collection. »
Ce forum n’est qu’un lieu sur un marché bruyant pour les secrets américains, échangés par des pirates informatiques de bas niveau et des théoriciens du complot contre de l’argent et des droits de vantardise, et accessible sans mot de passe, logiciel spécial ou connaissance du dark web.
Suivant les pistes de chercheurs en cybersécurité qui étudient les forums de hackers pour gagner leur vie, le Financial Times a observé pendant deux semaines plusieurs groupes de discussion hébergeant des dizaines de milliers de pages de documents, parfois fraîchement récoltés à partir de failles de sécurité récentes, parfois constitués de pépites reconditionnées de piratages précédents.
Ils allaient des documents classifiés que le garde national américain Jack Teixeira aurait divulgués aux gigaoctets de secrets d’entreprise récemment extraits que les groupes de rançongiciels non rémunérés déversent sans ménagement lorsque les négociations avec leurs victimes échouent. Il y a également eu des communications privées entre les forces de l’ordre américaines et les entreprises technologiques.
Souvent sur Telegram, mais aussi sur les forums du dark web où les pirates et les criminels rançongiciels partagent des astuces et montrent leurs exploits, les participants anonymes discutent de la politique mondiale et donnent des conseils de rencontres en plus d’échanger des données divulguées.
Récemment, le plus grand prestige est venu du partage de détails encore non rapportés sur les fuites de Teixeira.
Quelques secondes après qu’un abonné d’une chaîne Telegram a demandé les documents, un lien est apparu vers plusieurs dizaines de diapositives divulguées, hébergées dans un répertoire ouvert sur Dropbox. Lorsque le FT les a vus, plusieurs n’avaient pas été signalés par les médias du monde entier – la Chine construisant des cyber-armes pour prendre le contrôle des satellites occidentaux et le groupe de mercenaires russes Wagner cherchant des armes dans le monde entier.
Les caches pâlissent par rapport à ce que les lanceurs d’alerte ont décrit comme «l’avalanche» de données d’organisations russes exposées par des pirates informatiques pro-ukrainiens.
Mais la variété des documents et la relative facilité avec laquelle ces forums sont accessibles en ligne donnent l’impression « que vous êtes [seeing] la pointe d’un iceberg », selon un diplomate américain. « Même les anciens documents classifiés ont une valeur opérationnelle – ils montrent comment nous abordons les problèmes, comment nous évaluons les menaces, comment nous formons les gens. »
Les vantardises des hackers, bien que non corroborées, semblent le confirmer. « Ce n’est pas le meilleur », a déclaré un membre d’un groupe observé par le FT, faisant référence à des documents sur une chaîne Telegram. « Vous pourriez passer des années ici [the dark web]et ne jamais être invité dans la bonne pièce.
Dans les bonnes salles, les « meilleures choses » sont annoncées sous forme de captures d’écran, et souvent échangées contre des données commerciales volées aux États-Unis ou en Europe – informations de carte de crédit, e-mails, numéros de sécurité sociale.
Le fait que tant de diapositives d’information que Teixeira aurait divulguées soient devenues monnaie courante dans les forums en ligne pro-russes montre qu’il existe un risque persistant lié à la divulgation. Les analystes ont déclaré qu’il restait une possibilité réelle que certains des documents n’aient pas encore fait surface, ou que de nouveaux documents trafiqués puissent apparaître dans les campagnes de désinformation russes.
« Une fois que ce type de données se trouve sur l’autoroute d’Internet, il ne faut pas longtemps à un petit groupe de personnes pour tomber dessus – et une fois qu’elles le font, elles se propagent sur Internet comme une épidémie », a déclaré Osher Assor. , responsable du département cybersécurité du cabinet de conseil Auren Israel.
« Chaque jour, il devient plus facile d’obtenir ces fichiers classifiés, et cela met le gouvernement américain dans de très gros problèmes – en plus des originaux, nous voyons plus de fichiers faux ou manipulés ajoutés pour confondre et détourner davantage », a déclaré Assor.
Alors que de nouveaux documents deviennent publics, les responsables américains se sont empressés d’évaluer la profondeur des divulgations, certaines publications les prenant par surprise. Le secrétaire de presse du Pentagone, le général de brigade Pat Ryder, a déclaré mardi que le département de la Défense évaluait toujours l’ampleur et l’impact des fuites de Teixeira.
Le FBI a refusé de commenter l’ampleur et la gravité des fuites plus larges. Le Pentagone a refusé de commenter.
La grande variété de documents liés au gouvernement américain partagés souligne sa valeur dans l’économie souterraine de l’information dans laquelle les pirates informatiques font du commerce. Sa rareté relative par rapport aux données russes a rendu les nouvelles fuites exceptionnellement précieuses, ont déclaré deux personnes impliquées dans de tels forums en ligne.
Les autorités américaines sont rassurées par le fait que peu de ces pirates piratent les bases de données les plus sécurisées du gouvernement : les fuites les plus dommageables sont venues d’initiés – Chelsea Manning, reconnue coupable d’avoir divulgué les journaux de guerre en Irak et les câbles du département d’État ; Joshua Schulte, reconnu coupable d’avoir divulgué les détails techniques de la façon dont la CIA pirate des cibles de grande valeur ; et Edward Snowden, qui a divulgué des informations hautement classifiées de l’Agence de sécurité nationale.
« Vous obtenez de gros, comme [Schulte], une fois tous les cinq ans – ici, vous allez vite, collectez tout, cachez tout, vendez rapidement », a déclaré un courtier de ces ensembles de données. « Mais ensuite, vous avez des petits tout le temps – vous trouvez quelque chose ici, quelque chose là, et puis vous avez un dossier sur une personne qui a de la valeur pour une autre personne. »
Il a décrit avoir vendu à un citoyen français les détails d’une opération d’écoute américaine dont il avait eu connaissance en piratant les e-mails d’un procureur européen qui était informé d’une éventuelle activité criminelle. Il n’a pas été possible pour le FT de vérifier les affirmations du courtier, qui comprenaient une capture d’écran d’un virement bancaire de 250 000 $ sur un compte bancaire albanais – prétendument le paiement de la dénonciation.
Dans de nombreux cas, les groupes criminels ont des liens lointains avec l’État russe, offrant des opportunités de diffuser des documents – trafiqués ou originaux – qui aident à la propagande russe.
Un pirate a montré un exemple de code source, de paramètres et de données de test d’un processus industriel décrit comme produisant l’alliage utilisé pour renforcer le blindage des véhicules de combat d’infanterie de fabrication américaine. Dans une autre conversation observée par le FT, un acheteur non identifié a demandé si quelqu’un avait à vendre une copie plus récente de la liste d’interdiction de vol américaine, qui contient les noms des personnes interdites de voyager par avion à destination, en provenance ou à l’intérieur du pays. Une copie de 2019 de cette liste avait déjà été divulguée sur Internet plus tôt cette année.
« Vérifiez le DM [direct messages]», a répondu un utilisateur du groupe Telegram, promettant que ce qu’il partageait était le « plus récent ».